Google Cloud Armor Enterprise è la protezione gestita delle applicazioni che aiuta a proteggere le applicazioni e i servizi web da istanze Attacchi denial of service (DDoS) e altre minacce da internet. Cloud Armor Enterprise aiuta a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastrutture.
Confronto tra Google Cloud Armor Standard e Cloud Armor Enterprise
Google Cloud Armor è offerto in due livelli di servizio: Standard e Cloud Armor Enterprise:
Google Cloud Armor Standard include quanto segue:
- Un modello di determinazione del prezzo con pagamento a consumo
- Protezione sempre attiva dagli attacchi DDoS volumetrici e basati su protocollo su la tua infrastruttura con bilanciamento del carico globale e regionale
- Accesso alle funzionalità delle regole WAF (Web Application Firewall) di Google Cloud Armor, incluse regole WAF preconfigurate per OWASP Top 10 protezione
Cloud Armor Enterprise include:
- Tutte le funzionalità della versione standard di Google Cloud Armor
- Scelta di modelli di prezzo: Cloud Armor Enterprise annuale o Paygo
- Utilizzo WAF di Google Cloud Armor, inclusi regole, criteri e richieste
- Elenchi di indirizzi IP denominati di terze parti
- Intelligence sulle minacce per Google Cloud Armor
- Adaptive Protection per Endpoint di livello 7
- Protezione DDoS di rete avanzata per il passthrough endpoint: bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e Indirizzi IP per le istanze di macchine virtuali (VM)
- (Solo Cloud Armor Enterprise annuale): accesso alla protezione delle fatture DDoS e dagli attacchi DDoS (si applicano condizioni aggiuntive, vedi Coinvolgere il supporto delle risposte DDoS)
- Accesso alla visibilità degli attacchi DDoS
Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Google Cloud Armor Standard. Dopo aver sottoscritto l'abbonamento a Cloud Armor Enterprise a livello di account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.
La tabella seguente riassume i due livelli di servizio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuale | ||
| Metodo di fatturazione | Pagamento a consumo | Pagamento a consumo | Abbonamento con impegno di 12 mesi |
| Prezzi | In base al criterio, alla regola e alla richiesta (vedi Prezzi) |
|
|
| Protezione dagli attacchi DDoS |
|
|
|
| Protezione DDoS di rete avanzata | No | Sì | Sì |
| Criteri di sicurezza perimetrale della rete | No | Sì | Sì |
| WAF di Google Cloud Armor | In base al criterio, alla regola e alla richiesta (vedi Prezzi) | Incluso in Paygo | Incluso nell'abbonamento annuale |
| Limiti delle risorse | Limite massimo di quota | Limite massimo di quota | Limite massimo di quota |
| Impegno in termini di tempo | N/D | N/D | Un anno |
| Elenchi di indirizzi IP denominati | |||
| Gruppo di indirizzi | |||
| Threat Intelligence | |||
| Adaptive Protection | Solo avvisi | ||
| Visibilità degli attacchi DDoS | N/D | ||
| Supporto delle risposte DDoS | N/D | (con Assistenza Premium) | |
| Protezione delle fatture DDoS | N/D | ||
Iscriviti a Cloud Armor Enterprise
Per utilizzare le funzionalità e i servizi aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi iscriverti a Cloud Armor Enterprise annuale e registra singoli progetti oppure può registrare un progetto direttamente in Cloud Armor Enterprise Paygo.
Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.
Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno
Dopo la registrazione di un progetto in Cloud Armor Enterprise, l'inoltro le regole specifiche del progetto vengono aggiunte alla registrazione. Inoltre, tutti i backend e i bucket di backend vengono conteggiati come risorse protette e vengono misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise annuale sono aggregati per tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend I bucket di backend in Cloud Armor Enterprise Paygo sono aggregati all'interno di del progetto.
