Google Cloud 推出了 DNS Armor,这是一款与Infoblox合作开发的新的云原生安全服务。该服务通过预先检测和缓解源自 Google Cloud 工作负载的基于 DNS 的威胁,提供了一层基础的安全保障。这项服务解决了一个关键的漏洞问题,Infoblox自己的一项研究发现,92%的恶意软件利用域名系统(Domain Name System,DNS)进行命令和控制(command and control,C2)通信。
根据谷歌的描述,这项服务会为从 Google Cloud 工作负载发起的互联网 DNS 查询的预先威胁进行检测。此外,该公司表示,它提供了识别基于 DNS 的威胁的基础安全层,完善了其以云为先的网络安全产品组合,包括对恶意命令和控制(C2)服务器的请求、用于敏感数据外泄的 DNS 隧道,以及使用 DNS 查询的恶意软件。
DNS Armor 提供了基于反馈的检测机制,识别已知的恶意和高风险域名,以及可能被用于恶意攻击的新注册域名。此外,它还提供基于算法的威胁检测,利用基于机器学习的检测技术,包括检测 DNS 隧道攻击,以防止未经授权的数据外泄。
谷歌博客文章的作者写到:
许多复杂的网络攻击会与其命令和控制环境建立网络连接。你可以通过检测 C2 活动、连接到恶意软件分发站点以及源自你的工作负载的域名生成算法(Domain Generation Algorithm,DGA)流量,使用 DNS Armor 来尽早探知可疑和恶意的域名。
关注 DNS 至关重要,因为 IT 专家和网络架构师 Michael 在 X 上发推文说:
DNS 似乎是安全讨论的奇怪领域,直到你意识到 DNS 通常是威胁通信的第一步,不管网络钓鱼还是 C&C 僵尸网络流量均是如此。
DNS Armor 的文档描述了服务的运行方式:当为项目启用 DNS 威胁检测器时,DNS Armor 会安全地将互联网 DNS 查询日志发送到由其合作伙伴 Infoblox 提供支持的基于 Google Cloud 的分析引擎。他们的引擎使用威胁情报反馈和基于 AI 的行为分析组合来识别威胁。检测到的恶意活动会生成 DNS Armor 威胁日志,然后将其发送回用户的项目,并写入云日志供他们查看和采取行动。
(图片来源: Infoblox博客文章)
最后,用户可以将 DNS Armor 部署为谷歌托管的服务,因为它不需要监督虚拟机,也不影响云 DNS 的性能。此外,用户可以在虚拟 PC 上跨项目启用 DNS Armor,使他们能够精确控制哪些云工作负载需要保护。
查看英文原文:New DNS Armor Service Helps Google Cloud Workloads Preemptively Block Cyber Threats
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论