Cloud Armor Enterprise – Übersicht

Google Cloud Armor Enterprise ist der Anwendungsschutz. zum Schutz Ihrer Webanwendungen und Dienste vor verteilten DoS-Angriffe (Denial of Service) und andere Bedrohungen aus dem Internet. Mit Cloud Armor Enterprise können Anwendungen, die in Google Cloud, lokal oder von anderen Infrastrukturanbietern bereitgestellt werden, geschützt werden.

Google Cloud Armor Standard im Vergleich zu Cloud Armor Enterprise

Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Cloud Armor Enterprise:

Alle Google Cloud-Projekte mit einem externen Application Load Balancer oder einem externen Proxy-Network Load Balancer werden automatisch für den Google Cloud Armor-Standard registriert. Nachdem Sie Cloud Armor Enterprise auf Rechnungskonto-Ebene abonniert haben, können Nutzer einzelne Projekte auswählen, die mit dem Rechnungskonto in Cloud Armor Enterprise verknüpft sind.

In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.

Google Cloud Armor Standard Cloud Armor Enterprise
Paygo Jährlich
Abrechnungsmethode Pay as you go Pay as you go Abo mit 12-monatiger Vertragsdauer
Preise Pro Richtlinie, Regel und Anfrage (siehe Preise)
  • 200 $/Monat pro Projekt
  • 200 $ pro geschützter Ressource und Monat nach den ersten beiden Ressourcen
  • 3.000 $/Monat pro Rechnungskonto
  • 30 $ pro Monat pro geschützter Ressource nach den ersten 100 Ressourcen
Schutz vor DDoS-Angriffen
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
Erweiterter DDoS-Netzwerkschutz Nein Ja Ja
Sicherheitsrichtlinien für Netzwerk-Edge Nein Ja Ja
Google Cloud Armor-WAF Pro Richtlinie, Regel und Anfrage (siehe Preise) In Paygo enthalten In „Jahresmitgliedschaft“ enthalten
Ressourcenlimits Bis zum Kontingentlimit Bis zum Kontingentlimit Bis zum Kontingentlimit
Zeitaufwand Ein Jahr
Adressgruppe
Threat Intelligence
Adaptive Protection Nur Benachrichtigungen
Sichtbarkeit von DDoS-Angriffen
Support für DDoS-Antworten Teilnahmevoraussetzungen
DDoS-Rechnungsschutz

Cloud Armor Enterprise abonnieren

Um die zusätzlichen Dienste und Funktionen in Cloud Armor Enterprise zu nutzen, müssen Sie sich zuerst bei Cloud Armor Enterprise registrieren. Du kannst Cloud Armor Enterprise jährlich und registrieren Sie einzelne Projekte oder Sie kann ein Projekt direkt bei Cloud Armor Enterprise Paygo registrieren.

Wir empfehlen Ihnen dringend, Ihre Projekte so bald wie möglich bei Cloud Armor Enterprise zu registrieren, da die Aktivierung bis zu 24 Stunden dauern kann.

Externer Application Load Balancer und externer Proxy-Network Load Balancer

Nachdem ein Projekt für Cloud Armor Enterprise registriert wurde, werden die Weiterleitungsregeln im Projekt der Registrierung hinzugefügt. Darüber hinaus werden alle Backend-Dienste und Backend-Buckets als geschützte Ressourcen gezählt und nach den Kosten für geschützte Ressourcen von Cloud Armor Enterprise abgerechnet. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Annual werden für alle registrierten Projekte in einem Rechnungskonto zusammengefasst. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Paygo werden dagegen innerhalb des Projekts zusammengefasst.

Externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)

Google Cloud Armor bietet die folgenden Optionen, um diese Endpunkte vor DDoS-Angriffen zu schützen:

  • DDoS-Standardschutz: Einfacher immer aktivierter Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Erzwingung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Diese Funktion ist im Google Cloud Armor Standard enthalten und erfordert keine zusätzlichen Abos.
  • Erweiterter DDoS-Schutz für Netzwerke: zusätzlicher Schutz für Cloud Armor Enterprise-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird pro Region konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet sie immer eine gezielte, Volume-Angriffserkennung und -minderung für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.

