Cloud Armor Enterprise – Übersicht

Google Cloud Armor Enterprise ist der Dienst zum Schutz von Anwendungen, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial of Service) und anderen Bedrohungen aus dem Internet schützt. Mit Cloud Armor Enterprise können Anwendungen, die in Google Cloud, lokal oder von anderen Infrastrukturanbietern bereitgestellt werden, geschützt werden.

Google Cloud Armor Standard im Vergleich zu Cloud Armor Enterprise

Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Cloud Armor Enterprise.

Google Cloud Armor Standard umfasst Folgendes:

  • Ein „Pay as you go“-Preismodell
  • Always-On-Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen mit automatisierter Inline-Behebung in Echtzeit und ohne Latenz bei den folgenden Infrastrukturtypen:
    • Globaler externer Application Load Balancer (HTTP/HTTPS)
    • Klassischer Application Load Balancer (HTTP/HTTPS)
    • Regionaler externer Application Load Balancer (HTTP/HTTPS)
    • Globaler externer Proxy-Network Load Balancer (TCP/SSL)
    • Cloud CDN
    • Media CDN
  • Einbindung in Cloud CDN und Media CDN
  • Zugriff auf WAF-Regeln (Web Application Firewall) von Google Cloud Armor, einschließlich vorkonfigurierter WAF-Regeln für den Schutz vor den OWASP Top 10

Cloud Armor Enterprise umfasst Folgendes:

Alle Google Cloud-Projekte mit einem externen Application Load Balancer oder einem externen Proxy-Network Load Balancer werden automatisch für den Google Cloud Armor-Standard registriert. Nachdem Sie Cloud Armor Enterprise auf Rechnungskonto-Ebene abonniert haben, können Nutzer einzelne Projekte auswählen, die mit dem Rechnungskonto in Cloud Armor Enterprise verknüpft sind.

In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.

Google Cloud Armor Standard Cloud Armor Enterprise
PayGo Jährlich
Abrechnungsmethode Pay as you go Pay as you go Abo mit 12-monatiger Mindestlaufzeit
Preise Pro Richtlinie, Regel und Anfrage (siehe Preise)
  • 200 $ pro Monat und Projekt
  • 200 $ pro geschützter Ressource und Monat nach den ersten 2 Ressourcen
  • 3.000 $ pro Monat und Rechnungskonto
  • 30 $ pro geschützter Ressource und Monat nach den ersten 100
Schutz vor DDoS-Angriffen
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
Erweiterter DDoS-Netzwerkschutz Nein Ja Ja
Sicherheitsrichtlinien für Netzwerk-Edge Nein Ja Ja
Google Cloud Armor-WAF Pro Richtlinie, Regel und Anfrage (siehe Preise) In Paygo enthalten In „Jahresmitgliedschaft“ enthalten
Ressourcenlimits Bis zum Kontingentlimit Bis zum Kontingentlimit Bis zum Kontingentlimit
Zeitaufwand Ein Jahr
Adressgruppe
Threat Intelligence
Adaptive Protection Nur Benachrichtigungen
Sichtbarkeit von DDoS-Angriffen
Support für DDoS-Antworten Teilnahmevoraussetzungen
DDoS-Rechnungsschutz

Cloud Armor Enterprise abonnieren

Wenn Sie die zusätzlichen Dienste und Funktionen in Cloud Armor Enterprise verwenden möchten, müssen Sie sich zuerst für Cloud Armor Enterprise registrieren. Sie können Cloud Armor Enterprise Annual abonnieren und einzelne Projekte registrieren oder ein Projekt direkt in Cloud Armor Enterprise Paygo registrieren.

Wir empfehlen Ihnen dringend, Ihre Projekte so bald wie möglich bei Cloud Armor Enterprise zu registrieren, da die Aktivierung bis zu 24 Stunden dauern kann.

Externer Application Load Balancer und externer Proxy-Network Load Balancer

Nachdem ein Projekt für Cloud Armor Enterprise registriert wurde, werden der Registrierung die Weiterleitungsregeln innerhalb des Projekts hinzugefügt. Darüber hinaus werden alle Backend-Dienste und Backend-Buckets als geschützte Ressourcen gezählt und nach den Kosten für geschützte Ressourcen von Cloud Armor Enterprise abgerechnet. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Annual werden für alle registrierten Projekte in einem Rechnungskonto zusammengefasst. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Paygo werden dagegen innerhalb des Projekts zusammengefasst.

Externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)

Google Cloud Armor bietet die folgenden Optionen zum Schutz dieser Endpunkte vor DDoS-Angriffen:

  • DDoS-Standardschutz: Einfacher immer aktivierter Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Durchsetzung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Diese Funktion ist im Google Cloud Armor Standard enthalten und erfordert keine zusätzlichen Abos.
  • Erweiterter DDoS-Schutz für Netzwerke: Zusätzliche Schutzmaßnahmen für Cloud Armor Enterprise-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird pro Region konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet sie immer eine gezielte, Volume-Angriffserkennung und -minderung für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.

Support für DDoS-Antworten

Der DDoS-Antwortsupport bietet rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen von DDoS-Angriffen vom selben Team, das auch alle Google-Dienste schützt. Sie können den Response-Support bei einem Angriff unterstützen, um den Angriff zu entschärfen. Alternativ haben Sie die Möglichkeit, sich auf einen Plan für ein hohes Volumen oder potenziell virales Ereignis vorzubereiten, von dem eine ungewöhnlich hohe Anzahl an Besucher anziehen könnte.

Proaktiver Support ist für alle Google Cloud Armor-Kunden verfügbar, auch wenn sie keine DDoS-Prüfung durchgeführt haben. Durch proaktiven Support können wir vorkonfigurierte Regeln anwenden, die auf gängige DDoS-Angriffstypen abzielen, bevor der Angriff Google Cloud Armor erreicht. Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für einen DDoS-Fall erhalten.

Überprüfung der DDoS-Abwehr

Ziel der Überprüfung der DDoS-Abwehr ist es, die Effizienz und Effektivität des DDoS-Erfüllungsprozesses zu verbessern. Während der Überprüfung erfahren wir mehr über Ihren individuellen Anwendungsfall und Ihre Architektur und prüfen, ob Ihre Google Cloud Armor-Sicherheitsrichtlinien gemäß unseren Best Practices konfiguriert sind. So können Sie Ihre vorbeugende Widerstandsfähigkeit gegenüber DDoS-Angriffen erhöhen.

Die DDoS-Prüfung ist für Kunden verfügbar, die Cloud Armor Enterprise jährlich abonniert haben und ein Premium-Konto für Cloud Customer Care haben.

Voraussetzungen für die Unterstützung bei DDoS-Antworten

Wenn Sie die folgenden Kriterien erfüllen, können Sie eine Anfrage stellen. Hier erhalten Sie Hilfe vom Google Cloud Armor-DDoS-Supportteam:

  • Für Ihr Rechnungskonto ist ein aktives Cloud Armor Enterprise-Jahresabo vorhanden.
  • Ihr Rechnungskonto hat ein Premium-Konto für den Cloud Customer Care.
  • Das Google Cloud-Projekt mit der angegriffenen Arbeitslast ist für Cloud Armor Enterprise Annual registriert.
  • (Für Kunden, die Cloud Armor Enterprise Annual nach dem 3. September 2024 abonniert haben): Das Projekt mit der angegriffenen Arbeitslast muss eine jährliche DDoS-Prüfung durchlaufen haben.

Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für einen DDoS-Fall erhalten.

DDoS-Rechnungsschutz

Für den DDoS-Rechnungsschutz von Google Cloud Armor muss Ihr Projekt für die Cloud Armor-Dienststufe „Enterprise jährlich“ registriert sein. Er bietet Gutschriften für die künftige Nutzung von Google Cloud für einige Erhöhungen der Rechnungen von Cloud Load Balancing, Google Cloud Armor und Netzwerk-Internet, ausgehenden interregionalen und interzonalen Datenübertragungen als Ergebnis eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:

Endpunkttyp Erhöhung der abgedeckten Nutzung
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
Google Cloud Armor Datenverarbeitungsgebühr für Cloud Armor Enterprise
Netzwerk Ausgehende Datenübertragung
Interregional
Interzone
Carrier Peering
Load-Balancer Gebühr für die Datenverarbeitung eingehender Daten
Gebühr für die ausgehende Datenverarbeitung
Media CDNMedia CDN-Ausgabegebühr (nur externer Application Load Balancer)
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
Google Cloud Armor Datenverarbeitungsgebühr für Cloud Armor Enterprise
Netzwerk Ausgehende Datenübertragung
Interregional
Interzone
Carrier Peering
Load-Balancer Gebühr für die Datenverarbeitung eingehender Daten
Gebühr für die ausgehende Datenverarbeitung

Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.

Projekte zwischen Rechnungskonten migrieren

Wenn Sie ab dem 3. September 2024 Ihr Projekt von einem Rechnungskonto in ein anderes migrieren, während Sie Cloud Armor Enterprise jährlich abonniert haben, Ihr neues Rechnungskonto aber kein Cloud Armor Enterprise jährlich-Abo hat, wird Ihr Projekt nach Abschluss der Migration auf Google Cloud Armor Standard zurückgesetzt. Wenn Sie Ihr Projekt also ohne Ausfallzeit in Cloud Armor Enterprise Annual nutzen möchten, empfehlen wir Ihnen, Cloud Armor Enterprise Annual für Ihr neues Rechnungskonto vor Beginn der Migration zu abonnieren. Sie können Ihr Abo auch von einem Rechnungskonto in ein anderes migrieren. Wenden Sie sich dazu an den Cloud Billing-Support.

Bei Projekten, die bei Cloud Armor Enterprise Paygo registriert sind, ist keine Migration des Rechnungskontos erforderlich.

Downgrade von Cloud Armor Enterprise

Wenn Sie ein Projekt aus Cloud Armor Enterprise entfernen, werden alle Sicherheitsrichtlinien, die Regeln mit Cloud Armor Enterprise-exklusiven Funktionen (erweiterte Regeln) verwenden, eingefroren. Eingefrorene Sicherheitsrichtlinien haben die folgenden Eigenschaften:

  • Google Cloud Armor wertet den Traffic weiterhin anhand der Regeln in der Richtlinie aus, einschließlich aller erweiterten Regeln.
  • Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
  • Sie können nur die folgenden Vorgänge für die Sicherheitsrichtlinie ausführen:

Sie können sich auch noch einmal für Cloud Armor Enterprise jährlich oder Cloud Armor Enterprise Paygo registrieren, um den Zugriff auf Ihre eingefrorenen Sicherheitsrichtlinien wiederherzustellen.

Erweiterter DDoS-Netzwerkschutz

Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die bei Cloud Armor Enterprise registriert sind. Wenn Sie ein Projekt mit einer aktiven Richtlinie für den erweiterten DDoS-Schutz für Netzwerke aus Cloud Armor Enterprise entfernen, wird Ihnen die Funktion weiterhin gemäß den Cloud Armor Enterprise-Preisen in Rechnung gestellt.

Wir empfehlen, alle Regeln für den erweiterten DDoS-Schutz für Netzwerke zu löschen, bevor Sie Ihr Projekt aus Cloud Armor Enterprise abmelden. Sie können diese Regeln aber auch nach dem Downgrade löschen.

Nutzungsbedingungen und Einschränkungen

Für Cloud Armor Enterprise gelten die folgenden Nutzungsbedingungen und Einschränkungen:

  • Allgemein: Wenn bei einem in Cloud Armor Enterprise registrierten Projekt ein Denial-of-Service-Angriff eines Dritten auf einen geschützten Endpunkt („Qualifizierter Angriff“) erfolgt und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, gewährt Google eine Gutschrift in Höhe der abgedeckten Gebühren, sofern die anfallenden abgedeckten Gebühren den Mindestgrenzwert überschreiten. Lasttests und Sicherheitsbewertungen, die vom oder im Auftrag des Kunden durchgeführt werden, sind keine qualifizierten Angriffe.
  • Voraussetzungen: Der Kunde muss innerhalb von 30 Tagen nach dem Ende des qualifizierten Angriffs eine Anfrage an den Cloud Billing-Support senden. Die Anfrage muss Nachweise für den qualifizierten Angriff enthalten, z. B. Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs sowie die betroffenen Projekte und Ressourcen sowie eine Schätzung der angefallenen Gebühren angeben. Google wird in angemessener Weise entscheiden, ob Gutschriften fällig sind und wie hoch diese ausfallen. Weitere Bedingungen für bestimmte Google Cloud Armor-Funktionen sind in der Dokumentation enthalten.
  • Guthaben: Guthaben, die dem Kunden in Verbindung mit diesem Abschnitt gewährt werden, haben keinen Barwert und können nur für die zukünftigen Gebühren für die Dienste verwendet werden. Diese Gutschriften verfallen 12 Monate nach ihrer Ausstellung oder bei Kündigung oder Ablauf der Vereinbarung.
  • Definitionen:
    • Abgedeckte Gebühren: Alle Gebühren, die dem Kunden als direktes Ergebnis des qualifizierten Angriffs für Folgendes berechnet werden:
      • Ein- und ausgehender Datenverarbeitungs-Traffic für den Google Cloud-Load-Balancer-Dienst.
      • Datenverarbeitung für Google Cloud Armor Enterprise für den Google Cloud Armor-Dienst
      • Ausgehender Netzwerktraffic einschließlich interregionaler, interzonaler, Internet- und Carrier-Peering-Traffic.
    • Mindestgrenzwert: Der Mindestbetrag der abgedeckten Gebühren, der gemäß diesem Abschnitt von Google gegebenenfalls ggf. gutgeschrieben werden kann und dem Kunden auf Anfrage zur Verfügung gestellt wird.

Nächste Schritte