Google Cloud Armor Enterprise est le service de protection des applications qui contribue à protéger vos applications et services Web contre les attaques par déni de service distribué (DDoS) et d'autres menaces provenant d'Internet. Cloud Armor Enterprise contribue à protéger les applications déployées sur Google Cloud, sur site ou sur d'autres fournisseurs d'infrastructure.
Différence entre Google Cloud Armor Standard et Cloud Armor Enterprise
Google Cloud Armor est proposé en deux niveaux de service : Standard et Cloud Armor Enterprise.
Google Cloud Armor Standard inclut les éléments suivants:
- Un modèle de paiement à l'usage
- Protection permanente contre les attaques DDoS volumétriques et basées sur un protocole, avec des atténuations intégrées automatiques en temps réel et sans impact sur la latence pour les types d'infrastructures suivants :
- Équilibreur de charge d'application (HTTP/HTTPS) externe global
- Équilibreur de charge d'application classique (HTTP/HTTPS)
- Équilibreur de charge d'application externe régional (HTTP/HTTPS)
- Équilibreur de charge réseau proxy externe global (TCP/SSL)
- Cloud CDN
- Media CDN
- Intégration avec Cloud CDN et Media CDN
- Accès aux fonctionnalités des règles de pare-feu d'application Web (WAF) Google Cloud Armor y compris des règles WAF préconfigurées pour le top 10 de l'OWASP protection
Cloud Armor Enterprise inclut les éléments suivants:
- Toutes les fonctionnalités de Google Cloud Armor Standard
- Choix des modèles de tarification: Cloud Armor Enterprise annuel ou Paygo
- Utilisation du WAF Google Cloud Armor groupée, y compris les règles, la stratégie et les requêtes
- Listes d'adresses IP tierces nommées
- Threat Intelligence pour Google Cloud Armor
- Adaptive Protection pour Points de terminaison de couche 7
- Protection DDoS réseau avancée pour les points de terminaison passthrough : équilibreurs de charge réseau passthrough externes, transfert de protocole et adresses IP publiques pour les instances de machine virtuelle (VM)
- (Cloud Armor Enterprise annuel uniquement) : accès à la protection des factures contre les attaques DDoS et aux services de l'équipe de réponse DDoS (conditions supplémentaires applicables, consultez la section Éligibilité à l'équipe de réponse DDoS)
- Accès à la visibilité sur les attaques DDoS
Tous les projets Google Cloud qui incluent un équilibreur de charge d'application externe ou un équilibreur de charge réseau proxy externe sont automatiquement enregistrés dans Google Cloud Armor Standard. Après vous être abonné à Cloud Armor Enterprise au au niveau du compte de facturation, les utilisateurs peuvent choisir d'enregistrer les projets individuels associés au compte de facturation dans Cloud Armor Enterprise.
Le tableau suivant récapitule les deux niveaux de service .
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuel | ||
| Mode de facturation | Paiement à l'usage | Paiement à l'usage | Abonnement avec engagement de 12 mois |
| Tarifs | Par stratégie, par règle, par requête (consultez la page Tarifs) |
|
|
| Protection contre les attaques DDoS |
|
|
|
| Protection DDoS avancée du réseau | Non | Oui | Oui |
| Règles de sécurité de périphérie de réseau | Non | Oui | Oui |
| WAF Google Cloud Armor | Par stratégie, par règle, par requête (consultez la page Tarifs) | Inclus avec Paygo | Inclus avec l'abonnement annuel |
| Limites de ressources | Jusqu'à la limite de quota | Jusqu'à la limite de quota | Jusqu'à la limite de quota |
| Engagement de temps | N/A | N/A | Un an |
| Groupe d'adresses | |||
| Threat Intelligence | |||
| Adaptive Protection | Alertes uniquement | ||
| Visibilité de l'attaque DDoS | N/A | ||
| Assistance de gestion des attaques DDoS | N/A | Critères d'éligibilité | |
| Protection des factures contre les attaques DDoS | N/A | ||
S'abonner à Cloud Armor Enterprise
Pour utiliser les services et fonctionnalités supplémentaires de Cloud Armor Enterprise, vous devez d'abord vous inscrire à Cloud Armor Enterprise. Vous pouvez vous abonner à Cloud Armor Enterprise annuel et enregistrer des projets individuels, ou enregistrer un projet directement dans Cloud Armor Enterprise Paygo.
Nous vous recommandons vivement d'enregistrer vos projets dans Cloud Armor Enterprise dès que possible, car l'activation peut prendre jusqu'à 24 heures.
Équilibreur de charge d'application externe et équilibreur de charge réseau proxy externe
Une fois qu'un projet est enregistré dans Cloud Armor Enterprise, les règles de transfert au sein du projet sont ajoutées à l'enregistrement. De plus, toutes les instances et les buckets backend sont comptabilisés comme des ressources protégées et mesurés liés au coût des ressources protégées par Cloud Armor Enterprise. Les services de backend et les buckets backend de Cloud Armor Enterprise annuel sont agrégés dans tous les projets enregistrés d'un compte de facturation, tandis que les services de backend et les buckets backend de Cloud Armor Enterprise Paygo sont agrégés dans le projet.