Support für DDoS-Antworten

Der DDoS-Antwortsupport bietet rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen von DDoS-Angriffen vom selben Team, das auch alle Google-Dienste schützt. Sie können den Response-Support bei einem Angriff unterstützen, um den Angriff zu entschärfen. Alternativ haben Sie die Möglichkeit, sich auf einen Plan für ein hohes Volumen oder potenziell virales Ereignis vorzubereiten, von dem eine ungewöhnlich hohe Anzahl an Besucher anziehen könnte.

Proaktiver Support ist für alle Google Cloud Armor-Kunden verfügbar, auch wenn sie keine DDoS-Prüfung durchgeführt haben. Durch proaktiven Support können wir vorkonfigurierte Regeln anwenden, die auf gängige DDoS-Angriffstypen abzielen, bevor der Angriff Google Cloud Armor erreicht. Informationen zum Support für DDoS-Antworten finden Sie unter Support bei DDoS-Fällen anfordern

Prüfung des DDoS-Status

Ziel der Überprüfung der DDoS-Abwehr ist es, die Effizienz und Effektivität des DDoS-Antwortprozesses zu verbessern. Bei der Überprüfung erfahren wir mehr über Ihre einzigartigen Anwendungsfall und Architektur und prüfen Sie, ob Ihre Google Cloud Armor Sicherheitsrichtlinien werden gemäß unseren Best Practices. So können Sie Ihre präventive Resilienz gegen DDoS-Angriffe.

Die Prüfung des DDoS-Status wird Kunden zur Verfügung gestellt, die Cloud Armor Enterprise jährlich Premium-Konto für Cloud Customer Care.

Voraussetzungen für die Unterstützung bei DDoS-Antworten

Wenn Sie die folgenden Kriterien erfüllen, können Sie eine Anfrage stellen. Hier erhalten Sie Hilfe vom Google Cloud Armor-DDoS-Supportteam:

  • Ihr Rechnungskonto hat ein aktives „Cloud Armor Enterprise jährlich“ Abo.
  • Ihr Rechnungskonto hat ein Premium-Konto für den Cloud-Kundensupport.
  • Das Google Cloud-Projekt mit der angegriffenen Arbeitslast ist die für Cloud Armor Enterprise jährlich registriert sind.
  • (Für Kunden, die Cloud Armor Enterprise jährlich abonniert haben nach 3. September 2024): Das Projekt mit der Arbeitslast, die angegriffen wird müssen einer jährlichen DDoS-Statusüberprüfung unterzogen werden.

Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für einen DDoS-Fall erhalten.

DDoS-Rechnungsschutz

Für den Google Cloud Armor-DDoS-Abrechnungsschutz muss Ihr Projekt registriert sein „Cloud Armor Enterprise jährlich“. Er bietet Gutschriften für die künftige Nutzung von Google Cloud für einige Erhöhungen der Rechnungen von Cloud Load Balancing, Google Cloud Armor und Netzwerk-Internet, ausgehenden interregionalen und interzonalen Datenübertragungen als Ergebnis eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:

Endpunkttyp Erhöhung der abgedeckten Nutzung
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
Google Cloud Armor Cloud Armor Enterprise-Datenverarbeitungsgebühr
Netzwerk Ausgehende Datenübertragung
Interregional
Interzone
Carrier Peering
Load-Balancer Gebühr für die Datenverarbeitung eingehender Daten
Gebühr für die Verarbeitung ausgehender Daten
Media CDNMedia CDN-Ausgabegebühr (nur externer Application Load Balancer)
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
Google Cloud Armor Cloud Armor Enterprise-Datenverarbeitungsgebühr
Netzwerk Ausgehende Datenübertragung
Interregional
Interzone
Carrier Peering
Load-Balancer Gebühr für die Verarbeitung eingehender Daten
Gebühr für die Verarbeitung ausgehender Daten

Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.

Projekte zwischen Rechnungskonten migrieren

Wenn Sie ab dem 3. September 2024 Ihr Projekt von einem Rechnungskonto in ein anderes migrieren, während Sie Cloud Armor Enterprise jährlich abonniert haben, Ihr neues Rechnungskonto aber kein Cloud Armor Enterprise jährlich-Abo hat, wird Ihr Projekt nach Abschluss der Migration auf Google Cloud Armor Standard zurückgesetzt. Wenn Sie Ihr Projekt also Cloud Armor Enterprise jährlich ohne Ausfallzeiten, empfehlen wir Ihnen, neues Rechnungskonto für Cloud Armor Enterprise jährlich abonnieren bevor Sie mit dem Migrationsprozess beginnen. Sie können auch Ihr Abo migrieren von einem Rechnungskonto zum anderen, indem Sie sich an Cloud Billing Support.

