Google Cloud Armor Enterprise は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Cloud Armor Enterprise は、Google Cloud、オンプレミス、その他インフラストラクチャ プロバイダにデプロイされたアプリケーションを保護するのに役立ちます。
Google Cloud Armor Standard と Cloud Armor Enterprise
Google Cloud Armor には、Standard と Cloud Armor Enterprise の 2 つのサービスティアがあります。
Google Cloud Armor Standard には、以下が含まれています。
- 従量制課金モデル
- グローバルかつリージョン単位で負荷分散されたインフラストラクチャ全体での、ボリューム型およびプロトコル ベースの DDoS 攻撃からの常時阻止
- Google Cloud Armor ウェブ アプリケーション ファイアウォール(WAF)ルール機能(OWASP トップ 10 保護の事前構成済み WAF ルールを含む)へのアクセス
Cloud Armor Enterprise には、以下が含まれています。
- Google Cloud Armor Standard のすべての機能
- 料金モデルの選択: Cloud Armor Enterprise(年間)または Paygo
- ルール、ポリシー、リクエストなどのバンドルされた Google Cloud Armor WAF 使用状況
- サードパーティの名前付き IP アドレスリスト
- Google Cloud Armor の脅威インテリジェンス
- 適応型保護(レイヤ 7 エンドポイント)
- パススルー エンドポイント用の高度なネットワーク DDoS 対策(外部パススルー ネットワーク ロードバランサ、プロトコル転送、仮想マシン(VM)インスタンスのパブリック IP アドレス)
- (Cloud Armor Enterprise(年間)のみ): DDoS 請求対策と DDoS 対応チームのサービスへのアクセス(追加の条件が適用されます。DDoS 対応サポートを利用するをご覧ください)
- DDoS 攻撃の可視性へのアクセス
外部アプリケーション ロードバランサや外部プロキシ ネットワーク ロードバランサを含むすべての Google Cloud プロジェクトは、Google Cloud Armor Standard に自動的に登録されます。請求先アカウント レベルで Cloud Armor Enterprise に登録すると、請求先アカウントに関連付けられた個々のプロジェクトを Cloud Armor Enterprise に登録できるようになります。
次の表は、2 種類のティアの概要をまとめたものです。
Google Cloud Armor Standard | Cloud Armor Enterprise | ||
---|---|---|---|
Paygo | 年単位 | ||
請求方法 | 従量課金制 | 従量課金制 | 契約期間 12 か月のサブスクリプション |
料金 | ポリシーごと、ルールごと、リクエストごと(料金を参照) |
|
|
DDoS 攻撃対策 |
|
|
|
高度なネットワーク DDoS 対策 | × | あり | |
ネットワーク エッジのセキュリティ ポリシー | いいえ | ○ | |
Google Cloud Armor WAF | ポリシーごと、ルールごと、リクエストごと(料金を参照) | Paygo に含まれる | 年間に含まれる |
リソースの上限 | 割り当て上限まで | 割り当て上限まで | 割り当て上限まで |
時間のコミットメント | なし | なし | 1 年 |
名前付き IP アドレスリスト | |||
脅威インテリジェンス | |||
適応型保護 | アラートのみ | ||
DDoS 攻撃の可視性 | なし | ||
DDoS 対応サポート | なし | (プレミアム サポート付き) | |
DDoS 請求対策 | なし |
Cloud Armor Enterprise に登録する
Cloud Armor Enterprise で追加のサービスや機能を使用するには、まず Cloud Armor Enterprise に登録する必要があります。Cloud Armor Enterprise(年間)のサブスクリプションに登録して個々のプロジェクトを登録することも、Cloud Armor Enterprise Paygo で直接プロジェクトを登録することもできます。
有効化には最長で 24 時間ほどかかることがあるため、できるだけ早く Cloud Armor Enterprise にプロジェクトを登録することを強くおすすめします。