Équilibreur de charge réseau passthrough externe, transfert de protocole et adresses IP publiques (VM)
Google Cloud Armor propose les options suivantes pour protéger ces points de terminaison contre les attaques DDoS :
- Protection DDoS standard du réseau : protection de base permanente pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole ou les VM ayant des adresses IP publiques. Cela inclut l'application des règles de transfert et la limitation automatique du débit. Cette fonctionnalité est incluse dans Google Cloud Armor Standard et ne nécessite aucun abonnement supplémentaire.
- Protection DDoS avancée du réseau : protections supplémentaires pour les abonnés à Cloud Armor Enterprise. La protection DDoS avancée du réseau est configurée par région. Lorsqu'il est activé pour une région particulière, Google Cloud Armor fournit une détection et une atténuation constamment activées des attaques volumétriques ciblées pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole et les VM avec adresses IP publiques au sein de cette région.
Assistance de gestion des attaques DDoS
La réponse aux attaques DDoS offre une aide 24h/24, 7j/7 et des mesures d'atténuation personnalisées Les attaques DDoS sont lancées par la même équipe qui protège tous les services Google. Vous pouvez engager pendant une attaque pour aider à atténuer l'attaque, ou vous pouvez atteindre de manière proactive pour planifier un événement à fort volume ou potentiellement viral à venir. (qui pourrait attirer un nombre anormalement élevé de visiteurs).
Une assistance proactive est disponible pour tous les clients Google Cloud Armor, même si s'il n'a pas terminé d'examen de sa stratégie DDoS. L'assistance proactive nous permet de postuler des règles préconfigurées qui ciblent les types d'attaques DDoS courants avant l'attaque atteindra Google Cloud Armor. Pour savoir comment faire face aux attaques DDoS, consultez Obtenez de l'aide pour une demande d'attaque DDoS.
Examen de la stratégie DDoS
L'objectif de l'examen de la posture DDoS est d'améliorer l'efficacité et l'efficacité du processus de réponse aux attaques DDoS. Au cours du processus d'examen, nous nous familiarisons avec votre cas d'utilisation et votre architecture uniques, et nous vérifions que vos stratégies de sécurité Google Cloud Armor sont configurées conformément à nos bonnes pratiques. Cela vous permet d'améliorer votre résilience préventive aux attaques DDoS.
L'examen de la stratégie DDoS est fourni aux clients qui s'abonnent à Cloud Armor Enterprise annuel et disposent Compte Premium pour Cloud Customer Care.
Éligibilité à l'assistance de gestion des attaques DDoS
Vous remplissez les critères suivants pour pouvoir ouvrir une demande et recevoir de l'aide de l'équipe d'assistance de gestion des attaques DDoS de Google Cloud Armor :
- Votre compte de facturation dispose d'un abonnement annuel Cloud Armor Enterprise actif.
- Votre compte de facturation dispose d'un compte Premium pour Cloud Customer Care.
- Le projet Google Cloud avec la charge de travail attaquée est
inscrit à Cloud Armor Enterprise annuel.
- Si vous utilisez référencement de services inter-projets, les projets de service d'interface et de backend doivent être enregistrés Cloud Armor Enterprise annuel.
- (Pour les clients ayant souscrit un abonnement à Cloud Armor Enterprise annuel après 3 septembre 2024 : projet avec la charge de travail attaquée doit avoir fait l'objet d'un examen annuel de sa stratégie contre les attaques DDoS.
Pour savoir comment faire face aux attaques DDoS, consultez Obtenez de l'aide pour une demande d'attaque DDoS.
Protection des factures contre les attaques DDoS
La protection des factures contre les attaques DDoS de Google Cloud Armor nécessite l'enregistrement de votre projet de Cloud Armor Enterprise annuel. Elle offre des crédits pour de futurs l'utilisation de Google Cloud pour certaines augmentations des factures de Cloud Load Balancing, Google Cloud Armor, et l'Internet réseau, le transfert de données sortant interzone à la suite d’une attaque DDoS vérifiée. Si une demande est reconnue et qu'un crédit est fourni, celui-ci ne peut pas être utilisé pour compenser l'utilisation existante. Le crédit ne peut être appliqué qu'à une utilisation future. Le tableau suivant montre les ressources couvertes par la protection des factures contre les attaques DDoS :
| Endpoint Type (Type de point de terminaison) | Augmentation de l'utilisation couverte | |
|---|---|---|
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes | ||
| Media CDN | Frais de sortie du CDN multimédia (équilibreur de charge d'application externe uniquement) | |
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes |
Pour en savoir plus sur la protection des factures contre les attaques DDoS, consultez la page Impliquer la protection des factures contre les attaques DDoS.