Bei Cloud Armor Enterprise Paygo registrierte Projekte sind nicht betroffen von Migration des Rechnungskontos.

Downgrade von Cloud Armor Enterprise

Wenn Sie Ein Projekt aus Cloud Armor Enterprise entfernen Alle Sicherheitsrichtlinien, die Regeln mit Cloud Armor Enterprise-exklusiv verwenden Funktionen (erweiterte Regeln) eingefroren. Eingefrorene Sicherheitsrichtlinien haben die folgenden Properties:

  • Google Cloud Armor wertet den Traffic weiterhin anhand der Regeln in der Richtlinie aus, einschließlich aller erweiterten Regeln.
  • Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
  • Sie können nur die folgenden Vorgänge für die Sicherheitsrichtlinie ausführen:

Sie können sich auch noch einmal für Cloud Armor Enterprise jährlich registrieren oder Cloud Armor Enterprise Paygo, um den Zugriff auf Ihre eingefrorenen Sicherheitsfunktionen wiederherzustellen Richtlinien.

Erweiterter DDoS-Netzwerkschutz

Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die bei Cloud Armor Enterprise registriert sind. Wenn Sie ein Projekt mit einer aktiven Richtlinie für den erweiterten DDoS-Schutz für Netzwerke aus Cloud Armor Enterprise entfernen, wird Ihnen die Funktion weiterhin gemäß den Cloud Armor Enterprise-Preisen in Rechnung gestellt.

Wir empfehlen, alle erweiterten DDoS-Schutzregeln für Netzwerke vor dem Sie können Ihr Projekt von Cloud Armor Enterprise abmelden, erweiterte DDoS-Schutzregeln für Netzwerke nach dem Downgrade löschen.

Nutzungsbedingungen und Einschränkungen

Für Cloud Armor Enterprise gelten die folgenden Bedingungen und Einschränkungen:

  • Allgemein: Wenn bei einem in Cloud Armor Enterprise registrierten Projekt ein Denial-of-Service-Angriff eines Dritten auf einen geschützten Endpunkt („Qualifizierter Angriff“) erfolgt und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, gewährt Google einen Gutschriftbetrag in Höhe der abgedeckten Gebühren, sofern die abgedeckten Gebühren den Mindestgrenzwert überschreiten. Lasttests und Sicherheit Bewertungen, die vom oder im Namen des Kunden durchgeführt werden, sind keine qualifizierten Angriffe.
  • Bedingungen: Der Kunde muss innerhalb des folgenden Zeitraums eine Anfrage an den Cloud Billing-Support senden: 30 Tage nach Ende des qualifizierten Angriffs. Die Anfrage muss Nachweise für den qualifizierten Angriff enthalten, z. B. Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs sowie die betroffenen Projekte und Ressourcen sowie eine Schätzung der angefallenen Gebühren angeben. Google wird in angemessener Weise feststellen, ob Gutschriften fällig sind und wie hoch der Betrag ist. Weitere Bedingungen für Google Cloud Armor-Features sind in der Dokumentation enthalten.
  • Guthaben: Guthaben, das dem Kunden im Zusammenhang mit diesem Abschnitt zur Verfügung gestellt wird haben keinen Barwert und können nur zur Verrechnung zukünftiger Gebühren für Dienste. Diese Gutschriften verfallen 12 Monate nach ihrer Ausstellung oder bei Kündigung oder Ablauf der Vereinbarung.
  • Definitionen:
    • Abgedeckte Gebühren: Alle Gebühren, die dem Kunden direkt infolge der Qualifizierter Angriff für:
      • Eingehende und ausgehende Datenverarbeitung für Google Cloud Load Balancer-Dienst.
      • Google Cloud Armor Enterprise-Datenverarbeitung für Google Cloud Armor Dienst.
      • Ausgehender Netzwerktraffic einschließlich interregionaler, interzonaler, Internet- und Carrier-Peering-Traffic.
    • Minimum Threshold: Der Mindestbetrag für abgedeckte Gebühren, die gemäß diesem Abschnitt gutgeschrieben werden können, wie von Google vom und werden dem Kunden auf Anfrage mitgeteilt.

Nächste Schritte