Google Cloud Armor Enterprise ist der Dienst zum Schutz von Anwendungen, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial of Service) und anderen Bedrohungen aus dem Internet schützt. Mit Cloud Armor Enterprise können Anwendungen, die in Google Cloud, lokal oder von anderen Infrastrukturanbietern bereitgestellt werden, geschützt werden.
Google Cloud Armor Standard im Vergleich zu Cloud Armor Enterprise
Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Cloud Armor Enterprise.
Google Cloud Armor Standard umfasst Folgendes:
- Ein „Pay as you go“-Preismodell
- Always-On-Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen mit automatisierter Inline-Behebung in Echtzeit und ohne Latenz bei den folgenden Infrastrukturtypen:
- Globaler externer Application Load Balancer (HTTP/HTTPS)
- Klassischer Application Load Balancer (HTTP/HTTPS)
- Regionaler externer Application Load Balancer (HTTP/HTTPS)
- Globaler externer Proxy-Network Load Balancer (TCP/SSL)
- Cloud CDN
- Media CDN
- Einbindung in Cloud CDN und Media CDN
- Zugriff auf WAF-Regeln (Web Application Firewall) von Google Cloud Armor, einschließlich vorkonfigurierter WAF-Regeln für den Schutz vor den OWASP Top 10
Cloud Armor Enterprise umfasst Folgendes:
- Alle Funktionen von Google Cloud Armor Standard
- Auswahl der Preismodelle: Cloud Armor Enterprise jährlich oder Paygo
- Bündelte Google Cloud Armor-WAF-Nutzung, einschließlich Regeln, Richtlinien und Anfragen
- Benannte IP-Adresslisten von Drittanbietern
- Threat Intelligence für Google Cloud Armor
- Adaptive Protection für Layer-7-Endpunkte
- Erweiterter DDoS-Netzwerkschutz für Passthrough-Endpunkte – externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen für VM-Instanzen
- (Nur Cloud Armor Enterprise Annual): Zugriff auf DDoS-Rechnungsschutz und DDoS-Antwortteam-Dienste (zusätzliche Bedingungen gelten, siehe Voraussetzungen für das DDoS-Antwortteam)
- Zugriff auf die Sichtbarkeit von DDoS-Angriffen
Alle Google Cloud-Projekte mit einem externen Application Load Balancer oder einem externen Proxy-Network Load Balancer werden automatisch für den Google Cloud Armor-Standard registriert. Nachdem Sie Cloud Armor Enterprise auf Rechnungskonto-Ebene abonniert haben, können Nutzer einzelne Projekte auswählen, die mit dem Rechnungskonto in Cloud Armor Enterprise verknüpft sind.
In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| PayGo | Jährlich | ||
| Abrechnungsmethode | Pay as you go | Pay as you go | Abo mit 12-monatiger Mindestlaufzeit |
| Preise | Pro Richtlinie, Regel und Anfrage (siehe Preise) |
|
|
| Schutz vor DDoS-Angriffen |
|
|
|
| Erweiterter DDoS-Netzwerkschutz | Nein | Ja | Ja |
| Sicherheitsrichtlinien für Netzwerk-Edge | Nein | Ja | Ja |
| Google Cloud Armor-WAF | Pro Richtlinie, Regel und Anfrage (siehe Preise) | In Paygo enthalten | In „Jahresmitgliedschaft“ enthalten |
| Ressourcenlimits | Bis zum Kontingentlimit | Bis zum Kontingentlimit | Bis zum Kontingentlimit |
| Zeitaufwand | – | – | Ein Jahr |
| Adressgruppe | |||
| Threat Intelligence | |||
| Adaptive Protection | Nur Benachrichtigungen | ||
| Sichtbarkeit von DDoS-Angriffen | – | ||
| Support für DDoS-Antworten | – | Teilnahmevoraussetzungen | |
| DDoS-Rechnungsschutz | – | ||
Cloud Armor Enterprise abonnieren
Wenn Sie die zusätzlichen Dienste und Funktionen in Cloud Armor Enterprise verwenden möchten, müssen Sie sich zuerst für Cloud Armor Enterprise registrieren. Sie können Cloud Armor Enterprise Annual abonnieren und einzelne Projekte registrieren oder ein Projekt direkt in Cloud Armor Enterprise Paygo registrieren.