Migrer des projets entre des comptes de facturation
À partir du 3 septembre 2024, si vous migrez votre projet depuis un compte de facturation unique à un abonnement Cloud Armor Enterprise annuel, mais que le nouveau compte de facturation ne dispose pas d'un abonnement Cloud Armor Enterprise annuel, votre projet repassera à Google Cloud Armor Standard après la migration terminé. Par conséquent, si vous souhaitez conserver votre projet dans Cloud Armor Enterprise annuel sans temps d'arrêt, nous vous recommandons d'abonner votre nouveau compte de facturation à Cloud Armor Enterprise annuel avant de commencer le processus de migration. Vous pouvez également migrer votre abonnement d'un compte de facturation à l'autre en contactant Cloud Billing l'assistance technique.
Les projets enregistrés dans Cloud Armor Enterprise Paygo ne sont pas affectés par la migration d'un compte de facturation.
Passer à une édition inférieure depuis Cloud Armor Enterprise
Lorsque vous supprimez un projet de Cloud Armor Enterprise, toutes les stratégies de sécurité qui utilisent des règles avec des fonctionnalités exclusives à Cloud Armor Enterprise (règles avancées) sont bloquées. Les stratégies de sécurité figées sont les propriétés suivantes:
- Google Cloud Armor continue d'évaluer le trafic par rapport aux règles de la stratégie, y compris les règles avancées.
- Vous ne pouvez pas associer la stratégie de sécurité à de nouvelles cibles.
- Vous ne pouvez effectuer que les opérations suivantes sur la stratégie de sécurité:
<ph type="x-smartling-placeholder">
- </ph>
- Vous pouvez supprimer des règles de stratégie de sécurité.
- Si vous ne modifiez pas la priorité des règles, vous pouvez mettre à jour les règles avancées afin qu'elles n'utilisent plus les fonctionnalités exclusives à Cloud Armor Enterprise. Si vous modifiez toutes les règles avancées de cette manière, votre stratégie n'est plus figée. Pour en savoir plus sur la mise à jour des règles de stratégie de sécurité, consultez Mettre à jour une seule règle d'une stratégie de sécurité
Vous pouvez également vous réinscrire au forfait Cloud Armor Enterprise annuel ou Cloud Armor Enterprise Paygo pour restaurer l'accès à votre sécurité bloquée règles.
Protection DDoS avancée du réseau
La protection DDoS avancée du réseau n'est disponible que pour les projets enregistrés Cloud Armor Enterprise. Lorsque vous supprimez un projet avec une stratégie de protection DDoS avancée du réseau active de Cloud Armor Enterprise, la fonctionnalité vous est toujours facturée en fonction des tarifs de Cloud Armor Enterprise.
Nous vous recommandons de supprimer les règles avancées de protection DDoS du réseau avant vous annulez l'enregistrement de votre projet dans Cloud Armor Enterprise, mais vous pouvez aussi supprimer les règles de protection DDoS avancées du réseau après le retour à une version antérieure.
Conditions et limites
Les conditions et limites suivantes s'appliquent à Cloud Armor Enterprise:
- Généralement: si un projet enregistré dans Cloud Armor Enterprise subit une une attaque par déni de service tierce sur un terminal protégé "Attaque") et que les conditions décrites dans la section suivante sont remplies, Google fournit un crédit équivalent aux Frais couverts, à condition que le Les frais encourus dépassent le Seuil minimal. Les tests de charge et les évaluations de sécurité effectués par ou pour le compte du Client ne sont pas des Attaques qualifiées.
- Conditions : Le client doit envoyer une demande à l'assistance Cloud Billing dans les 30 jours suivant la fin de l'Attaque qualifiée. La demande doit inclure des preuves de l'Attaque qualifiée, telles que des journaux ou d'autres données de télémétrie indiquant la date et l'heure de l'attaque, les Projets et ressources qui ont été attaqués, ainsi qu'une estimation des Frais encourus. Google déterminera raisonnablement si des crédits sont à régler ainsi que le montant approprié. Autres conditions pour les fonctionnalités spécifiques de Google Cloud Armor sont incluses dans la Documentation.
- Crédits : les crédits fournis au Client en lien avec cette section n'ont aucune valeur monétaire et ne peuvent être appliqués qu'à compenser des Frais futurs pour les Services. Ces crédits expirent 12 mois après leur émission, ou à la résiliation ou à l'expiration du Contrat.
- Définitions:
- Frais couverts: tous les frais encourus par le Client à la suite de la
Attaque qualifiée dans les cas suivants:
- Traitement des données d'Ingress et sortantes pour le chargement Google Cloud service d'équilibrage de charge.
- Traitement des données Google Cloud Armor Enterprise pour le service Google Cloud Armor.
- Sortie réseau, y compris interrégionale, interzone, Internet et Sortie d'appairage opérateur.
- Seuil minimal : montant minimal de Frais couverts qui peuvent être recrédités dans le cadre de cette Section tels que déterminés par Google de temps en temps et communiqués au Client sur demande.
- Frais couverts: tous les frais encourus par le Client à la suite de la
Attaque qualifiée dans les cas suivants:
Étape suivante
- S'abonner et enregistrer des projets dans Cloud Armor Enterprise
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées