Google Cloud Armor Enterprise è la protezione delle applicazioni che aiuta a proteggere le applicazioni e i servizi web da istanze Attacchi denial of service (DDoS) e altre minacce da internet. Cloud Armor Enterprise aiuta a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastrutture.
Confronto tra Google Cloud Armor Standard e Cloud Armor Enterprise
Google Cloud Armor è offerto in due livelli di servizio: Standard e Cloud Armor Enterprise:
Google Cloud Armor Standard include quanto segue:
- Un modello di determinazione del prezzo con pagamento a consumo
- Protezione sempre attiva dagli attacchi DDoS volumetrici e basati su protocollo su la tua infrastruttura con bilanciamento del carico globale e regionale
- Accesso alle funzionalità delle regole WAF (Web Application Firewall) di Google Cloud Armor, incluse regole WAF preconfigurate per OWASP Top 10 protezione
Cloud Armor Enterprise include:
- Tutte le funzionalità della versione standard di Google Cloud Armor
- Scelta di modelli di prezzo: Cloud Armor Enterprise annuale o Paygo
- Utilizzo WAF di Google Cloud Armor, inclusi regole, criteri e richieste
- Elenchi di indirizzi IP denominati di terze parti
- Intelligence sulle minacce per Google Cloud Armor
- Adaptive Protection per Endpoint di livello 7
- Protezione DDoS di rete avanzata per il passthrough endpoint: bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e Indirizzi IP per le istanze di macchine virtuali (VM)
- (Solo Cloud Armor Enterprise annuale): accesso alla protezione delle fatture DDoS e dagli attacchi DDoS (si applicano condizioni aggiuntive, vedi Idoneità per il team di risposta DDoS)
- Accesso alla visibilità degli attacchi DDoS
Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Google Cloud Armor Standard. Dopo aver sottoscritto l'abbonamento a Cloud Armor Enterprise a livello di account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.
La tabella seguente riassume i due livelli di servizio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuale | ||
| Metodo di fatturazione | Pagamento a consumo | Pagamento a consumo | Abbonamento con impegno di 12 mesi |
| Prezzi | In base al criterio, alla regola e alla richiesta (vedi Prezzi) |
|
|
| Protezione dagli attacchi DDoS |
|
|
|
| Protezione DDoS di rete avanzata | No | Sì | Sì |
| Criteri di sicurezza perimetrale della rete | No | Sì | Sì |
| WAF di Google Cloud Armor | In base al criterio, alla regola e alla richiesta (vedi Prezzi) | Incluso in Paygo | Incluso nell'abbonamento annuale |
| Limiti delle risorse | Limite massimo di quota | Limite massimo di quota | Limite massimo di quota |
| Impegno in termini di tempo | N/D | N/D | Un anno |
| Gruppo di indirizzi | |||
| Threat Intelligence | |||
| Adaptive Protection | Solo avvisi | ||
| Visibilità degli attacchi DDoS | N/D | ||
| Supporto delle risposte DDoS | N/D | Requisiti di idoneità | |
| Protezione delle fatture DDoS | N/D | ||
Iscriviti a Cloud Armor Enterprise
Per utilizzare le funzionalità e i servizi aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi iscriverti a Cloud Armor Enterprise annuale e registra singoli progetti oppure può registrare un progetto direttamente in Cloud Armor Enterprise Paygo.
Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.
Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno
Dopo la registrazione di un progetto in Cloud Armor Enterprise, l'inoltro le regole specifiche del progetto vengono aggiunte alla registrazione. Inoltre, tutti i backend e i bucket di backend vengono conteggiati come risorse protette e vengono misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise annuale sono aggregati per tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend I bucket di backend in Cloud Armor Enterprise Paygo sono aggregati all'interno di del progetto.
Bilanciatore del carico di rete passthrough esterno, forwarding del protocollo e indirizzi IP pubblici (VM)
Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:
- Protezione DDoS di rete standard: protezione sempre attiva di base per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Ciò include l'applicazione regola di forwarding e la limitazione automatica della frequenza. Questo è coperto da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
- Protezione DDoS di rete avanzata: protezioni aggiuntive per Abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata viene configurata in base alla regione. Se abilitato per una particolare regione, Google Cloud Armor fornisce il rilevamento sempre attivo degli attacchi volumetrici e mitigazione mirata per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e VM con dagli indirizzi IP pubblici in quella regione.