Wir empfehlen Ihnen dringend, Ihre Projekte so bald wie möglich bei Cloud Armor Enterprise zu registrieren, da die Aktivierung bis zu 24 Stunden dauern kann.
Externer Application Load Balancer und externer Proxy-Network Load Balancer
Nachdem ein Projekt für Cloud Armor Enterprise registriert wurde, werden der Registrierung die Weiterleitungsregeln innerhalb des Projekts hinzugefügt. Darüber hinaus werden alle Backend-Dienste und Backend-Buckets als geschützte Ressourcen gezählt und nach den Kosten für geschützte Ressourcen von Cloud Armor Enterprise abgerechnet. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Annual werden für alle registrierten Projekte in einem Rechnungskonto zusammengefasst. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Paygo werden dagegen innerhalb des Projekts zusammengefasst.
Externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)
Google Cloud Armor bietet die folgenden Optionen, um diese Endpunkte vor DDoS-Angriffen zu schützen:
- DDoS-Standardschutz: Einfacher immer aktivierter Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Durchsetzung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Diese Funktion ist im Google Cloud Armor Standard enthalten und erfordert keine zusätzlichen Abos.
- Erweiterter DDoS-Schutz für Netzwerke: Zusätzliche Schutzmaßnahmen für Cloud Armor Enterprise-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird pro Region konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet sie immer eine gezielte, Volume-Angriffserkennung und -minderung für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.
Support für DDoS-Antworten
Der DDoS-Antwortsupport bietet rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen von DDoS-Angriffen vom selben Team, das auch alle Google-Dienste schützt. Sie können den Response-Support bei einem Angriff unterstützen, um den Angriff zu entschärfen. Alternativ haben Sie die Möglichkeit, sich auf einen Plan für ein hohes Volumen oder potenziell virales Ereignis vorzubereiten, von dem eine ungewöhnlich hohe Anzahl an Besucher anziehen könnte.
Proaktiver Support ist für alle Google Cloud Armor-Kunden verfügbar, auch wenn sie keine DDoS-Prüfung durchgeführt haben. Durch proaktiven Support können wir vorkonfigurierte Regeln anwenden, die auf gängige DDoS-Angriffstypen abzielen, bevor der Angriff Google Cloud Armor erreicht. Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für einen DDoS-Fall erhalten.
Überprüfung der DDoS-Abwehr
Ziel der Überprüfung der DDoS-Abwehr ist es, die Effizienz und Effektivität des DDoS-Antwortprozesses zu verbessern. Während der Überprüfung erfahren wir mehr über Ihren individuellen Anwendungsfall und Ihre Architektur und prüfen, ob Ihre Google Cloud Armor-Sicherheitsrichtlinien gemäß unseren Best Practices konfiguriert sind. So können Sie Ihre vorbeugende Widerstandsfähigkeit gegenüber DDoS-Angriffen erhöhen.
Die DDoS-Prüfung ist für Kunden verfügbar, die Cloud Armor Enterprise jährlich abonniert haben und ein Premium-Konto für Cloud Customer Care haben.
Voraussetzungen für die Unterstützung bei DDoS-Antworten
Wenn Sie die folgenden Kriterien erfüllen, können Sie eine Anfrage stellen. Hier erhalten Sie Hilfe vom Google Cloud Armor-DDoS-Supportteam:
- Für Ihr Rechnungskonto ist ein aktives Cloud Armor Enterprise-Jahresabo vorhanden.