外部アプリケーション ロードバランサと外部プロキシ ネットワーク ロードバランサ
プロジェクトが Cloud Armor Enterprise に登録されると、プロジェクト内の転送ルールが登録に追加されます。さらに、すべてのバックエンド サービスとバックエンド バケットは保護されたリソースとしてカウントされ、Cloud Armor Enterprise で保護されたリソースの費用として課金されます。Cloud Armor Enterprise(年間)のバックエンド サービスとバックエンド バケットは、請求先アカウント内のすべての登録済みプロジェクトで集計されます。一方、Cloud Armor Enterprise Paygo のバックエンド サービスとバックエンド バケットはプロジェクト内で集計されます。
外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレス(VM)
Google Cloud Armor には、これらのエンドポイントを DDoS 攻撃から保護するための次のオプションが用意されています。
- 標準のネットワーク DDoS 対策: 外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM に対して常時有効な基本的な保護対策です。これには、転送ルールの適用と自動レート制限などが含まれます。 これは Google Cloud Armor Standard の対象であり、追加のサブスクリプションは必要ありません。
- 高度なネットワーク DDoS 対策: Cloud Armor Enterprise サブスクライバー向けの追加の保護対策です。高度なネットワーク DDoS 対策はリージョン単位で構成します。特定のリージョンで有効にすると、Google Cloud Armor は、外部パススルー ネットワーク ロードバランサ、プロトコル転送、そのリージョンのパブリック IP アドレスを持つ VM に対して常時有効な保護対策を提供し、ボリューム型の攻撃を検出して軽減します。
DDoS 対応サポート
Google Cloud Armor Enterprise 分散型サービス拒否(DDoS)対応サポートでは、Cloud Armor Enterprise(年間)にプロジェクトを登録する必要があります。レスポンス対応は、すべての Google サービスを保護しているチームが、24 時間 365 日体制のサポートと、DDoS 攻撃に対するお客様に合わせた対策を提供します。攻撃発生時に対応サポートを利用することで、攻撃を回避できます。また、積極的にサポートを利用し、今後発生する可能性のある大規模な攻撃やウイルス感染(異常な量のサイト訪問者など)に備えることもできます。
DDoS 対応サポートを利用する
ケースを開いて、Google Cloud Armor DDoS 対応サポートチームのサポートを利用するには、次の基準を満たしている必要があります。
- 請求先アカウントに有効な Cloud Armor Enterprise(年間)サブスクリプションがある。
- 請求先アカウントに Cloud カスタマーケアのプレミアム アカウントがある。
- 攻撃対象のワークロードを含む Google Cloud プロジェクトが、Cloud Armor Enterprise(年間)に登録されています。
- プロジェクト間のサービス参照を使用する場合は、フロントエンドとバックエンドの両方のサービス プロジェクトが Cloud Armor Enterprise(年間)に登録されている
DDoS 対応サポートを利用するには、DDoS 対応サポートケースを開くをご覧ください。
DDoS 請求対策
Google Cloud Armor DDoS 請求対策を利用するには、プロジェクトを Cloud Armor Enterprise(年間)に登録する必要があります。Cloud Load Balancing、Google Cloud Armor、ネットワーク インターネット、リージョン間、ゾーン間の送信データ転送で確認済みの DDoS 攻撃が原因で発生したトラフィックの増加分について、Google Cloud の今後の使用量に充当できるクレジットを提供します。クレームが認識され、クレジットが提供された場合、クレジットを使用して既存の使用量を相殺することはできません。このクレジットは将来の使用量にのみ適用できます。次の表に、DDos 請求対策の対象となるリソースを示します。
エンドポイントのタイプ | 対象となるユーザー数の増加 | |
---|---|---|
|
Google Cloud Armor | Cloud Armor Enterprise のデータ処理料金 |
ネットワーク | 送信データ転送 | |
リージョン間 | ||
ゾーン間 | ||
キャリア ピアリング | ||
ロードバランサ | 受信データ処理の料金 | |
