DNS Armor, basierend auf Infoblox, ist ein vollständig verwalteter Dienst, der Sicherheit auf DNS-Ebene für Ihre Google Cloud Arbeitslasten bietet. Der erweiterte Bedrohungsdetektor wurde entwickelt, um schädliche Aktivitäten so früh wie möglich in der Angriffskette zu erkennen – bei der DNS-Abfrage –, ohne die betriebliche Komplexität oder den Leistungs-Overhead zu erhöhen. Die Überprüfung auf Bedrohungen wird für Compute Engine- und GKE-Instanzen unterstützt.
Mit DNS Armor können DNS-Abfragen direkt in Ihrer vorhandenen Cloud-Infrastruktur verarbeitet und analysiert werden. Dadurch ist es nicht mehr erforderlich, vertraulichen Traffic an einen Drittanbieterproxy weiterzuleiten.
Nachdem eine Bedrohung erkannt wurde, können Sie über Cloud Logging umsetzbare Informationen zu DNS-Bedrohungen erhalten.
Die Bedrohungsprüfung für DNS-CNAME-Ketten ist auch mit DNS Armor verfügbar.
Funktionsweise von DNS Armor
Wenn Sie einen DNS-Bedrohungsdetektor für ein Projekt aktivieren, sendet DNS Armor Ihre internetgebundenen DNS-Abfragelogs sicher an die Google Cloud-basierte Analyse-Engine unseres Partners Infoblox. Diese Engine verwendet eine Kombination aus Feeds mit Informationen zu Bedrohungen und KI-basierter Verhaltensanalyse, um Bedrohungen zu erkennen. Bei jeder erkannten schädlichen Aktivität wird ein DNS Armor-Bedrohungslog generiert, das an Ihr Projekt zurückgesendet und in Cloud Logging geschrieben wird, damit Sie es ansehen und darauf reagieren können.
Mit der erweiterten Bedrohungserkennung von DNS Armor können Sie Bedrohungen wie die folgenden erkennen:
- DNS-Tunneling für Datenexfiltration: DNS-Abfragen, die so strukturiert sind, dass Daten heimlich aus Ihrem Netzwerk übertragen werden, wobei häufig herkömmliche Firewalls umgangen werden.
- Malware Command & Control (C2): DNS-Kommunikation von einer kompromittierten Arbeitslast, die versucht, den Server eines Angreifers zu kontaktieren, um Anweisungen zu erhalten.
- Domain Generation Algorithms (DGA): DNS-Abfragen an zufällig aussehende, maschinell generierte Domains, die von Malware erstellt werden, um die Command-and-Control-Server zu finden und eine Verbindung zu ihnen herzustellen.
- Fast Flux: DNS-Anfragen an Domains, deren zugehörige IP-Adressen sich schnell ändern. Diese Technik wird verwendet, um schädliche Infrastruktur schwerer nachzuverfolgen und zu blockieren.
- Zero-Day-DNS: DNS-Abfragen an neu registrierte Domains, die Angreifer für schädliche Aktivitäten verwenden, bevor diese Domains einen bekannten schlechten Ruf entwickeln.
- Malware-Verbreitung: DNS-Anfragen an schädliche und risikoreiche Domains, die Angreifern gehören und auf denen bekanntermaßen Malware gehostet oder verbreitet wird oder auf denen in Zukunft Malware gehostet oder verbreitet werden könnte.
- Lookalike-Domains: DNS-Abfragen an Domains, die bereits als schädlich bekannt sind und die absichtlich falsch geschrieben oder so formatiert sind, dass sie wie legitime, vertrauenswürdige Marken aussehen.
- Exploit-Kits: DNS-Anfragen an Websites, die versuchen, automatisch Sicherheitslücken in Cloud-Arbeitslasten auszunutzen, um Malware zu installieren.
- Advanced Persistent Threats (APT): DNS-Anfragen an Domains, die mit gezielten, langfristigen Angriffskampagnen in Verbindung stehen, die oft von anspruchsvollen Gruppen für Spionage oder Datendiebstahl durchgeführt werden.
Die erweiterte Bedrohungserkennung ist ein global konfigurierter Dienst, der auf Projektebene verfügbar ist, aber unabhängig in jeder Region ausgeführt wird (eine Liste der unterstützten Regionen finden Sie unter DNS Armor-Standorte). Sie kann für alle VPC-Netzwerke in einem Projekt aktiviert werden. Dabei können bis zu 100 bestimmte Netzwerke ausgeschlossen werden.
Erkennungs-Engines werden regional bereitgestellt und empfangen DNS-Traffic aus derselben Region. DNS-Traffic von einem Client in us-central1 wird beispielsweise an eine in us-central1 bereitgestellte Erkennungs-Engine weitergeleitet.
Erkennungseinstellungen werden global konfiguriert. Die Konfiguration Ihres DNS-Bedrohungsdetektors ist unabhängig davon, in welcher lokalen Region Bedrohungen analysiert werden.
Leistung und Umfang
Beim Erkennen von Bedrohungen durch Datenexfiltration, bei denen DNS-Tunneling verwendet wird, werden durch mehrere DNS-Anfragen ein oder mehrere Bedrohungsereignisse generiert.
Auswirkungen auf die Abrechnung
Die Abrechnung erfolgt basierend auf der Anzahl der internetgebundenen DNS-Abfragen, die von Ihren Arbeitslasten generiert werden. Folgendes ist nicht enthalten:
- Interne VPC-Anfragen (z.B. interne Hostnamen)
- Abfragen an Google APIs und Google-Dienste (z.B. private.googleapis.com)
- Anfragen, die an lokale Resolver oder andere VPCs weitergeleitet werden
- Abfragen zwischen VPCs mit Peering
Verwenden Sie Cloud Monitoring-Messwerte, um die Anzahl der internetgebundenen DNS-Abfragen zu schätzen.
Insbesondere den Messwert dns.googleapis.com/query/response_count und den Filter target_type=external.
DNS Armor wirkt sich auch auf Ihre Cloud Logging-Rechnung aus, da Bedrohungsbefunde in das Cloud Logging-Konto Ihres Projekts geschrieben werden. Weitere Informationen finden Sie unter Preise für Google Cloud Observability: Cloud Logging.
Weitere Informationen dazu, wie sich DNS Armor auf Ihre Abrechnung auswirken kann, finden Sie unter Cloud DNS-Preise.
Weitere Sicherheitsoptionen
Neben DNS Armor sind auch Google Security Operations und Security Command Center verfügbar. Beide Dienste müssen manuell in Ihrem Projekt konfiguriert werden.
Google Security Operations ist ein Dienst, der Sicherheits- und Netzwerktelemetriedaten normalisiert, indexiert, korreliert und analysiert. Weitere Informationen finden Sie in der Google SecOps-Dokumentation.
Security Command Center bietet einen zentralen Dienst für die Meldung von Sicherheitslücken und Bedrohungen. Es bewertet Ihre Sicherheits- und Datenangriffsfläche, identifiziert Sicherheitslücken und hilft Ihnen, Risiken zu minimieren. Weitere Informationen finden Sie in der Security Command Center-Dokumentation.