Google Cloud Armor Enterprise es el servicio de protección de aplicaciones que ayuda a proteger tus aplicaciones y servicios web de ataques de denegación de servicio distribuido (DDoS) y otras amenazas de Internet. Cloud Armor Enterprise ayuda a proteger las aplicaciones implementadas en Google Cloud, de forma local o en otros proveedores de infraestructura.
Comparación entre Google Cloud Armor Standard y Cloud Armor Enterprise
Google Cloud Armor se ofrece en dos niveles de servicio: Standard y Cloud Armor Enterprise:
Google Cloud Armor Standard incluye lo siguiente:
- Un modelo de precios prepagos
- Protección siempre activa contra ataques de DSD volumétricos basados en protocolos en toda tu infraestructura de balanceo de cargas global y regional
- Acceso a las capacidades de reglas de firewall de aplicación web (WAF) de Google Cloud Armor. incluidas las reglas de WAF preconfiguradas para OWASP Top 10. protección
Cloud Armor Enterprise incluye lo siguiente:
- Todas las funciones de Google Cloud Armor Standard
- Elección de modelos de precios: Cloud Armor Enterprise anual o de pago
- Uso de WAF en paquete de Google Cloud Armor, lo que incluye reglas, políticas y solicitudes
- Listas de direcciones IP con nombre de terceros
- Inteligencia contra amenazas para Google Cloud Armor
- Protección adaptable para extremos de la capa 7
- Protección avanzada contra DSD de red de transferencia balanceadores de cargas de red de transferencia externos, reenvío de protocolos Direcciones IP para instancias de máquina virtual (VM)
- (Solo Cloud Armor Enterprise Anual): Acceso a los servicios del equipo de respuesta ante DSD y la protección contra facturas de DSD (se aplican condiciones adicionales, consulta Elegibilidad para el equipo de respuesta ante DSD)
- Acceso a la visibilidad de los ataques DDoS
Todos los proyectos de Google Cloud que incluyen un balanceador de cargas de aplicaciones externo o un balanceador de cargas de red de proxy externo se inscriben automáticamente en Google Cloud Armor Standard. Después de suscribirte a Cloud Armor Enterprise en a nivel de la cuenta de facturación, los usuarios pueden optar por inscribir proyectos individuales adjuntos a la cuenta de facturación en Cloud Armor Enterprise.
En la siguiente tabla, se resumen los dos niveles de servicio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Anual | ||
| Método de facturación | Pago por uso | Pago por uso | Suscripción con compromiso de 12 meses |
| Precios | Por política, por regla y por solicitud (consulta Precios) |
|
|
| Protección contra ataques de DSD |
|
|
|
| Protección avanzada contra DSD de red | No | Sí | Sí |
| Políticas de seguridad perimetral de red | No | Sí | Sí |
| WAF de Google Cloud Armor | Por política, por regla y por solicitud (consulta Precios) | Incluido con Paygo | Incluido con el plan anual |
| Límites de recursos | Hasta el límite de cuota | Hasta el límite de cuota | Hasta el límite de cuota |
| Compromiso de tiempo | N/A | N/A | Un año |
| Grupo de direcciones | |||
| Threat Intelligence | |||
| Protección adaptable | Solo alertas | ||
| Visibilidad de ataques DDoS | N/A | ||
| Compatibilidad con respuestas ante DSD | N/A | Requisitos de elegibilidad | |
| Protección contra facturas DSD | N/A | ||
Suscríbete a Cloud Armor Enterprise
Para usar los servicios y las capacidades adicionales en Cloud Armor Enterprise, primero debes inscribirte en Cloud Armor Enterprise. Puedes suscribirte a Cloud Armor Enterprise anual y inscribir proyectos individuales, o bien inscribir un proyecto directamente en Cloud Armor Enterprise con pago por uso.
Te recomendamos que inscribas tus proyectos en Cloud Armor Enterprise lo antes posible, ya que la activación puede tardar hasta 24 horas.
Balanceador de cargas de aplicaciones externo y balanceador de cargas de red de proxy externo
Después de inscribir un proyecto en Cloud Armor Enterprise, el reglas dentro del proyecto se agregan a la inscripción. Además, todas las reglas y los buckets de backend se cuentan como recursos protegidos y se miden por el costo de los recursos protegidos de Cloud Armor Enterprise. Los servicios de backend y backend en Cloud Armor Enterprise anual se agregan todos los proyectos inscritos en una cuenta de facturación, mientras que los servicios de backend en Cloud Armor Enterprise Paygo se agregan el proyecto.
Balanceador de cargas de red de transferencia externo, reenvío de protocolos y direcciones IP públicas (VMs)
Google Cloud Armor ofrece las siguientes opciones para proteger estos extremos contra los ataques de DDoS:
- Protección estándar contra DSD de red: Protección básica siempre activa para balanceadores de cargas de red de transferencia externos, reenvío de protocolos o VMs con direcciones IP públicas. Esto incluye la aplicación de reglas de reenvío y el límite de frecuencia automático. Esto se incluye en Google Cloud Armor Standard y no requiere ninguna suscripción adicional.