Supporto delle risposte DDoS
Il supporto di DDoS Response offre un aiuto 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate Attacchi DDoS dallo stesso team che protegge tutti i servizi Google. Puoi interagire supporto per la risposta durante un attacco per contribuire a mitigare l'attacco, oppure potete raggiungere pianificare in modo proattivo un evento imminente ad alto volume o potenzialmente virale (un numero insolitamente elevato di visitatori).
L'assistenza proattiva è disponibile per tutti i clienti di Google Cloud Armor, anche se non hanno completato una revisione della postura DDoS. L'assistenza proattiva ci permette di presentare regole preconfigurate che prendono di mira i tipi di attacchi DDoS più comuni prima dell'attacco raggiunge Google Cloud Armor. Per interagire con il supporto delle risposte DDoS, consulta: Richiedere assistenza per una richiesta DDoS.
Revisione della postura DDoS
L'obiettivo della revisione della postura DDoS è migliorare l'efficienza e l'efficacia del processo di risposta DDoS. Durante la procedura di revisione, approfondiamo al caso d'uso e all'architettura unici e verifica che Google Cloud Armor i criteri di sicurezza vengono configurati in base best practice. Questo ti aiuta ad aumentare resilienza preventiva agli attacchi DDoS.
La revisione della posizione DDoS viene fornita ai clienti che sottoscrivono un abbonamento a Cloud Armor Enterprise annuale e dispongono di un account Premium per l'assistenza clienti Cloud.
Idoneità al supporto delle risposte DDoS
I seguenti criteri ti consentono di aprire una richiesta e ricevere aiuto dal team di assistenza per le risposte DDoS di Google Cloud Armor:
- Nel tuo account di fatturazione è attivo un Cloud Armor Enterprise annuale abbonamento.
- Il tuo account di fatturazione dispone di un account Premium per Assistenza clienti Google Cloud.
- Il progetto Google Cloud con il carico di lavoro che è sotto attacco
registrato in Cloud Armor Enterprise annuale.
- Se utilizzi riferimenti di servizi tra progetti, devono essere registrati sia i progetti di servizio frontend che di backend Cloud Armor Enterprise annuale.
- (Per i clienti che hanno sottoscritto un abbonamento a Cloud Armor Enterprise annuale dopo il 3 settembre 2024): il progetto con il carico di lavoro sotto attacco deve aver subito una revisione annuale della posizione DDoS.
Per interagire con il supporto delle risposte DDoS, consulta: Richiedere assistenza per una richiesta DDoS.
Protezione delle fatture DDoS
La protezione delle fatture DDoS di Google Cloud Armor richiede la registrazione del tuo progetto in Cloud Armor Enterprise annuale. Fornisce crediti per l'utilizzo futuro di Google Cloud per alcuni aumenti delle fatture di Cloud Load Balancing, Google Cloud Armor e per il trasferimento di dati in uscita su internet, tra regioni e tra zone della rete a seguito di un attacco DDoS verificato. Se una rivendicazione viene riconosciuti e forniti, i crediti non possono essere utilizzati per compensare utilizzo esistente; il credito può essere applicato solo a utilizzi futuri. La tabella seguente dimostra quali risorse sono coperte dalla protezione delle fatture DDoS:
| Tipo di endpoint | Aumento dell'utilizzo coperto | |
|---|---|---|
|
Google Cloud Armor | Tariffa per il trattamento dati di Cloud Armor Enterprise |
| Rete | Trasferimento dei dati in uscita | |
| Tra regioni | ||
| Tra zone | ||
| Peering con operatori | ||
| Bilanciatore del carico | Tariffa per il trattamento dei dati in entrata | |
| Tariffa per il trattamento dei dati in uscita | ||
| Media CDN | Tariffa per il traffico in uscita di Media CDN (solo per il bilanciatore del carico delle applicazioni esterno) | |
|
Google Cloud Armor | Tariffa per il trattamento dati di Cloud Armor Enterprise |
| Rete | Trasferimento dei dati in uscita | |
| Tra regioni | ||
| Tra zone | ||
| Peering con operatori | ||
| Bilanciatore del carico | Tariffa per l'elaborazione dei dati in entrata | |
| Tariffa per il trattamento dei dati in uscita |
Per attivare la protezione delle fatture DDoS, consulta Attivare la protezione delle fatture DDoS.
