Infoblox を活用した DNS Armor は、 Google Cloud ワークロードに DNS レイヤのセキュリティを提供するフルマネージド サービスです。高度な脅威検出機能は、運用上の複雑さやパフォーマンスのオーバーヘッドを増やすことなく、攻撃チェーンの最も早い段階である DNS クエリで悪意のあるアクティビティを検出するように設計されています。
脅威が検出された場合は、Cloud Logging から DNS 脅威に関する実用的な分析情報を取得できます。
DNS Armor の仕組み
プロジェクトで DNS 脅威検出機能を有効にすると、DNS Armor はインターネット宛ての DNS クエリログをパートナーの Infoblox が提供する Google Cloudベースの分析エンジンに安全に送信します。このエンジンは、脅威インテリジェンス フィードと AI ベースの振る舞い分析を組み合わせて脅威を特定します。検出された悪意のあるアクティビティは DNS Armor 脅威ログを生成します。そのログがプロジェクトに返され、Cloud Logging に書き込まれます。これにより、ユーザーはログを表示して脅威に対処することができます。
DNS Armor の高度な脅威検出では、次のような脅威を検出できます。
- データの引き出しのための DNS トンネリング: ネットワークからデータを密かに引き出すように構造化された DNS クエリ。多くの場合、従来のファイアウォールをバイパスします。
- マルウェアのコマンド&コントロール(C2): 指示を得るために攻撃者のサーバーに接続しようとしている、侵害されたワークロードからの DNS 通信。
- ドメイン生成アルゴリズム(DGA): マルウェアがコマンド&コントロール サーバーを見つけて接続するためにマシン上でランダムに生成したドメインへの DNS クエリ。
- Fast Flux: 関連付けられた IP アドレスを急速に変更するドメインへの DNS クエリ。悪意のあるインフラストラクチャの追跡とブロックを困難にするために使用される手法。
- ゼロデイ DNS: 攻撃者が悪意のある行為に使用する、新しく登録されたドメインへの DNS クエリ。この攻撃は、ドメインの悪評が広まる前に実行されます。
- マルウェアの配布: 脅威アクターが所有する悪意のある高リスクドメインへの DNS クエリ。これらのドメインは、マルウェアをホストまたは配布することが知られているか、将来的にマルウェアをホストまたは配布する可能性があります。
- 類似ドメイン: 悪意のあるドメインとしてすでに知られているドメインへの DNS クエリ。意図的にスペルミスや形式が変更され、信頼できる正当なブランドのように見えるように細工されています。
- エクスプロイト キット: クラウド ワークロードの脆弱性を自動的に悪用してマルウェアをインストールしようとするウェブサイトへの DNS クエリ。
- 高度で持続的な脅威(APT): 標的型攻撃の長期的なキャンペーンに関連付けられたドメインへの DNS クエリ。多くの場合、スパイ行為やデータ窃盗を目的とした、洗練されたグループによって実行されます。
高度な脅威検出機能は、プロジェクト レベルで使用可能なグローバルに構成されたサービスですが、各リージョンで個別に動作します。プロジェクト内のすべての VPC ネットワークで有効にできますが、特定のネットワークを除外することもできます。
データ所在地の要件に対応するため、脅威検出用の DNS ログの分析は、クエリが送信された Google Cloud リージョンで行われます。
パフォーマンスとスケール
DNS Armor は、お客様ごとに 1 つの Google Cloud リージョンで 1 秒あたり最大 50,000 件のクエリログを処理します。
請求への影響
DNS Armor が請求に与える影響については、Cloud DNS の料金をご覧ください。
DNS Armor は、脅威の検出結果がプロジェクトの Cloud Logging アカウントに書き込まれるため、Cloud Logging の請求にも影響します。詳細については、Google Cloud Observability の料金: Cloud Logging をご覧ください。