Google Cloud Armor Enterprise es el servicio de protección de aplicaciones que ayuda a proteger tus aplicaciones y servicios web de ataques de denegación de servicio distribuido (DSD) y otras amenazas de Internet. Cloud Armor Enterprise ayuda a proteger las aplicaciones implementadas en Google Cloud, de forma local o en otros proveedores de infraestructura.
Google Cloud Armor Standard en comparación con Cloud Armor Enterprise
Google Cloud Armor se ofrece en dos niveles de servicio: Standard y Cloud Armor Enterprise.
Google Cloud Armor Standard incluye lo siguiente:
- Un modelo de precios prepagos
- Protección siempre activa contra ataques de DSD volumétricos y basados en protocolos, con mitigaciones intercaladas automatizadas en tiempo real y sin impacto en la latencia en los siguientes tipos de infraestructura:
- Balanceador de cargas de aplicaciones externo global (HTTP/HTTPS)
- Balanceador de cargas de aplicaciones clásico (HTTP/HTTPS)
- Balanceador de cargas de aplicaciones externo regional (HTTP/HTTPS)
- Balanceador de cargas de red de proxy externo global (TCP/SSL)
- Cloud CDN
- Media CDN
- Integración con Cloud CDN y Media CDN
- Acceso a las funciones de las reglas del firewall de aplicación web (WAF) de Google Cloud Armor, incluidas las reglas de WAF preconfiguradas para la protección contra los 10 riesgos principales de OWASP
Cloud Armor Enterprise incluye lo siguiente:
- Todas las funciones de Google Cloud Armor Standard
- Elige entre los modelos de precios: Cloud Armor Enterprise anual o con pago por uso
- Uso del WAF de Google Cloud Armor en paquete, incluidas las reglas, la política y las solicitudes
- Listas de direcciones IP con nombre de terceros
- Inteligencia sobre amenazas para Google Cloud Armor
- Protección adaptable para extremos de la capa 7
- Protección avanzada contra DSD de red para extremos de transferencia: balanceadores de cargas de red de transferencia externos, reenvío de protocolos y direcciones IP públicas para instancias de máquina virtual (VM)
- (Solo Cloud Armor Enterprise Anual): Acceso a la protección contra facturas de DSD y a los servicios del equipo de respuesta ante DSD (se aplican condiciones adicionales, consulta Elegibilidad para el equipo de respuesta ante DSD)
- Acceso a la visibilidad de los ataques DDoS
Todos los proyectos de Google Cloud que incluyen un balanceador de cargas de aplicaciones externo o un balanceador de cargas de red de proxy externo se inscriben automáticamente en Google Cloud Armor Standard. Después de suscribirte a Cloud Armor Enterprise a nivel de la cuenta de facturación, los usuarios pueden elegir inscribir proyectos individuales adjuntos a la cuenta de facturación en Cloud Armor Enterprise.
En la siguiente tabla, se resumen los dos niveles de servicio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Anual | ||
| Método de facturación | Pago por uso | Pago por uso | Suscripción con compromiso de 12 meses |
| Precios | Por política, por regla y por solicitud (consulta Precios) |
|
|
| Protección contra ataques de DSD |
|
|
|
| Protección avanzada contra DSD de red | No | Sí | Sí |
| Políticas de seguridad perimetral de red | No | Sí | Sí |
| WAF de Google Cloud Armor | Por política, por regla y por solicitud (consulta Precios) | Incluido con Paygo | Incluido con la membresía anual |
| Límites de recursos | Hasta el límite de cuota | Hasta el límite de cuota | Hasta el límite de cuota |
| Compromiso de tiempo | N/A | N/A | Un año |
| Grupo de direcciones | |||
| Threat Intelligence | |||
| Protección adaptable | Solo alertas | ||
| Visibilidad de ataques DSD | N/A | ||
| Compatibilidad con respuestas ante DSD | N/A | Requisitos de elegibilidad | |
| Protección contra facturas DSD | N/A | ||
Suscríbete a Cloud Armor Enterprise
Para usar los servicios y las funciones adicionales de Cloud Armor Enterprise, primero debes inscribirte en Cloud Armor Enterprise. Puedes suscribirte a Cloud Armor Enterprise anual y inscribir proyectos individuales, o bien inscribir un proyecto directamente en Cloud Armor Enterprise con pago por uso.
Te recomendamos que inscribas tus proyectos en Cloud Armor Enterprise lo antes posible, ya que la activación puede llevar hasta 24 horas.
Balanceador de cargas de aplicaciones externo y balanceador de cargas de red de proxy externo
Después de que se inscribe un proyecto en Cloud Armor Enterprise, las reglas de reenvío dentro del proyecto se agregan a la inscripción. Además, todos los servicios y los buckets de backend se cuentan como recursos protegidos y se miden para el costo de los recursos protegidos de Cloud Armor Enterprise. Los servicios y los buckets de backend de Cloud Armor Enterprise Annual se agregan en todos los proyectos inscritos en una cuenta de facturación, mientras que los servicios y los buckets de backend de Cloud Armor Enterprise Paygo se agregan dentro del proyecto.