Migrazione dei progetti tra account di fatturazione
A partire dal 3 settembre 2024, se esegui la migrazione del progetto da un account di fatturazione a un altro dopo aver sottoscritto l'abbonamento a Cloud Armor Enterprise annuale, ma il nuovo account di fatturazione non ha sottoscritto un abbonamento a Cloud Armor Enterprise annuale, il tuo progetto torna a Google Cloud Armor Standard dopo la migrazione vengono completate. Quindi, se vuoi mantenere il progetto Cloud Armor Enterprise annuale senza tempi di inattività, ti consigliamo sottoscrivi il tuo nuovo account di fatturazione a Cloud Armor Enterprise annuale prima di iniziare il processo di migrazione. Puoi anche eseguire la migrazione del tuo abbonamento da un account di fatturazione all'altro contattando Cloud Billing assistenza.
I progetti registrati in Cloud Armor Enterprise Paygo non sono interessati da della migrazione dell'account di fatturazione.
Downgrade da Cloud Armor Enterprise
Quando rimuovi un progetto da Cloud Armor Enterprise, tutti i criteri di sicurezza che utilizzano regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) vengono bloccati. I criteri di sicurezza bloccati hanno le seguenti proprietà:
- Google Cloud Armor continua a valutare il traffico in base alle regole incluse le eventuali regole avanzate.
- Non puoi collegare il criterio di sicurezza a nuove destinazioni.
- Sul criterio di sicurezza puoi eseguire soltanto le seguenti operazioni:
- Puoi eliminare le regole del criterio di sicurezza.
- Se non modifichi la priorità delle regole, puoi aggiornarle in modo che non utilizzino più le funzionalità esclusive di Cloud Armor Enterprise. Se Se modifichi tutte le regole avanzate in questo modo, il criterio non sarà più bloccato. Per saperne di più sull'aggiornamento delle regole dei criteri di sicurezza, consulta Aggiornare una singola regola in un criterio di sicurezza.
Puoi anche iscriverti nuovamente a Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso ai tuoi sistemi di sicurezza bloccati criteri.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata è disponibile solo per i progetti registrati in con Cloud Armor Enterprise. Quando rimuovi un progetto con un livello avanzato attivo criterio DDoS di rete di Cloud Armor Enterprise, ti verranno comunque addebitati dei costi la caratteristica in base Prezzi di Cloud Armor Enterprise.
Ti consigliamo di eliminare eventuali regole di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto da Cloud Armor Enterprise, ma puoi anche eliminare le regole di protezione DDoS di rete avanzata dopo il downgrade.
Termini e limitazioni
Cloud Armor Enterprise prevede i termini e le limitazioni seguenti:
- In generale: se un progetto registrato in Cloud Armor Enterprise subisce una un attacco denial of service di terze parti su un endpoint protetto ("Qualificato attacco") e le condizioni descritte nella sezione successiva sono soddisfatte, Google fornisce un credito equivalente alle Commissioni coperte, a condizione che gli Le Tariffe sostenute superano la Soglia minima. Test di carico e sicurezza le valutazioni eseguite dal Cliente o per conto del Cliente non sono attacchi qualificati.
- Condizioni: il cliente deve inviare una richiesta all'assistenza per la fatturazione Cloud entro 30 giorni dopo il termine dell'attacco qualificato. La richiesta deve includere Prova dell'attacco qualificato, come log o altri dati di telemetria che indicano la tempistica dell'attacco e i progetti e le risorse attaccati, e una stima delle Tariffe coperte sostenute. Google stabilirà ragionevolmente sulla scadenza dei crediti e sull'importo appropriato. Altre condizioni per determinate funzionalità di Google Cloud Armor sono incluse nella documentazione.
- Crediti: tutti i crediti forniti al Cliente in relazione alla presente Sezione. non hanno valore in denaro e possono essere applicati solo per compensare le Tariffe future per Servizi. Questi crediti scadono 12 mesi dopo l'emissione o al termine o alla scadenza del Contratto.
- Definizioni:
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come diretta conseguenza dei
Attacco qualificato per:
- Elaborazione dei dati in entrata e in uscita per Google Cloud Load servizio di bilanciamento del carico.
- Elaborazione dei dati di Google Cloud Armor Enterprise per Google Cloud Armor assistenza.
- Traffico in uscita dalla rete, compresi tra regioni, tra zone, internet e In uscita dal peering con operatori.
- Soglia minima: l'importo minimo delle commissioni coperte che sono idoneo a ricevere un credito ai sensi di questa Sezione come stabilito da Google da di volta in volta e comunicati al Cliente su richiesta.
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come diretta conseguenza dei
Attacco qualificato per:
Passaggi successivi
- Sottoscrivi e registra i progetti in Cloud Armor Enterprise
- Risolvere i problemi
- Utilizzare il riferimento al linguaggio delle regole personalizzate