- Protección avanzada contra DDoS de red: protecciones adicionales para los suscriptores de Cloud Armor Enterprise. La protección avanzada contra DSD de red se configura por región. Cuando se habilita en una región en particular, Google Cloud Armor proporciona detección y mitigación siempre activas de ataques volumétricos dirigidos para balanceadores de cargas de red de transferencia externos, reenvío de protocolos y VMs con direcciones IP públicas en esa región.
Compatibilidad con respuestas ante DSD
La asistencia de la respuesta ante DDoS proporciona ayuda las 24 horas, todos los días, y posibles mitigaciones personalizadas de Ataques DSD del mismo equipo que protege todos los servicios de Google Puedes comunicarte con el equipo de asistencia de respuesta durante un ataque para mitigarlo o comunicarte de forma proactiva para planificar un próximo evento de gran volumen o potencialmente viral (un evento que pueda atraer una gran cantidad de visitantes inusual).
La asistencia proactiva está disponible para todos los clientes de Google Cloud Armor, incluso si no completaron una revisión de postura de DSD. La asistencia proactiva nos permite aplicar reglas preconfiguradas que apuntan a tipos de ataque DSD comunes antes del ataque llegue a Google Cloud Armor. Para obtener asistencia con la respuesta ante DSD, consulta Obtén asistencia para un DSD DDoS.
Revisión de la postura contra DDoS
El objetivo de la revisión de la postura de DDoS es mejorar la eficiencia y la eficacia del proceso de respuesta a DDoS. Durante el proceso de revisión, obtenemos tus datos caso de uso y arquitectura únicos, y verificarás que tu cuenta de Google Cloud Armor las políticas de seguridad se configuran de acuerdo con prácticas recomendadas. Esto te ayudará a aumentar y resiliencia preventiva frente a ataques DSD.
La revisión de la postura de DDoS se proporciona a los clientes que se suscriben a Cloud Armor Enterprise anual y tienen una cuenta Premium para el equipo de Atención al cliente de Cloud.
Elegibilidad para la asistencia de respuesta ante DSD
Los siguientes criterios te califican para abrir un caso y recibir ayuda del equipo de asistencia de respuesta de DSD de Google Cloud Armor:
- Tu cuenta de facturación tiene una cuenta de Cloud Armor Enterprise anual suscripción.
- Si tu cuenta de facturación tiene una cuenta Premium para Atención al cliente de Cloud.
- El proyecto de Google Cloud con la carga de trabajo que está siendo atacada está
te inscribiste en Cloud Armor Enterprise anual.
- Si usas referencias de servicios entre proyectos, los proyectos de servicios de frontend y backend deben estar inscritos en Cloud Armor Enterprise Annual.
- (Para clientes que se suscribieron a Cloud Armor Enterprise anual después 3 de septiembre de 2024): El proyecto con la carga de trabajo que está siendo atacada deben haberse sometido a una revisión anual de postura de DSD.
Para habilitar la compatibilidad con respuestas de DSD, consulta Obtén asistencia para un caso de DSD.
Protección contra facturas DSD
La protección contra facturas de DDoS de Google Cloud Armor requiere que tu proyecto esté inscrito en Cloud Armor Enterprise anual. Proporciona créditos para futuras El uso de Google Cloud para algunos aumentos en la facturación de Cloud Load Balancing Google Cloud Armor, y la Internet de red, transferencia de datos de salida entre zonas como resultado de un ataque DSD verificado. Si se reconoce un reclamo y se proporciona un crédito, no se puede usar el crédito para compensar el uso existente. El crédito solo puede aplicarse al uso futuro. En la siguiente tabla, se muestra qué recursos cubre la protección contra facturas DSD:
| Endpoint Type | Aumento de uso cubierto | |
|---|---|---|
|
Google Cloud Armor | Tarifa por procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Interregional | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa de procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos salientes | ||
| Media CDN | Tarifa de salida de Media CDN (solo balanceador de cargas de aplicaciones externo) | |
|
Google Cloud Armor | Tarifa por procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Interregional | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa de procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos de salida |
Para usar la protección contra facturas DSD, consulta Genera protección contra facturas DSD.
Cómo migrar proyectos entre cuentas de facturación
A partir del 3 de septiembre de 2024, si migras tu proyecto desde una cuenta de facturación a otro mientras esté suscrito a Cloud Armor Enterprise anual, la cuenta de facturación nueva no está suscrita a Cloud Armor Enterprise anual, tu proyecto se revierte a Google Cloud Armor Standard después de la migración de datos completados. Por lo tanto, si deseas mantener tu proyecto en Cloud Armor Enterprise anual sin tiempo de inactividad, te recomendamos que subscribas tu nueva cuenta de facturación a Cloud Armor Enterprise anual antes de comenzar el proceso de migración. También puedes comunicarte con el equipo de asistencia de Facturación de Cloud para migrar tu suscripción de una cuenta de facturación a otra.
