Google Cloud Armor Enterprise ist der verwaltete Anwendungsschutzdienst, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial of Service) und anderen Bedrohungen aus dem Internet schützt. Cloud Armor Enterprise trägt zum Schutz von Anwendungen bei, die in Google Cloud, lokal oder bei anderen Infrastrukturanbietern bereitgestellt werden.
Google Cloud Armor Standard im Vergleich zu Cloud Armor Enterprise
Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Cloud Armor Enterprise:
Google Cloud Armor Standard umfasst Folgendes:
- Ein „Pay as you go“-Preismodell
- Durchgehender Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen in Ihrer globalen und regionalen Infrastruktur mit Load-Balancing
- Zugriff auf die Funktionen der Web Application Firewall (WAF) von Google Cloud Armor, einschließlich vorkonfigurierter WAF-Regeln für den OWASP-Top-10-Schutz
Cloud Armor Enterprise umfasst Folgendes:
- Alle Features von Google Cloud Armor Standard
- Auswahl an Preismodellen: Cloud Armor Enterprise jährlich oder Paygo
- Gebündelte Google Cloud Armor-WAF-Nutzung, einschließlich Regeln, Richtlinien und Anfragen
- Von Drittanbietern benannte IP-Adresslisten
- Bedrohungsinformationen für Google Cloud Armor
- Adaptive Protection für Layer-7-Endpunkte
- Erweiterter DDoS-Schutz für Netzwerke für Passthrough-Endpunkte – externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen für VM-Instanzen
- (Nur Cloud Armor Enterprise jährlich): Zugriff auf Dienste des DDoS-Rechnungsschutzes und des DDoS-Antwortteams. Es gelten zusätzliche Bedingungen unter Support für DDoS-Antworten einbinden.
- Zugriff auf Sichtbarkeit von DDoS-Angriffen
Alle Google Cloud-Projekte, die einen externen Application Load Balancer oder einen externen Proxy-Network Load Balancer enthalten, werden automatisch bei Google Cloud Armor Standard registriert. Nachdem Sie Cloud Armor Enterprise auf Rechnungskontoebene abonniert haben, können Nutzer einzelne Projekte registrieren, die mit dem Rechnungskonto in Cloud Armor Enterprise verknüpft sind.
In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Jährlich | ||
| Abrechnungsmethode | Pay-as-you-go | Pay-as-you-go | Abo mit 12-monatiger Vertragsdauer |
| Preise | Pro Richtlinie, Regel und Anfrage (siehe Preise) |
|
|
| Schutz vor DDoS-Angriffen |
|
|
|
| Erweiterter DDoS-Netzwerkschutz | Nein | Ja | Ja |
| Sicherheitsrichtlinien für den Netzwerk-Edge | Nein | Ja | Ja |
| Google Cloud Armor-WAF | Pro Richtlinie, Regel und Anfrage (siehe Preise) | In Paygo enthalten | In „Jahrestarif“ enthalten |
| Ressourcenlimits | Bis zum Kontingentlimit | Bis zum Kontingentlimit | Bis zum Kontingentlimit |
| Laufzeit | – | – | Ein Jahr |
| Benannte IP-Adresslisten | |||
| Adressgruppe | |||
| Threat Intelligence | |||
| Adaptive Protection | Nur Benachrichtigungen | ||
| Sichtbarkeit von DDoS-Angriffen | – | ||
| Support für DDoS-Antworten | – | (mit Premium-Support) | |
| DDoS-Rechnungsschutz | – | ||
Cloud Armor Enterprise abonnieren
Wenn Sie die zusätzlichen Dienste und Funktionen in Cloud Armor Enterprise verwenden möchten, müssen Sie sich zuerst bei Cloud Armor Enterprise registrieren. Sie können Cloud Armor Enterprise jährlich abonnieren und einzelne Projekte oder ein Projekt direkt in Cloud Armor Enterprise Paygo registrieren.
Wir empfehlen Ihnen dringend, Ihre Projekte so bald wie möglich bei Cloud Armor Enterprise anzumelden, da die Aktivierung bis zu 24 Stunden dauern kann.
Externer Application Load Balancer und externer Proxy-Network Load Balancer
Nachdem ein Projekt bei Cloud Armor Enterprise registriert wurde, werden die Weiterleitungsregeln innerhalb des Projekts der Registrierung hinzugefügt. Darüber hinaus werden alle Back-End-Dienste und Back-End-Buckets als geschützte Ressourcen gezählt und nach den Kosten für geschützte Cloud Armor Enterprise-Ressourcen abgerechnet. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise jährlich werden für alle registrierten Projekte in einem Rechnungskonto zusammengefasst, während die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Paygo im Projekt aggregiert werden.
Externer Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)
Google Cloud Armor bietet die folgenden Optionen, um diese Endpunkte vor DDoS-Angriffen zu schützen:
- Standard-DDoS-Schutz für Netzwerke: grundlegender Always-On-Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitungen oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Erzwingung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Dies wird von Google Cloud Armor Standard abgedeckt und erfordert keine zusätzlichen Abos.
- Erweiterter DDoS-Schutz für Netzwerke: zusätzlicher Schutz für Cloud Armor Enterprise-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird für einzelne Regionen konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet Google Cloud Armor die immer aktive Erkennung von volumetrischen Angriffen und die gezielte Abwehr von externen Passthrough-Network Load Balancern, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.
Support für DDoS-Antworten
Für den Google Cloud Armor Enterprise-Antwortsupport für verteilte Denial-of-Service-Antworten (DDoS) muss Ihr Projekt für Cloud Armor Enterprise jährlich registriert sein. Der Response-Support bietet rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen gegen DDoS-Angriffe vom selben Team, das alle Google-Dienste schützt. Sie können den Reaktionssupport während eines Angriffs in Anspruch nehmen, um den Angriff abzumildern, oder Sie können sich proaktiv an Sie wenden, um ein bevorstehendes Ereignis mit hohem Volumen oder potenziell viralen Ereignissen (eines, das eine ungewöhnlich hohe Anzahl von Besuchern anziehen könnte) zu planen.
Den DDoS-Antwort-Support einbinden
Die folgenden Kriterien erfüllen die Voraussetzungen, um einen Fall zu eröffnen und Hilfe vom Supportteam der Google Cloud Armor-DDoS-Antwort zu erhalten:
- Ihr Rechnungskonto hat ein aktives Cloud Armor Enterprise-Jahresabo.
- Ihr Rechnungskonto hat ein Premium-Konto für Cloud Customer Care.
- Das Google Cloud-Projekt mit der angegriffenen Arbeitslast ist für „Cloud Armor Enterprise jährlich“ registriert.
- Wenn Sie projektübergreifende Dienstreferenzen verwenden, müssen sowohl die Frontend- als auch die Backend-Dienstprojekte für Cloud Armor Enterprise jährlich registriert sein.
Informationen zum Support für DDoS-Antworten finden Sie unter Supportanfrage für DDoS-Antwort öffnen.
DDoS-Rechnungsschutz
Für den Google Cloud Armor-DDoS-Abrechnungsschutz muss Ihr Projekt für Cloud Armor Enterprise jährlich registriert sein. Er bietet Guthaben für die zukünftige Nutzung von Google Cloud für einige Erhöhungen der Kosten durch Cloud Load Balancing, Google Cloud Armor und ausgehende Netzwerk-Internet-, interregionale und zonenübergreifende ausgehende Datenübertragungen aufgrund eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:
| Endpunkttyp | Erhöhung der abgedeckten Nutzung | |
|---|---|---|
|
Google Cloud Armor | Cloud Armor Enterprise-Datenverarbeitungsgebühr |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Zwischen Zonen | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Verarbeitung eingehender Daten | |
| Gebühr für die Verarbeitung ausgehender Daten | ||
|
Google Cloud Armor | Cloud Armor Enterprise-Datenverarbeitungsgebühr |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Zwischen Zonen | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Verarbeitung eingehender Daten | |
| Gebühr für die Verarbeitung ausgehender Daten |
Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.
Downgrade von Cloud Armor Enterprise
Wenn Sie ein Projekt aus Cloud Armor Enterprise entfernen, werden alle Sicherheitsrichtlinien eingefroren, die Regeln mit exklusiven Cloud Armor Enterprise-Features (erweiterte Regeln) verwenden. Eingefrorene Sicherheitsrichtlinien haben die folgenden Eigenschaften:
- Google Cloud Armor wertet den Traffic weiterhin anhand von Regeln in der Richtlinie aus, einschließlich erweiterter Regeln.
- Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
- Sie können nur die folgenden Vorgänge für die Sicherheitsrichtlinie ausführen:
- Sie können Sicherheitsrichtlinienregeln löschen.
- Wenn Sie die Regelpriorität nicht ändern, können Sie erweiterte Regeln aktualisieren, damit sie keine exklusiven Features von Cloud Armor Enterprise mehr verwenden. Wenn Sie alle erweiterten Regeln auf diese Weise ändern, wird die Richtlinie nicht mehr eingefroren. Weitere Informationen zum Aktualisieren von Sicherheitsrichtlinienregeln finden Sie unter Einzelne Regel in einer Sicherheitsrichtlinie aktualisieren.
Sie können sich auch noch einmal für Cloud Armor Enterprise jährlich oder Cloud Armor Enterprise Paygo registrieren, um den Zugriff auf Ihre eingefrorenen Sicherheitsrichtlinien wiederherzustellen.
Erweiterter DDoS-Netzwerkschutz
Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die bei Cloud Armor Enterprise registriert sind. Wenn Sie ein Projekt mit einer aktiven erweiterten DDoS-Netzwerkrichtlinie aus Cloud Armor Enterprise entfernen, wird Ihnen das Feature weiterhin gemäß den Cloud Armor Enterprise-Preisen in Rechnung gestellt.
Wir empfehlen, alle erweiterten DDoS-Schutzregeln für Netzwerke zu löschen, bevor Sie Ihr Projekt von Cloud Armor Enterprise abmelden. Sie können die erweiterten DDoS-Schutzregeln für Netzwerke aber auch nach dem Downgrade löschen.
Nutzungsbedingungen und Einschränkungen
Für Cloud Armor Enterprise gelten die folgenden Bedingungen und Einschränkungen:
- Allgemeines: Wenn bei einem für Cloud Armor Enterprise registrierten Projekt ein DoS-Angriff (Denial of Service) eines Drittanbieters auf einen geschützten Endpunkt erfolgt („qualifizierter Angriff“) und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, gewährt Google eine Gutschrift in Höhe der abgedeckten Gebühren, sofern die abgedeckten Gebühren den Mindestgrenzwert überschreiten. Lasttests und Sicherheitsbewertungen, die vom oder im Auftrag des Kunden durchgeführt werden, sind keine qualifizierten Angriffe.
- Bedingungen: Der Kunde muss innerhalb von 30 Tagen nach dem Ende des qualifizierten Angriffs eine Anfrage an den Cloud Billing-Support senden. Die Anfrage muss Nachweise für den qualifizierten Angriff enthalten, z. B. Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs sowie die angegriffenen Projekte und Ressourcen angeben, sowie eine Schätzung der anfallenden Gebühren. Google bestimmt in angemessener Weise, ob Gutschriften fällig sind und wie hoch der Betrag ist. Weitere Bedingungen für bestimmte Google Cloud Armor-Features sind in der Dokumentation enthalten.
- Guthaben: Guthaben, die dem Kunden im Zusammenhang mit diesem Abschnitt zur Verfügung gestellt werden, haben keinen Barwert und können nur zur Verrechnung zukünftiger Gebühren für die Dienste verwendet werden. Dieses Guthaben läuft 12 Monate nach seiner Ausstellung oder nach Beendigung oder Ablauf der Vereinbarung ab.
- Definitionen:
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden direkt infolge des qualifizierten Angriffs für Folgendes entstehen:
- Eingehende und ausgehende Datenverarbeitung für den Google Cloud Load Balancer-Dienst
- Google Cloud Armor Enterprise-Datenverarbeitung für den Google Cloud Armor-Dienst
- Ausgehender Netzwerktraffic, einschließlich zwischen Regionen, Zonen, Internet und Carrier Peering ausgehender Traffic
- Mindestschwelle: Der Mindestbetrag der abgedeckten Gebühren, die gemäß diesem Abschnitt gutgeschrieben werden können, wie von Google gelegentlich festgelegt und dem Kunden auf Anfrage mitgeteilt.
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden direkt infolge des qualifizierten Angriffs für Folgendes entstehen:
Nächste Schritte
- Projekte in Cloud Armor Enterprise abonnieren und registrieren
- Fehlerbehebung
- Referenz der Sprache für benutzerdefinierte Regeln verwenden