Google Cloud Armor Enterprise est le service de protection des applications gérées qui contribue à protéger vos applications et services Web contre les attaques par déni de service distribué (DDoS) et d'autres menaces provenant d'Internet. Cloud Armor Enterprise permet de protéger les applications déployées sur Google Cloud, sur site ou sur d'autres fournisseurs d'infrastructure.
Comparaison entre Google Cloud Armor Standard et Cloud Armor Enterprise
Google Cloud Armor est proposé dans deux niveaux de service : Standard et Cloud Armor Enterprise :
Google Cloud Armor Standard inclut les éléments suivants:
- Modèle de paiement à l'usage
- Protection permanente contre les attaques DDoS volumétriques et basées sur des protocoles sur votre infrastructure mondiale et régionale à équilibrage de charge
- Accès aux fonctionnalités des règles de pare-feu d'application Web (WAF) Google Cloud Armor, y compris les règles WAF préconfigurées pour la protection du top 10 de l'OWASP
Cloud Armor Enterprise inclut les éléments suivants:
- Toutes les fonctionnalités de Google Cloud Armor Standard
- Choix des modèles de tarification: Cloud Armor Enterprise annuel ou Paygo
- Utilisation groupée du WAF Google Cloud Armor, y compris les règles, les stratégies et les requêtes
- Listes d'adresses IP tierces nommées
- Threat Intelligence pour Google Cloud Armor
- Adaptive Protection pour les points de terminaison de couche 7
- Protection DDoS avancée du réseau pour les points de terminaison passthrough : équilibreurs de charge réseau passthrough externes, transfert de protocole et adresses IP publiques pour les instances de machines virtuelles (VM)
- (Cloud Armor Enterprise annuel uniquement): accès aux services de protection des factures et de réponse aux attaques DDoS de l'équipe (des conditions supplémentaires s'appliquent, consultez la page Engager la prise en charge des réponses aux attaques DDoS)
- Accès à la visibilité sur les attaques DDoS
Tous les projets Google Cloud qui incluent un équilibreur de charge d'application externe ou un équilibreur de charge réseau proxy externe sont automatiquement enregistrés dans Google Cloud Armor Standard. Une fois abonné à Cloud Armor Enterprise au niveau du compte de facturation, les utilisateurs peuvent choisir d'enregistrer des projets individuels associés au compte de facturation dans Cloud Armor Enterprise.
Le tableau suivant récapitule les deux niveaux de service .
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuel | ||
| Mode de facturation | Pay-as-you-go | Pay-as-you-go | Abonnement avec engagement de 12 mois |
| Tarification | Par stratégie, par règle, par requête (consultez la page Tarifs) |
|
|
| Protection contre les attaques DDoS |
|
|
|
| Protection DDoS avancée du réseau | Non | Oui | Oui |
| Règles de sécurité de périphérie de réseau | Non | Oui | Oui |
| WAF Google Cloud Armor | Par stratégie, par règle, par requête (consultez la page Tarifs) | Inclus avec Paygo | Inclus avec l'abonnement annuel |
| Limites de ressources | Jusqu'à la limite de quota | Jusqu'à la limite de quota | Jusqu'à la limite de quota |
| Engagement de temps | Non disponible | Non disponible | Un an |
| Listes d'adresses IP nommées | |||
| Groupe d'adresses | |||
| Renseignement sur les menaces | |||
| Adaptive Protection | Alertes uniquement | ||
| Visibilité de l'attaque DDoS | Non disponible | ||
| Assistance de gestion des attaques DDoS | Non disponible | (avec assistance Premium) | |
| Protection des factures contre les attaques DDoS | Non disponible | ||
S'abonner à Cloud Armor Enterprise
Pour utiliser les services et fonctionnalités supplémentaires de Cloud Armor Enterprise, vous devez d'abord vous enregistrer dans Cloud Armor Enterprise. Vous pouvez vous abonner à Cloud Armor Enterprise annuel et enregistrer des projets individuels, ou enregistrer un projet directement dans Cloud Armor Enterprise Paygo.
Nous vous recommandons vivement d'enregistrer vos projets dans Cloud Armor Enterprise dès que possible, car l'activation peut prendre jusqu'à 24 heures.