Los proyectos inscritos en el pago por uso de Cloud Armor Enterprise no se ven afectados por la migración de la cuenta de facturación.
Cómo cambiar a una versión inferior de Cloud Armor Enterprise
Cuando quitar un proyecto de Cloud Armor Enterprise, políticas de seguridad que usen reglas con reglas de firewall exclusivas de Cloud Armor Enterprise funciones (reglas avanzadas) se bloquearán. Las políticas de seguridad inmovilizadas tienen las siguientes propiedades:
- Google Cloud Armor continúa evaluando el tráfico en función de las reglas del política, incluidas las reglas avanzadas.
- No puedes conectar la política de seguridad a destinos nuevos.
- Solo puedes realizar las siguientes operaciones en la política de seguridad:
- Puedes borrar reglas de la política de seguridad.
- Si no cambia la prioridad de la regla, puede actualizar las reglas avanzadas que ya no usan funciones exclusivas de Cloud Armor Enterprise. Si modificas todas las reglas avanzadas de esta manera, tu política ya no estará inmovilizada. Para obtener más información sobre la actualización de las reglas de políticas de seguridad, consulta Actualiza una sola regla en una política de seguridad.
También puedes volver a inscribirte en Cloud Armor Enterprise anual o Cloud Armor Enterprise con pago por uso para restablecer el acceso a la seguridad congelada y políticas de seguridad.
Protección avanzada contra DSD de red
La protección avanzada contra DDoS de red solo está disponible para los proyectos inscritos en Cloud Armor Enterprise. Si quitas un proyecto que tiene un parámetro avanzado activo política de DSD de red de Cloud Armor Enterprise, se te seguirá facturando la función en función de Precios de Cloud Armor Enterprise.
Te recomendamos que borres todas las reglas avanzadas de protección contra DSD de red antes das de baja tu proyecto en Cloud Armor Enterprise, pero también y borrar las reglas avanzadas de protección contra DSD de red después de cambiar a una versión inferior.
Condiciones y limitaciones
Cloud Armor Enterprise tiene las siguientes condiciones y limitaciones:
- De forma general: Si un proyecto inscrito en Cloud Armor Enterprise experimenta una ataque de denegación del servicio de terceros en un endpoint protegido ("calificado Attack") y las condiciones descritas en la siguiente sección, Google proporciona un crédito equivalente a las Tarifas cubiertas, siempre que las Tarifas Las tarifas incurridas superan el Límite Mínimo. Pruebas de carga y seguridad las evaluaciones realizadas por el Cliente o en su nombre no son Ataques Calificados.
- Condiciones: El cliente debe enviar una solicitud al equipo de asistencia de Facturación de Cloud en un plazo de 30 días después de que finalice el ataque calificado. La solicitud debe incluir evidencia del ataque calificado, como registros o cualquier otra telemetría que indique el momento del ataque y los proyectos y recursos que se atacaron, y una estimación de las tarifas cubiertas incurridas. Google determinará de manera razonable si los créditos están vencidos y el importe adecuado. En la Documentación, se incluyen otras condiciones para funciones específicas de Google Cloud Armor.
- Créditos: Los créditos proporcionados al Cliente en relación con este Artículo no tienen valor en efectivo y solo se pueden aplicar para compensar las Tarifas futuras de los Servicios. Estos créditos vencen 12 meses después de su emisión o después de la rescisión o el vencimiento del Acuerdo.
- Definiciones:
- Tarifas cubiertas: Todas las Tarifas en las que incurra el Cliente como resultado directo del
Ataque calificado para lo siguiente:
- Procesamiento de datos entrantes y salientes para el servicio de equilibrador de cargas de Google Cloud
- Procesamiento de datos de Google Cloud Armor Enterprise para el servicio de Google Cloud Armor
- La salida de red, incluidos el tráfico entre regiones, entre zonas, Internet de Intercambio de tráfico por proveedores.
- Umbral Mínimo: Es el importe mínimo de las Tarifas Cubiertas que son aptas para acreditarse en virtud de esta Sección, según lo determine Google de vez en cuando y se le divulgue al Cliente si lo solicita.
- Tarifas cubiertas: Todas las Tarifas en las que incurra el Cliente como resultado directo del
Ataque calificado para lo siguiente:
¿Qué sigue?
- Cómo suscribirse y inscribir proyectos en Cloud Armor Enterprise
- Soluciona problemas
- Usa la referencia del lenguaje de reglas personalizadas