- Ihr Rechnungskonto hat ein Premium-Konto für den Cloud Customer Care.
- Das Google Cloud-Projekt mit der angegriffenen Arbeitslast ist für Cloud Armor Enterprise Annual registriert.
- Wenn Sie projektübergreifende Dienstverweise verwenden, müssen sowohl das Frontend- als auch das Backend-Dienstprojekt für Cloud Armor Enterprise Annual registriert sein.
- (Für Kunden, die Cloud Armor Enterprise Annual nach dem 3. September 2024 abonniert haben): Das Projekt mit der angegriffenen Arbeitslast muss eine jährliche DDoS-Prüfung durchlaufen haben.
Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für einen DDoS-Fall erhalten.
DDoS-Rechnungsschutz
Für den DDoS-Rechnungsschutz von Google Cloud Armor muss Ihr Projekt für die Cloud Armor-Dienststufe „Enterprise jährlich“ registriert sein. Er bietet Gutschriften für die künftige Nutzung von Google Cloud für einige Erhöhungen der Rechnungen von Cloud Load Balancing, Google Cloud Armor und Netzwerk-Internet, ausgehenden interregionalen und interzonalen Datenübertragungen als Ergebnis eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:
| Endpunkttyp | Erhöhung der abgedeckten Nutzung | |
|---|---|---|
|
Google Cloud Armor | Datenverarbeitungsgebühr für Cloud Armor Enterprise |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Interzone | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Datenverarbeitung eingehender Daten | |
| Gebühr für die ausgehende Datenverarbeitung | ||
| Media CDN | Media CDN-Ausgabegebühr (nur externer Application Load Balancer) | |
|
Google Cloud Armor | Datenverarbeitungsgebühr für Cloud Armor Enterprise |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Interzone | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Datenverarbeitung eingehender Daten | |
| Gebühr für die ausgehende Datenverarbeitung |
Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.
Projekte zwischen Rechnungskonten migrieren
Wenn Sie ab dem 3. September 2024 Ihr Projekt von einem Rechnungskonto in ein anderes migrieren, während Sie Cloud Armor Enterprise jährlich abonniert haben, Ihr neues Rechnungskonto aber kein Cloud Armor Enterprise jährlich-Abo hat, wird Ihr Projekt nach Abschluss der Migration auf Google Cloud Armor Standard zurückgesetzt. Wenn Sie Ihr Projekt also ohne Ausfallzeit in Cloud Armor Enterprise Annual nutzen möchten, empfehlen wir Ihnen, Cloud Armor Enterprise Annual für Ihr neues Rechnungskonto vor Beginn der Migration zu abonnieren. Sie können Ihr Abo auch von einem Rechnungskonto in ein anderes migrieren. Wenden Sie sich dazu an den Cloud Billing-Support.
Bei Projekten, die bei Cloud Armor Enterprise Paygo registriert sind, ist keine Migration des Rechnungskontos erforderlich.
Downgrade von Cloud Armor Enterprise
Wenn Sie ein Projekt aus Cloud Armor Enterprise entfernen, werden alle Sicherheitsrichtlinien, die Regeln mit Cloud Armor Enterprise-exklusiven Funktionen (erweiterte Regeln) verwenden, eingefroren. Eingefrorene Sicherheitsrichtlinien haben die folgenden Eigenschaften:
- Google Cloud Armor wertet den Traffic weiterhin anhand der Regeln in der Richtlinie aus, einschließlich aller erweiterten Regeln.
- Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
- Sie können nur die folgenden Vorgänge für die Sicherheitsrichtlinie ausführen:
- Sie können Sicherheitsrichtlinienregeln löschen.
- Wenn Sie die Regelpriorität nicht ändern, können Sie erweiterte Regeln so aktualisieren, dass sie keine Cloud Armor Enterprise-exklusiven Funktionen mehr verwenden. Wenn Sie alle erweiterten Regeln auf diese Weise ändern, wird die Richtlinie nicht mehr eingefroren. Weitere Informationen zum Aktualisieren von Sicherheitsrichtlinien finden Sie unter Einzelne Regel in einer Sicherheitsrichtlinie aktualisieren.