Balanceador de cargas de red de transferencia externo, reenvío de protocolos y direcciones IP públicas (VMs)
Google Cloud Armor ofrece las siguientes opciones para proteger estos extremos contra los ataques de DSD:
- Protección estándar contra DSD de red: Protección básica siempre activa para balanceadores de cargas de red externos de transferencia, reenvío de protocolos o VMs con direcciones IP públicas. Esto incluye la aplicación forzosa de reglas de reenvío y el límite de frecuencia automático. Esto se incluye en Google Cloud Armor Standard y no requiere ninguna suscripción adicional.
- Protección avanzada contra DSD de red: protecciones adicionales para los suscriptores de Cloud Armor Enterprise. La protección avanzada contra DSD de red se configura por región. Cuando se habilita en una región en particular, Google Cloud Armor proporciona detección y mitigación siempre activas de ataques volumétricos dirigidos para balanceadores de cargas de red de transferencia externos, reenvío de protocolos y VMs con direcciones IP públicas en esa región.
Compatibilidad con respuestas ante DSD
La compatibilidad con respuestas de DDoS proporciona ayuda las 24 horas, todos los días, y posibles mitigaciones personalizadas contra ataques de DSD por parte del mismo equipo que protege todos los servicios de Google. Puedes comunicarte con el equipo de asistencia de respuesta durante un ataque para mitigarlo o comunicarte de forma proactiva para planificar un próximo evento de gran volumen o potencialmente viral (un evento que pueda atraer una gran cantidad de visitantes inusual).
La asistencia proactiva está disponible para todos los clientes de Google Cloud Armor, incluso si no completaron una revisión de la postura de DSD. La asistencia proactiva nos permite aplicar reglas preconfiguradas que se orientan a tipos de ataques DSD comunes antes de que el ataque llegue a Google Cloud Armor. Para habilitar la compatibilidad con respuestas de DSD, consulta Obtén asistencia para un caso de DSD.
Revisión de la postura DSD
El objetivo de la revisión de la postura de DSD es mejorar la eficiencia y la eficacia del proceso de respuesta a DSD. Durante el proceso de revisión, obtenemos información sobre tu caso de uso y tu arquitectura únicos, y verificamos que tus políticas de seguridad de Google Cloud Armor estén configuradas de acuerdo con nuestras prácticas recomendadas. Esto te ayuda a aumentar tu resiliencia preventiva ante los ataques DSD.
La revisión de la postura de DDoS se proporciona a los clientes que se suscriben a Cloud Armor Enterprise anual y tienen una cuenta Premium para Atención al cliente de Cloud.
Elegibilidad para la compatibilidad con respuestas ante DSD
Los siguientes criterios te califican para abrir un caso y recibir ayuda del equipo de asistencia de respuesta de DSD de Google Cloud Armor:
- Tu cuenta de facturación tiene una suscripción anual activa a Cloud Armor Enterprise.
- Tu cuenta de facturación tiene una cuenta de Premium para la atención al cliente de Cloud.
- El proyecto de Google Cloud con la carga de trabajo que está en ataque está inscrito en Cloud Armor Enterprise anual.
- Si usas referencias de servicios entre proyectos, los proyectos de servicios de frontend y backend deben estar inscritos en Cloud Armor Enterprise Annual.
- (Para los clientes que se suscribieron a Cloud Armor Enterprise anual después del 3 de septiembre de 2024): El proyecto con la carga de trabajo que está bajo ataque debe haber pasado por una revisión anual de la postura de DSD.
Para habilitar la compatibilidad con respuestas de DSD, consulta Obtén asistencia para un caso de DSD.
Protección contra facturas DSD
La protección contra facturas de DDoS de Google Cloud Armor requiere que tu proyecto esté inscrito en Cloud Armor Enterprise anual. Proporciona créditos para el uso futuro de Google Cloud de algunos aumentos en las facturas de Cloud Load Balancing, Google Cloud Armor, salida de Internet de la red, interregional e interzonal como resultado de un ataque DSD verificado. Si se reconoce un reclamo y se proporciona un crédito, no se puede usar el crédito para compensar el uso existente. El crédito solo puede aplicarse al uso futuro. En la siguiente tabla, se muestra qué recursos cubre la protección contra facturas DSD:
| Endpoint Type | Aumento de uso cubierto | |
|---|---|---|
|
Google Cloud Armor | Tarifa de procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Interregional | ||
| Interzona | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa de procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos salientes | ||
| Media CDN | Tarifa de salida de CDN de contenido multimedia (solo para balanceador de cargas de aplicaciones externo) | |
|
Google Cloud Armor | Tarifa de procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Interregional | ||
| Interzona | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa de procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos salientes |
Para usar la protección contra facturas DSD, consulta Genera protección contra facturas DSD.
Cómo migrar proyectos entre cuentas de facturación
A partir del 3 de septiembre de 2024, si migras tu proyecto de una cuenta de facturación a otra mientras tienes una suscripción a Cloud Armor Enterprise anual, pero tu cuenta de facturación nueva no está suscrita a Cloud Armor Enterprise anual, tu proyecto volverá a Google Cloud Armor estándar después de que se complete la migración. Por lo tanto, si deseas mantener tu proyecto en Cloud Armor Enterprise anual sin tiempo de inactividad, te recomendamos que subscribas tu nueva cuenta de facturación a Cloud Armor Enterprise anual antes de comenzar el proceso de migración. También puedes comunicarte con el equipo de asistencia de Facturación de Cloud para migrar tu suscripción de una cuenta de facturación a otra.
Los proyectos inscritos en el pago por uso de Cloud Armor Enterprise no se ven afectados por la migración de la cuenta de facturación.
Cómo cambiar a una versión inferior de Cloud Armor Enterprise
Cuando quitas un proyecto de Cloud Armor Enterprise, se suspenden todas las políticas de seguridad que usan reglas con funciones exclusivas de Cloud Armor Enterprise (reglas avanzadas). Las políticas de seguridad inmovilizadas tienen las siguientes propiedades:
- Google Cloud Armor continúa evaluando el tráfico en función de las reglas de la política, incluidas las reglas avanzadas.
- No puedes adjuntar la política de seguridad a destinos nuevos.
- Solo puedes realizar las siguientes operaciones en la política de seguridad:
- Puedes borrar reglas de la política de seguridad.
- Si no cambias la prioridad de la regla, puedes actualizar las reglas avanzadas para que ya no usen funciones exclusivas de Cloud Armor Enterprise. Si modificas todas las reglas avanzadas de esta manera, tu política ya no estará inmovilizada. Para obtener más información sobre cómo actualizar las reglas de la política de seguridad, consulta Actualiza una sola regla en una política de seguridad.
También puedes volver a inscribirte en Cloud Armor Enterprise anual o en Cloud Armor Enterprise con pago por uso para restablecer el acceso a tus políticas de seguridad inhabilitadas.
Protección avanzada contra DSD de red
La protección avanzada contra DSD de red solo está disponible para los proyectos inscritos en Cloud Armor Enterprise. Cuando quitas un proyecto con una política avanzada de DSD de red activa de Cloud Armor Enterprise, se te factura la función según los precios de Cloud Armor Enterprise.
Te recomendamos que borres las reglas de protección avanzada contra DSD de red antes de cancelar la inscripción de tu proyecto en Cloud Armor Enterprise, pero también puedes borrarlas después de cambiar a una versión inferior.
Condiciones y limitaciones
Cloud Armor Enterprise tiene los siguientes términos y limitaciones:
- En general: Si un proyecto inscrito en Cloud Armor Enterprise experimenta un ataque de denegación del servicio de terceros en un extremo protegido ("Ataque Calificado") y se cumplen las condiciones que se describen en la siguiente sección, Google proporciona un crédito equivalente a las Tarifas Cubiertas, siempre que las Tarifas Cubiertas incurridas superen el Umbral Mínimo. Las pruebas de carga y las evaluaciones de seguridad que realiza el Cliente o en su nombre no son Ataques Calificados.
- Condiciones: El cliente debe enviar una solicitud al equipo de asistencia de Facturación de Cloud en un plazo de 30 días después de que finalice el ataque calificado. La solicitud debe incluir evidencia del ataque calificado, como registros o cualquier otra telemetría que indique el momento del ataque y los proyectos y recursos que se atacaron, y una estimación de las tarifas cubiertas incurridas. Google determinará de manera razonable si los créditos están vencidos y el importe adecuado. En la Documentación, se incluyen otras condiciones para funciones específicas de Google Cloud Armor.
- Créditos: Los créditos proporcionados al Cliente en relación con esta Sección no tienen valor en efectivo y solo se pueden aplicar para compensar las Tarifas futuras de los Servicios. Estos créditos vencerán 12 meses después de su emisión o tras la rescisión o el vencimiento del Acuerdo.
- Definiciones:
- Tarifas cubiertas: Son las tarifas que el Cliente incurre como resultado directo del Ataque Calificado por lo siguiente:
- Procesamiento de datos entrantes y salientes para el servicio de equilibrador de cargas de Google Cloud
- Procesamiento de datos de Google Cloud Armor Enterprise para el servicio de Google Cloud Armor
- Salida de red, incluida la salida de intercambio de tráfico entre operadores, Internet, interregional y interzonal
- Umbral Mínimo: Es el importe mínimo de las Tarifas Cubiertas que son aptas para acreditarse en virtud de esta Sección, según lo determine Google de vez en cuando y se divulgue al Cliente si este lo solicita.
- Tarifas cubiertas: Son las tarifas que el Cliente incurre como resultado directo del Ataque Calificado por lo siguiente:
¿Qué sigue?
- Cómo suscribirse y inscribir proyectos en Cloud Armor Enterprise
- Soluciona problemas
- Usa la referencia del lenguaje de reglas personalizadas