Équilibreur de charge d'application externe et équilibreur de charge réseau proxy externe
Une fois qu'un projet est enregistré dans Cloud Armor Enterprise, les règles de transfert du projet sont ajoutées à l'enregistrement. En outre, tous les services et buckets backend sont comptabilisés en tant que ressources protégées, et leur coût est calculé en fonction du coût des ressources protégées de Cloud Armor Enterprise. Les services de backend et les buckets backend de Cloud Armor Enterprise annuel sont agrégés pour tous les projets enregistrés dans un compte de facturation, tandis que les services de backend et les buckets backend de Cloud Armor Enterprise Paygo sont agrégés au sein du projet.
Équilibreur de charge réseau passthrough externe, transfert de protocole et adresses IP publiques (VM)
Google Cloud Armor propose les options suivantes pour protéger ces points de terminaison contre les attaques DDoS:
- Protection DDoS standard du réseau: protection de base toujours activée pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole ou les VM dotées d'adresses IP publiques. Cela inclut l'application des règles de transfert et la limitation automatique du débit. Ce sujet est couvert par Google Cloud Armor Standard et ne nécessite aucun abonnement supplémentaire.
- Protection DDoS avancée du réseau: protections supplémentaires pour les abonnés Cloud Armor Enterprise. La protection DDoS avancée du réseau est configurée pour chaque région. Lorsqu'il est activé pour une région particulière, Google Cloud Armor assure une détection continue des attaques volumétriques et une atténuation ciblée pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole et les VM dotées d'adresses IP publiques dans cette région.
Assistance de gestion des attaques DDoS
La prise en charge des réponses aux attaques DDoS (déni de service distribué) de Google Cloud Armor Enterprise nécessite que votre projet soit enregistré dans Cloud Armor Enterprise annuel. L'équipe d'assistance de réponse fournit une aide 24h/24, 7j/7 et des mesures personnalisées d'atténuation des attaques DDoS, assurées par l'équipe qui protège tous les services Google. Lors d'une attaque, vous pouvez faire appel à un support d'intervention pour l'atténuer, ou vous pouvez le contacter de manière proactive pour planifier un événement à fort volume ou potentiellement viral (qui pourrait attirer un nombre anormalement élevé de visiteurs).
Prise en charge de la réponse DDoS à Engage
Les critères suivants vous permettent d'ouvrir une demande et de recevoir de l'aide de l'équipe d'assistance de réponse aux attaques DDoS de Google Cloud Armor:
- Votre compte de facturation dispose d'un abonnement annuel actif à Cloud Armor Enterprise.
- Votre compte de facturation dispose d'un compte Premium pour Cloud Customer Care.
- Le projet Google Cloud dont la charge de travail est attaquée est inscrit à Cloud Armor Enterprise annuel.
- Si vous utilisez le référencement de services inter-projets, les projets de service d'interface et de backend doivent tous deux être enregistrés dans Cloud Armor Enterprise annuel.
Pour bénéficier de l'assistance liée à la réponse DDoS, consultez la section Ouvrir une demande d'assistance concernant une réponse DDoS.
Protection des factures contre les attaques DDoS
La protection des factures contre les attaques DDoS de Google Cloud Armor nécessite que votre projet soit enregistré dans Cloud Armor Enterprise annuel. Elle offre des crédits pour l'utilisation future de Google Cloud en contrepartie d'une augmentation des factures de Cloud Load Balancing, de Google Cloud Armor et du transfert de données sortant sur le réseau, interrégional et interzone à la suite d'une attaque DDoS vérifiée. Si une demande est reconnue et qu'un crédit est fourni, celui-ci ne peut pas être utilisé pour compenser l'utilisation existante. Le crédit ne peut être appliqué qu'à une utilisation future. Le tableau suivant montre les ressources couvertes par la protection des factures contre les attaques DDoS :
| Endpoint Type (Type de point de terminaison) | Augmentation de l'utilisation couverte | |
|---|---|---|
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes | ||
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes |
Pour en savoir plus sur la protection des factures contre les attaques DDoS, consultez la page Impliquer la protection des factures contre les attaques DDoS.