アウトバウンド データ処理料金 | ||
|
Google Cloud Armor | Cloud Armor Enterprise のデータ処理料金 |
ネットワーク | 送信データ転送 | |
リージョン間 | ||
ゾーン間 | ||
キャリア ピアリング | ||
ロードバランサ | 受信データ処理の料金 | |
アウトバウンド データ処理料金 |
DDoS 請求対策については、DDoS 請求対策の利用をご覧ください。
Cloud Armor Enterprise からのダウングレード
Cloud Armor Enterprise からプロジェクトを削除すると、Cloud Armor Enterprise 専用の機能(高度なルール)でルールを使用するセキュリティ ポリシーはすべて凍結されます。フリーズされたセキュリティ ポリシーには次の特性があります。
- Google Cloud Armor は、高度なルールを含め、ポリシーのルールに対してトラフィックを引き続き評価します。
- セキュリティ ポリシーを新しいターゲットに接続することはできません。
- セキュリティ ポリシーに対して次の操作のみを行うことができます。
- セキュリティ ポリシー ルールは削除できます。
- ルールの優先度を変更しない場合は、高度なルールを更新して、Cloud Armor Enterprise 専用の機能を使用しなくなります。この方法ですべての高度なルールをこの方法で変更すると、ポリシーは固定されなくなります。セキュリティ ポリシー ルールの更新の詳細については、セキュリティ ポリシーで 1 つのルールを更新するをご覧ください。
Cloud Armor Enterprise(年間)または Cloud Armor Enterprise Paygo に再登録して、凍結されたセキュリティ ポリシーへのアクセスを復元することもできます。
高度なネットワーク DDoS 対策
高度なネットワーク DDoS 対策は、Cloud Armor Enterprise に登録されているプロジェクトでのみ使用できます。Cloud Armor Enterprise から有効な高度なネットワーク DDoS ポリシーを含むプロジェクトを削除しても、Cloud Armor Enterprise の料金に基づいて機能の料金が請求されます。
Cloud Armor Enterprise からプロジェクトを登録解除する前に、高度なネットワーク DDoS 対策ルールを削除することをおすすめします。ただし、ダウングレード後に高度なネットワーク DDoS 保護ルールを削除することもできます。
利用規約と制限事項
Cloud Armor Enterprise には、以下の利用規約と制限事項があります。
- 通常: Cloud Armor Enterprise に登録されたプロジェクトで、保護されたエンドポイントに対するサービス拒否攻撃(「対象攻撃」)が発生し、かつ次のセクションで説明する条件を満たしている場合、Google は最小しきい値を超えて発生した対象料金に相当するクレジットを提供します。お客様またはお客様の代理で実施された負荷テストおよびセキュリティ評価は対象攻撃に該当しません。
- 条件: お客様は、対象攻撃の終了後 30 日以内に Cloud Billing サポートにリクエストを送信する必要があります。リクエストには、対象攻撃の証拠(攻撃の発生時刻、攻撃されたプロジェクトとリソースなどを示すログやテレメトリーなど)と、発生した対象料金の見積もりを含める必要があります。Google は、クレジットが正当であるかどうかを審査し、適切な金額を決定します。特定の Google Cloud Armor 機能に関するその他の条件は、ドキュメントに記載されています。
- クレジット: 本項に関連してお客様に提供されるクレジットは、Google Cloud サービスの今後の使用料金に対してのみ相殺可能です。このクレジットは、発行から 12 か月後、または本契約の終了または満了時に有効期限が切れます。
- 定義:
- 対象料金: 対象攻撃の直接的な結果としてお客様が支払う料金。以下が表示されます。
- Google Cloud Load Balancing Service の上り(内向き)データ処理と送信データ処理。
- Google Cloud Armor サービス用の Google Cloud Armor Enterprise データ処理。
- ネットワーク下り(外向き)。リージョン間、ゾーン間、インターネット、キャリア ピアリングによる下り(外向き)を含みます。
- 最小しきい値: 本項に基づいてクレジットの対象となる対象料金の最低金額を意味します。この金額は Google が随時決定し、お客様のリクエストに応じて開示します。
- 対象料金: 対象攻撃の直接的な結果としてお客様が支払う料金。以下が表示されます。