Cloud Armor Enterprise 개요

Google Cloud Armor Enterprise는 DDoS 공격과 인터넷의 기타 위협으로부터 웹 애플리케이션과 서비스를 보호하는 데 유용한 애플리케이션 보호 서비스입니다. Cloud Armor Enterprise는 Google Cloud, 온프레미스 또는 기타 인프라 제공업체에 배포된 애플리케이션을 보호합니다.

Google Cloud Armor Standard 및 Cloud Armor Enterprise의 비교

Google Cloud Armor는 Standard 및 Cloud Armor Enterprise의 두 가지 서비스 등급으로 제공됩니다.

Google Cloud Armor 표준에서 제공하는 서비스:
- 사용한 만큼만 지불하는 가격 책정 모델
- 전역 및 리전에 부하가 분산된 인프라에서 볼륨 및 프로토콜 기반 DDoS 공격으로부터 상시 보호
- OWASP 상위 10개 보호에 대한 사전 구성된 WAF 규칙을 포함한 Google Cloud Armor 웹 애플리케이션 방화벽(WAF) 규칙 기능 액세스
Cloud Armor Enterprise에는 다음이 포함됩니다.
- Google Cloud Armor Standard의 모든 기능
- 가격 책정 모델 선택: Cloud Armor Enterprise 연간 또는 종량제
- 규칙, 정책, 요청을 포함한 번들 Google Cloud Armor WAF 사용
- 서드 파티 명명된 IP 주소 목록
- Google Cloud Armor용 Threat Intelligence
- 레이어 7 엔드포인트용 Adaptive Protection
- 패스스루 엔드포인트에 대한 고급 네트워크 DDoS 보호: 외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 가상 머신(VM) 인스턴스용 공개 IP 주소
- (Cloud Armor Enterprise 연간 요금제만 해당): DDoS 청구 보호 및 DDoS 대응팀 서비스(추가 조건 적용, DDoS 대응팀 자격 요건 참고) 이용
- DDoS 공격 가시성에 액세스

외부 애플리케이션 부하 분산기 또는 외부 프록시 네트워크 부하 분산기가 포함된 모든 Google Cloud 프로젝트는 Google Cloud Armor Standard에 자동으로 등록됩니다. 결제 계정 수준에서 Cloud Armor Enterprise를 구독한 사용자는 Cloud Armor Enterprise의 결제 계정에 연결된 개별 프로젝트를 등록할 수 있습니다.

다음 표에는 두 가지 서비스 등급이 요약되어 있습니다.

	Google Cloud Armor 표준	Cloud Armor Enterprise
	Google Cloud Armor 표준	Paygo	연간
결제 방법	Pay-as-you-go	Pay-as-you-go	12개월 약정 구독
가격 책정	정책별, 요청별, 규칙별(가격 책정 참조)	프로젝트당 월 $200 첫 2개 리소스 이후 보호된 리소스당 월 $200	결제 계정당 월 $3,000 첫 100개 리소스 이후 보호된 리소스당 월 $30
DDoS 공격 보호	외부 애플리케이션 부하 분산기 외부 프록시 네트워크 부하 분산기	외부 애플리케이션 부하 분산기 외부 프록시 네트워크 부하 분산기 외부 패스 스루 네트워크 부하 분산기 프로토콜 전달 공개 IP 주소(VM)	외부 애플리케이션 부하 분산기 외부 프록시 네트워크 부하 분산기 외부 패스 스루 네트워크 부하 분산기 프로토콜 전달 공개 IP 주소(VM)
고급 네트워크 DDoS 보호	아니요	예	예
네트워크 에지 보안 정책	아니요	예	예
Google Cloud Armor WAF	정책별, 요청별, 규칙별(가격 책정 참조)	종량제에 포함	연간에 포함
리소스 한도	최대 할당량 한도	최대 할당량 한도	최대 할당량 한도
시간 약정	해당 사항 없음	해당 사항 없음	1년
주소 그룹
Threat Intelligence
Adaptive Protection	알림 전용
DDoS 공격 가시성	해당 사항 없음
DDoS 응답 지원	해당 사항 없음		자격요건
DDoS 청구 보호	해당 사항 없음

Cloud Armor Enterprise 구독

Cloud Armor Enterprise의 추가 서비스와 기능을 사용하려면 먼저 Cloud Armor Enterprise에 등록해야 합니다. Cloud Armor Enterprise 연간을 구독하고 개별 프로젝트를 등록하거나 Cloud Armor Enterprise 종량제에서 직접 프로젝트를 등록할 수 있습니다.

활성화에 최대 24시간이 걸릴 수 있으므로 최대한 빨리 Cloud Armor Enterprise에서 프로젝트를 등록하는 것이 좋습니다.

외부 애플리케이션 부하 분산기 및 외부 프록시 네트워크 부하 분산기.

프로젝트가 Cloud Armor Enterprise에 등록되면 프로젝트 내의 전달 규칙이 등록에 추가됩니다. 또한 모든 백엔드 서비스와 백엔드 버킷은 보호된 리소스로 계산되고 Cloud Armor Enterprise 보호 리소스 비용에 대해 측정됩니다. Cloud Armor Enterprise 연간의 백엔드 서비스와 백엔드 버킷은 결제 계정에 등록된 모든 프로젝트에서 집계되며, Cloud Armor Enterprise 종량제의 백엔드 서비스와 백엔드 버킷은 프로젝트 내에서 집계됩니다.

외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소(VM)

Google Cloud Armor는 DDoS 공격으로부터 위와 같은 엔드포인트를 보호하기 위해 다음 옵션을 제공합니다.

표준 네트워크 DDoS 보호: 외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소가 있는 VM에 대한 상시 사용 설정되는 기본 보호 기능입니다. 여기에는 전달 규칙 시행 및 자동 비율 제한이 포함됩니다. 여기에는 Google Cloud Armor 표준이 적용되며 추가 구독이 필요하지 않습니다.
고급 네트워크 DDoS 보호: Cloud Armor Enterprise 구독자를 위한 추가 보호 기능입니다. 고급 네트워크 DDoS 보호는 리전별 기준에 따라 구성됩니다. 특정 리전에 대해 사용 설정된 경우 Google Cloud Armor는 해당 리전에서 외부 패스 스루 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소가 있는 VM에 대해 상시 사용 설정된 볼륨 공격 감지 및 타겟팅된 완화 기능을 제공합니다.

DDoS 응답 지원

DDoS 대응 지원은 모든 Google 서비스를 보호하는 팀에서 담당하며, DDoS 공격에 대한 연중무휴 지원과 잠재적 커스텀 완화 조치가 제공됩니다. 공격 완화에 도움이 되도록 공격 중에 응답 지원에 참여하거나 향후 대규모 또는 잠재적인 바이럴 이벤트(평소보다 많은 방문자를 공격할 수 있는 이벤트)를 대비하기 위해 미리 연락을 취할 수 있습니다.

모든 Google Cloud Armor 고객은 DDoS 상황 검토가 완료되지 않았더라도 선제적 지원을 받을 수 있습니다. 선제적 지원을 이용하면 공격이 Google Cloud Armor에 도달하기 전에 일반적인 DDoS 공격 유형을 대상으로 한 사전 구성된 규칙을 적용할 수 있습니다. DDoS 대응 지원을 이용하려면 DDoS 케이스 지원받기를 참고하세요.

DDoS 상황 검토

DDoS 상황 검토는 DDoS 대응 프로세스의 효율성과 효과를 개선하는 것을 목표로 합니다. 검토 프로세스 중에는 보호 대상의 고유한 사용 사례 및 아키텍처를 파악하고 Google Cloud Armor 보안 정책이 Google 권장사항에 따라 구성되었는지 확인합니다. 이를 통해 DDoS 공격에 대한 선점형 복원력을 높일 수 있습니다.

DDoS 상황 검토는 Cloud Armor Enterprise 연간 요금제를 구독하고 Cloud Customer Care Premium 계정을 보유한 고객에게 제공됩니다.

DDoS 대응 지원을 이용하기 위한 자격 요건

다음 기준을 충족해야 케이스를 열고 Google Cloud Armor DDoS 응답 지원팀의 지원을 받을 수 있습니다.

결제 계정에 활성 Cloud Armor Enterprise 연간 구독이 있습니다.
결제 계정에 Cloud Customer Care에 대한 프리미엄 계정이 있습니다.
공격을 받는 워크로드가 있는 Google Cloud 프로젝트가 Cloud Armor Enterprise 연간에 등록되어 있습니다.
- 교차 프로젝트 서비스 참조를 사용하는 경우 프런트엔드 및 백엔드 서비스 프로젝트 모두 Cloud Armor Enterprise 연간에 등록되어야 합니다.
(2024년 9월 3일 후에 Cloud Armor Enterprise 연간 요금제를 구독한 고객의 경우): 공격을 받는 워크로드의 프로젝트가 연간 DDoS 상황 검토를 받은 상태여야 합니다.

DDoS 대응 지원을 이용하려면 DDoS 케이스 지원받기를 참고하세요.

DDoS 청구 보호

Google Cloud Armor DDoS 청구 보호를 사용하려면 프로젝트를 Cloud Armor Enterprise 연간에 등록해야 합니다. 확인된 DDos 공격으로 인해 발생한 Cloud Load Balancing, Google Cloud Armor, 네트워크 인터넷, 리전 간 및 영역 간 아웃바운드 데이터 전송의 청구 증가에 사용할 수 있는 향후 Google Cloud 사용량 크레딧을 제공합니다. 클레임이 인식되고 크레딧이 제공된 경우 크레딧을 사용하여 기존 사용량을 상쇄할 수 없으며 크레딧은 향후 사용량에만 적용될 수 있습니다. 다음 표에는 DDos 청구 보호가 적용되는 리소스를 보여줍니다.

엔드포인트 유형	적용되는 사용량 증가
외부 애플리케이션 부하 분산기 외부 프록시 네트워크 부하 분산기	Google Cloud Armor	Cloud Armor Enterprise 데이터 처리 수수료
	네트워크	아웃바운드 데이터 전송
		리전 간
		영역 간
		이동통신사 피어링
	부하 분산기	인바운드 데이터 처리 수수료
	부하 분산기	아웃바운드 데이터 처리 수수료
	Media CDN	미디어 CDN 이그레스 요금(외부 애플리케이션 부하 분산기만 해당)
외부 패스 스루 네트워크 부하 분산기 프로토콜 전달 공개 IP 주소(VM)	Google Cloud Armor	Cloud Armor Enterprise 데이터 처리 수수료
	네트워크	아웃바운드 데이터 전송
		리전 간
		영역 간
		이동통신사 피어링
	부하 분산기	인바운드 데이터 처리 수수료
	부하 분산기	아웃바운드 데이터 처리 수수료

DDoS 청구 보호에 참여하려면 DDoS 청구 보호 참여를 참조하세요.

결제 계정 간 프로젝트 마이그레이션

2024년 9월 3일부터 Cloud Armor Enterprise 연간을 구독하는 동안 프로젝트를 한 결제 계정에서 다른 결제 계정으로 마이그레이션했지만 새 결제 계정에서 Cloud Armor Enterprise 연간을 구독하지 않으면 프로젝트는 마이그레이션이 완료된 후에 Google Cloud Armor 표준으로 되돌아갑니다. 따라서 다운타임 없이 프로젝트를 Cloud Armor Enterprise 연간에 유지하려면 마이그레이션 프로세스를 시작하기 전에 새 결제 계정을 Cloud Armor Enterprise 연간에 구독하는 것이 좋습니다. Cloud Billing 지원팀에 문의하여 구독을 한 결제 계정에서 다른 결제 계정으로 마이그레이션할 수도 있습니다.

Cloud Armor Enterprise 종량제에 등록된 프로젝트는 결제 계정 마이그레이션의 영향을 받지 않습니다.

Cloud Armor Enterprise에서 다운그레이드

Cloud Armor Enterprise에서 프로젝트를 삭제하면 Cloud Armor Enterprise 전용 기능(고급 규칙)의 규칙을 사용하는 모든 보안 정책이 정지됩니다. 정지된 보안 정책에는 다음과 같은 속성이 있습니다.

Google Cloud Armor는 고급 규칙을 포함한 정책의 규칙에 따라 트래픽을 계속 평가합니다.
새 대상에 보안 정책을 연결할 수 없습니다.
보안 정책에서 다음 작업만 수행할 수 있습니다.
- 보안 정책 규칙을 삭제할 수 있습니다.
- 규칙 우선순위를 변경하지 않으면 고급 규칙을 업데이트하여 더 이상 Cloud Armor Enterprise 전용 기능을 사용하지 않도록 할 수 있습니다. 이러한 방식으로 모든 고급 규칙을 수정하면 정책이 더 이상 정지되지 않습니다. 보안 정책 규칙 업데이트에 대한 자세한 내용은 보안 정책의 단일 규칙 업데이트를 참조하세요.

Cloud Armor Enterprise 연간 또는 Cloud Armor Enterprise 종량제에 재등록하여 정지된 보안 정책에 대한 액세스를 복원할 수도 있습니다.

고급 네트워크 DDoS 보호

고급 네트워크 DDoS 보호는 Cloud Armor Enterprise에 등록된 프로젝트에서만 사용할 수 있습니다. Cloud Armor Enterprise에서 활성 고급 네트워크 DDoS 정책이 있는 프로젝트를 삭제해도 Cloud Armor Enterprise 가격 책정에 따라 기능에 대한 요금이 계속 청구됩니다.

Cloud Armor Enterprise에서 프로젝트를 등록 해제하기 전에 모든 고급 네트워크 DDoS 보호 규칙을 삭제하는 것이 좋지만 다운그레이드한 후 고급 네트워크 DDoS 보호 규칙을 삭제할 수도 있습니다.

약관 및 제한사항

Cloud Armor Enterprise에는 다음과 같은 약관과 제한사항이 적용됩니다.

일반적으로 Cloud Armor Enterprise에 등록된 프로젝트가 보호 대상 엔드포인트에서 서드 파티 서비스 거부 공격('적용 대상 공격')을 받거나 다음 섹션에 설명된 조건이 충족되면 Google은 발생한 적용 수수료가 최소 기준을 초과하는 경우 적용 수수료에 상응하는 크레딧을 제공합니다. 고객이나 고객을 대신하여 수행한 부하 테스트 및 보안 평가는 적용 대상 공격이 아닙니다.
조건: 고객은 적용 대상 공격이 종료된 후 30일 이내에 Cloud Billing 지원팀에 요청을 제출해야 합니다. 요청에는 공격 시점과 공격을 당한 프로젝트 및 리소스를 나타내는 로그 또는 기타 원격 분석, 발생한 적용 수수료 추정치와 같은 적용 대상 공격의 증거가 포함되어야 합니다. Google은 크레딧 지불 기한과 적절한 금액을 합리적인 방식으로 결정합니다. 특정 Google Cloud Armor 기능의 기타 조건은 문서에 포함되어 있습니다.
크레딧: 이 섹션과 관련하여 고객에게 제공되는 크레딧에는 현금 가치가 없으며 서비스의 향후 요금을 상쇄하는 경우에만 크레딧을 적용할 수 있습니다. 이러한 크레딧은 발급일로부터 12개월 또는 계약이 해지되거나 만료되면 만료됩니다.
정의:
- 적용 수수료: 다음에 대한 적용 대상 공격의 직접적인 결과로 인해 고객에게 발생한 모든 수수료를 의미합니다.
  - Google Cloud 부하 분산기 서비스의 인그레스 및 아웃바운드 데이터 처리
  - Google Cloud Armor 서비스의 Google Cloud Armor Enterprise 데이터 처리
  - 리전 간, 영역 간, 인터넷, 이동통신사 피어링 이그레스를 포함한 네트워크 이그레스
- 최소 기준: Google에서 수시로 결정하며 요청에 따라 고객에게 공개된 대로 이 섹션에 따라 입금될 수 있는 최소 적용 수수료 금액을 의미합니다.