Passer à une édition inférieure depuis Cloud Armor Enterprise
Lorsque vous supprimez un projet de Cloud Armor Enterprise, toutes les stratégies de sécurité qui utilisent des règles avec des fonctionnalités exclusives à Cloud Armor Enterprise (règles avancées) sont bloquées. Les règles de sécurité figées ont les propriétés suivantes:
- Google Cloud Armor continue d'évaluer le trafic par rapport aux règles de la stratégie, y compris aux règles avancées.
- Vous ne pouvez pas associer la stratégie de sécurité à de nouvelles cibles.
- Vous ne pouvez effectuer que les opérations suivantes sur la stratégie de sécurité :
- Vous pouvez supprimer des règles de stratégie de sécurité.
- Si vous ne modifiez pas la priorité des règles, vous pouvez mettre à jour les règles avancées afin qu'elles n'utilisent plus les fonctionnalités exclusives de Cloud Armor Enterprise. Si vous modifiez toutes les règles avancées de cette manière, votre stratégie n'est plus figée. Pour en savoir plus sur la mise à jour des règles d'une stratégie de sécurité, consultez la section Mettre à jour une seule règle d'une stratégie de sécurité.
Vous pouvez également vous réenregistrer dans Cloud Armor Enterprise annuel ou Cloud Armor Enterprise Paygo pour restaurer l'accès à vos stratégies de sécurité figées.
Protection DDoS avancée du réseau
La protection DDoS avancée du réseau n'est disponible que pour les projets enregistrés dans Cloud Armor Enterprise. Lorsque vous supprimez de Cloud Armor Enterprise un projet associé à une règle DDoS active du réseau, cette fonctionnalité vous est toujours facturée selon les tarifs de Cloud Armor Enterprise.
Nous vous recommandons de supprimer toutes les règles de protection DDoS avancées du réseau avant de désenregistrer votre projet de Cloud Armor Enterprise. Vous pouvez également supprimer les règles avancées de protection DDoS du réseau après le retour à une version antérieure.
Conditions et limites
Les conditions et limites suivantes s'appliquent à Cloud Armor Enterprise:
- Généralités: si un projet enregistré dans Cloud Armor Enterprise subit une attaque par déni de service tiers sur un point de terminaison protégé ("Attaque qualifiée") et que les conditions décrites dans la section suivante sont remplies, Google accorde un crédit équivalent aux Frais couverts, à condition que les Frais couverts encourus dépassent le Seuil minimal. Les tests de charge et les évaluations de sécurité effectués par ou pour le compte du Client ne sont pas des attaques qualifiées.
- Conditions: le Client doit envoyer une demande à l'assistance Cloud Billing dans les 30 jours suivant la fin de l'attaque qualifiée. La demande doit inclure la preuve de l'attaque qualifiée, comme des journaux ou d'autres données de télémétrie indiquant la chronologie de l'attaque, les Projets et les ressources ayant fait l'objet de l'attaque, ainsi qu'une estimation des Frais couverts encourus. Google déterminera de manière raisonnable si les crédits sont dus et le montant approprié. D'autres conditions pour des fonctionnalités spécifiques de Google Cloud Armor sont incluses dans la documentation.
- Crédits: tous les crédits accordés au Client dans le cadre de la présente Section n'ont aucune valeur monétaire et ne peuvent être utilisés que pour compenser les frais futurs liés aux Services. Ces crédits expirent 12 mois après leur émission, ou à la résiliation ou à l'expiration du Contrat.
- Définitions :
- Frais couverts: Frais encourus par le Client à la suite d'une Attaque qualifiée dans les cas suivants :
- Traitement des données Ingress et sortantes pour le service d'équilibrage de charge Google Cloud
- Traitement des données Google Cloud Armor Enterprise pour le service Google Cloud Armor
- Sortie réseau, y compris la sortie interrégionale, interzone, Internet et l'appairage opérateur
- Seuil minimal: montant minimal des Frais couverts pouvant être crédités en vertu de la présente Section, tel que déterminé de temps en temps par Google et communiqué au Client sur demande.
- Frais couverts: Frais encourus par le Client à la suite d'une Attaque qualifiée dans les cas suivants :
Étapes suivantes
- S'abonner et enregistrer des projets dans Cloud Armor Enterprise
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées