Infoblox Google Cloud 고급 위협 감지기는 운영 복잡성이나 성능 오버헤드를 추가하지 않고 공격 체인의 가장 초기 지점인 DNS 쿼리에서 악의적인 활동을 감지하도록 설계되었습니다. 위협 검사는 Compute Engine 및 GKE 인스턴스에서 지원됩니다.
DNS Armor를 사용하면 기존 클라우드 인프라 내에서 직접 DNS 쿼리를 처리하고 분석할 수 있습니다. 이렇게 하면 민감한 트래픽을 서드 파티 프록시로 리디렉션할 필요가 없습니다.
위협이 감지되면 Cloud Logging을 통해 DNS 위협에 대한 실행 가능한 유용한 정보를 얻을 수 있습니다.
DNS Armor를 사용하면 DNS CNAME 체인에 대한 위협 검사도 사용할 수 있습니다.
DNS Armor의 작동 방식
프로젝트에 DNS 위협 감지기를 사용 설정하면 DNS Armor에서 인터넷에 연결된 DNS 쿼리 로그를 파트너인 Infoblox에서 제공하는 Google Cloud기반 분석 엔진으로 안전하게 전송합니다. 이 엔진은 위협 인텔리전스 피드와 AI 기반 행동 분석을 결합하여 위협을 식별합니다. 감지된 악의적인 활동은 DNS Armor 위협 로그를 생성하며, 이 로그는 프로젝트로 다시 전송되고 Cloud Logging에 기록되어 사용자가 확인하고 조치를 취할 수 있습니다.
DNS Armor의 고급 위협 탐지를 사용하면 다음과 같은 위협을 감지할 수 있습니다.
- 데이터 유출을 위한 DNS 터널링: 네트워크에서 데이터를 비밀리에 전송하도록 구조화된 DNS 쿼리로, 기존 방화벽을 우회하는 경우가 많습니다.
- 멀웨어 명령 및 제어(C2): 공격자의 서버에 지시를 요청하기 위해 연락을 시도하는 손상된 워크로드의 DNS 통신입니다.
- 도메인 생성 알고리즘(DGA): 멀웨어가 명령 및 제어 서버를 찾아 연결하기 위해 만드는 무작위로 보이는 머신 생성 도메인에 대한 DNS 쿼리입니다.
- Fast Flux: 연결된 IP 주소를 빠르게 변경하는 도메인에 대한 DNS 쿼리입니다. 악성 인프라를 추적하고 차단하기 어렵게 만드는 데 사용되는 기법입니다.
- 제로데이 취약점 DNS: 새로 등록된 도메인에 대한 DNS 쿼리입니다. 이러한 도메인은 알려진 나쁜 평판이 생기기 전에 공격자가 악의적인 활동에 사용합니다.
- 멀웨어 배포: 멀웨어를 호스팅 또는 배포하는 것으로 알려져 있거나 향후 멀웨어를 호스팅 또는 배포할 수 있는 공격자가 소유한 악성 및 고위험 도메인에 대한 DNS 쿼리입니다.
- 유사 도메인: 합법적이고 신뢰할 수 있는 브랜드처럼 보이도록 의도적으로 맞춤법이 틀리거나 형식이 지정된 악성 도메인에 대한 DNS 쿼리입니다.
- 익스플로잇 키트: 클라우드 워크로드의 취약점을 자동으로 악용하여 멀웨어를 설치하려는 웹사이트에 대한 DNS 쿼리입니다.
- 지능형 지속 위협 (APT): 스파이 활동이나 데이터 도용을 위해 정교한 그룹이 장기간에 걸쳐 진행하는 타겟팅된 공격 캠페인과 관련된 도메인에 대한 DNS 쿼리입니다.
고급 위협 감지기는 프로젝트 수준에서 사용할 수 있는 전역적으로 구성된 서비스이지만 각 리전에서 독립적으로 작동합니다 (지원되는 리전 목록은 DNS Armor 위치 참고). 최대 100개의 특정 네트워크를 제외할 수 있는 기능과 함께 프로젝트의 모든 VPC 네트워크에 대해 사용 설정할 수 있습니다.
감지 엔진은 리전별로 배포되며 동일한 리전의 DNS 트래픽을 수신합니다. 예를 들어 us-central1의 클라이언트에서 발생하는 DNS 트래픽은 us-central1에 배포된 감지 엔진으로 전달됩니다.
감지 구성은 전역적으로 구성됩니다. DNS 위협 감지기 구성은 위협이 분석되는 로컬 리전과 관계없이 동일합니다.
실적 및 확장
DNS 터널링을 사용하는 데이터 유출 위협을 감지하면 DNS 쿼리 여러 개에서 위협 이벤트를 하나 이상 생성합니다.
결제 영향
워크로드에서 생성하는 인터넷 연결 DNS 쿼리 수를 기준으로 요금이 청구됩니다. 다음은 제외됩니다.
- 내부 VPC 쿼리 (예: 내부 호스트 이름)
- 온프레미스 리졸버 또는 기타 VPC로 전달된 쿼리
- 피어링된 VPC 간의 쿼리
- Compute Engine 내부 DNS 영역
인터넷 연결 DNS 쿼리 수를 추정하려면 Cloud Monitoring 측정항목을 사용하세요.
특히 dns.googleapis.com/query/response_count 측정항목을 사용하고 target_type=external로 필터링합니다.
DNS Armor는 위협 발견 결과가 프로젝트의 Cloud Logging 계정에 기록되므로 Cloud Logging 청구서에도 영향을 미칩니다. 자세한 내용은 Google Cloud Observability 가격 책정: Cloud Logging을 참고하세요.
DNS Armor가 청구에 미치는 영향에 대한 자세한 내용은 Cloud DNS 가격 책정을 참고하세요.
기타 보안 옵션
DNS Armor 외에도 사용 가능한 다른 보안 옵션으로는 Google Security Operations와 Security Command Center가 있습니다. 두 서비스 모두 프로젝트에서 수동으로 구성해야 합니다.
Google Security Operations는 보안 및 네트워크 원격 분석 데이터를 정규화, 색인 생성, 상관관계 지정, 분석하는 서비스입니다. 자세한 내용은 Google SecOps 문서를 참고하세요.
Security Command Center는 중앙 집중식 취약점 및 위협 보고 서비스를 제공합니다. 보안 및 데이터 공격에 노출되는 영역을 평가하고, 취약점을 식별하며, 위험을 완화하는 데 도움이 됩니다. 자세한 내용은 Security Command Center 문서를 참고하세요.