Bilanciatore del carico di rete passthrough esterno, forwarding del protocollo e indirizzi IP pubblici (VM)
Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint contro gli attacchi DDoS:
- Protezione DDoS di rete standard: protezione sempre attiva di base per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Ciò include l'applicazione regola di forwarding e la limitazione automatica della frequenza. Questo è coperto da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
- Protezione DDoS di rete avanzata: protezioni aggiuntive per Abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata è configurati in base alla regione. Se abilitato per una particolare regione, Google Cloud Armor fornisce il rilevamento sempre attivo degli attacchi volumetrici mitigazione mirata per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e VM con dagli indirizzi IP pubblici in quella regione.
Supporto delle risposte DDoS
Supporto per le risposte DDoS (Distributed Denial-of-Service) di Google Cloud Armor Enterprise richiede la registrazione del progetto in Cloud Armor Enterprise annuale. Il supporto di risposta fornisce assistenza 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate per gli attacchi DDoS attacchi da parte dello stesso team che protegge tutti i servizi Google. Puoi interagire supporto per la risposta durante un attacco per contribuire a mitigare l'attacco, oppure potete raggiungere pianificare in modo proattivo un evento imminente ad alto volume o potenzialmente virale (un numero insolitamente elevato di visitatori).
Coinvolgi il supporto delle risposte DDoS
I seguenti criteri ti consentono di aprire una richiesta e ricevere aiuto dal team di assistenza per le risposte DDoS di Google Cloud Armor:
- Nel tuo account di fatturazione è attivo un Cloud Armor Enterprise annuale abbonamento.
- Il tuo account di fatturazione dispone di un account Premium per Assistenza clienti Google Cloud.
- Il progetto Google Cloud con il carico di lavoro che è sotto attacco
registrato in Cloud Armor Enterprise annuale.
- Se utilizzi riferimenti di servizi tra progetti, devono essere registrati sia i progetti di servizio frontend che di backend Cloud Armor Enterprise annuale.
Per interagire con il supporto delle risposte DDoS, consulta: Apri una richiesta di assistenza per la risposta DDoS.
Protezione delle fatture DDoS
La protezione delle fatture DDoS di Google Cloud Armor richiede la registrazione del tuo progetto in Cloud Armor Enterprise annuale. Offre crediti per future l'utilizzo di Google Cloud per alcuni aumenti delle fatture relative a Cloud Load Balancing, Google Cloud Armor e internet di rete, tra regioni e il trasferimento di dati in uscita tra zone a seguito di un attacco DDoS verificato. Se una rivendicazione viene riconosciuti e forniti, i crediti non possono essere utilizzati per compensare utilizzo esistente; il credito può essere applicato solo a utilizzi futuri. La tabella seguente dimostra quali risorse sono coperte dalla protezione delle fatture DDoS:
| Tipo di endpoint | Aumento dell'utilizzo coperto | |
|---|---|---|
|
Google Cloud Armor | Tariffa per il trattamento dati di Cloud Armor Enterprise |
| Rete | Trasferimento dei dati in uscita | |
| Tra regioni | ||
| Tra zone | ||
| Peering con operatori | ||
| Bilanciatore del carico | Tariffa per il trattamento dei dati in entrata | |
| Tariffa per il trattamento dei dati in uscita | ||
|
Google Cloud Armor | Tariffa per il trattamento dati di Cloud Armor Enterprise |
| Rete | Trasferimento dei dati in uscita | |
| Tra regioni | ||
| Tra zone | ||
| Peering con operatori | ||
| Bilanciatore del carico | Tariffa per il trattamento dei dati in entrata | |
| Tariffa per il trattamento dei dati in uscita |
Per attivare la protezione delle fatture DDoS, consulta Attivare la protezione delle fatture DDoS.
Downgrade da Cloud Armor Enterprise
Quando rimuovi un progetto da Cloud Armor Enterprise, Qualsiasi criterio di sicurezza che utilizzi regole con Cloud Armor Enterprise le funzionalità (regole avanzate) vengono bloccate. I criteri di sicurezza bloccati hanno seguenti proprietà:
- Google Cloud Armor continua a valutare il traffico in base alle regole incluse le eventuali regole avanzate.
- Non puoi collegare il criterio di sicurezza a nuove destinazioni.
- Sul criterio di sicurezza puoi eseguire soltanto le seguenti operazioni:
- Puoi eliminare le regole del criterio di sicurezza.
- Se non modifichi la priorità della regola, puoi aggiornare le regole avanzate in modo che di non usare più le funzionalità esclusive di Cloud Armor Enterprise. Se Se modifichi tutte le regole avanzate in questo modo, il criterio non sarà più bloccato. Per saperne di più sull'aggiornamento delle regole dei criteri di sicurezza, consulta Aggiornare una singola regola in un criterio di sicurezza.
Puoi anche iscriverti nuovamente a Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso ai tuoi sistemi di sicurezza bloccati criteri.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata è disponibile solo per i progetti registrati in con Cloud Armor Enterprise. Quando rimuovi un progetto con un livello avanzato attivo criterio DDoS di rete di Cloud Armor Enterprise, ti verranno comunque addebitati dei costi la caratteristica in base Prezzi di Cloud Armor Enterprise.
Ti consigliamo di eliminare eventuali regole avanzate di protezione DDoS di rete prima di annullare la registrazione del progetto in Cloud Armor Enterprise, ma puoi anche Elimina le regole avanzate di protezione DDoS di rete dopo il downgrade.
Termini e limitazioni
Cloud Armor Enterprise prevede i termini e le limitazioni seguenti:
- In generale: se un progetto registrato in Cloud Armor Enterprise subisce una un attacco denial of service di terze parti su un endpoint protetto ("Qualificato attacco") e le condizioni descritte nella sezione successiva sono soddisfatte, Google fornisce un credito equivalente alle Commissioni coperte, a condizione che gli Le Tariffe sostenute superano la Soglia minima. Test di carico e sicurezza le valutazioni eseguite dal Cliente o per conto del Cliente non sono attacchi qualificati.
- Condizioni: il cliente deve inviare una richiesta all'assistenza per la fatturazione Cloud entro 30 giorni dopo il termine dell'attacco qualificato. La richiesta deve includere Prova dell'attacco qualificato, come log o altri dati di telemetria che indicano la tempistica dell'attacco e i progetti e le risorse attaccati, e una stima delle Tariffe coperte sostenute. Google stabilirà ragionevolmente sulla scadenza dei crediti e sull'importo appropriato. Altre condizioni per alcune funzionalità di Google Cloud Armor sono incluse nella Documentazione.
- Crediti: tutti i crediti forniti al Cliente in relazione alla presente Sezione. non hanno valore in denaro e possono essere applicati solo per compensare le Tariffe future per Servizi. Questi crediti scadono 12 mesi dopo l'emissione o dopo la risoluzione o la scadenza del Contratto.
- Definizioni:
- .
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come diretta conseguenza dei
Attacco qualificato per:
- .
- Elaborazione dei dati in entrata e in uscita per Google Cloud Load servizio di bilanciamento del carico.
- Elaborazione dei dati di Google Cloud Armor Enterprise per Google Cloud Armor assistenza.
- Traffico in uscita dalla rete, compresi tra regioni, tra zone, internet e In uscita dal peering con operatori.
- Soglia minima: l'importo minimo delle commissioni coperte che sono idoneo a ricevere un credito ai sensi di questa Sezione come stabilito da Google da di volta in volta e comunicati al Cliente su richiesta.
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come diretta conseguenza dei
Attacco qualificato per:
Passaggi successivi
- Sottoscrivi e registra i progetti in Cloud Armor Enterprise
- Risolvere i problemi
- Utilizzare il riferimento al linguaggio delle regole personalizzate