Sie können sich auch noch einmal für Cloud Armor Enterprise jährlich oder Cloud Armor Enterprise Paygo registrieren, um den Zugriff auf Ihre eingefrorenen Sicherheitsrichtlinien wiederherzustellen.
Erweiterter DDoS-Netzwerkschutz
Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die bei Cloud Armor Enterprise registriert sind. Wenn Sie ein Projekt mit einer aktiven Richtlinie für den erweiterten DDoS-Schutz für Netzwerke aus Cloud Armor Enterprise entfernen, wird Ihnen die Funktion weiterhin gemäß den Cloud Armor Enterprise-Preisen in Rechnung gestellt.
Wir empfehlen, alle Regeln für den erweiterten DDoS-Schutz für Netzwerke zu löschen, bevor Sie Ihr Projekt aus Cloud Armor Enterprise abmelden. Sie können diese Regeln aber auch nach dem Downgrade löschen.
Nutzungsbedingungen und Einschränkungen
Für Cloud Armor Enterprise gelten die folgenden Nutzungsbedingungen und Einschränkungen:
- Allgemein: Wenn bei einem in Cloud Armor Enterprise registrierten Projekt ein Denial-of-Service-Angriff eines Dritten auf einen geschützten Endpunkt („Qualifizierter Angriff“) erfolgt und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, gewährt Google eine Gutschrift in Höhe der abgedeckten Gebühren, sofern die anfallenden abgedeckten Gebühren den Mindestgrenzwert überschreiten. Lasttests und Sicherheitsbewertungen, die vom oder im Auftrag des Kunden durchgeführt werden, sind keine qualifizierten Angriffe.
- Voraussetzungen: Der Kunde muss innerhalb von 30 Tagen nach dem Ende des qualifizierten Angriffs eine Anfrage an den Cloud Billing-Support senden. Die Anfrage muss Nachweise für den qualifizierten Angriff enthalten, z. B. Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs sowie die betroffenen Projekte und Ressourcen sowie eine Schätzung der angefallenen Gebühren angeben. Google wird in angemessener Weise entscheiden, ob Gutschriften fällig sind und wie hoch diese ausfallen. Weitere Bedingungen für bestimmte Google Cloud Armor-Funktionen sind in der Dokumentation enthalten.
- Guthaben: Guthaben, die dem Kunden in Verbindung mit diesem Abschnitt gewährt werden, haben keinen Barwert und können nur für die zukünftigen Gebühren für die Dienste verwendet werden. Diese Gutschriften verfallen 12 Monate nach ihrer Ausstellung oder bei Kündigung oder Ablauf der Vereinbarung.
- Definitionen:
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden als direktes Ergebnis des qualifizierten Angriffs für Folgendes berechnet werden:
- Ein- und ausgehender Datenverarbeitungs-Traffic für den Google Cloud-Load-Balancer-Dienst.
- Datenverarbeitung für Google Cloud Armor Enterprise für den Google Cloud Armor-Dienst
- Ausgehender Netzwerktraffic einschließlich interregionaler, interzonaler, Internet- und Carrier-Peering-Traffic.
- Mindestgrenzwert: Der Mindestbetrag der abgedeckten Gebühren, der gemäß diesem Abschnitt von Google gegebenenfalls ggf. gutgeschrieben werden kann und dem Kunden auf Anfrage zur Verfügung gestellt wird.
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden als direktes Ergebnis des qualifizierten Angriffs für Folgendes berechnet werden:
Nächste Schritte
- Cloud Armor Enterprise abonnieren und Projekte registrieren
- Fehlerbehebung
- Referenz der Sprache für benutzerdefinierte Regeln verwenden