Google Cloud Armor Enterprise è la protezione delle applicazioni che aiuta a proteggere le applicazioni e i servizi web da istanze Attacchi denial of service (DDoS) e altre minacce da internet. Cloud Armor Enterprise aiuta a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastrutture.
Confronto tra Google Cloud Armor Standard e Cloud Armor Enterprise
Google Cloud Armor è disponibile in due livelli di servizio, Standard e Cloud Armor Enterprise:
Google Cloud Armor Standard include quanto segue:
- Un modello di determinazione del prezzo con pagamento a consumo
- Protezione sempre attiva dagli attacchi DDoS volumetrici e basati su protocollo su la tua infrastruttura con bilanciamento del carico globale e regionale
- Accedi alle funzionalità delle regole del web application firewall (WAF) di Google Cloud Armor, incluse le regole WAF preconfigurate per la protezione dei rischi OWASP Top 10
Cloud Armor Enterprise include:
- Tutte le funzionalità di Google Cloud Armor Standard
- Scelta di modelli di prezzo: Cloud Armor Enterprise annuale o Paygo
- Utilizzo del WAF di Google Cloud Armor incluso, tra cui regole, criteri e richieste
- Elenchi di indirizzi IP denominati di terze parti
- Threat Intelligence per Google Cloud Armor
- Adaptive Protection per gli endpoint di livello 7
- Protezione DDoS di rete avanzata per endpoint passthrough: bilanciatori del carico di rete passthrough esterni, inoltro del protocollo e indirizzi IP pubblici per le istanze di macchine virtuali (VM)
- (Solo Cloud Armor Enterprise annuale): accesso alla protezione della fattura DDoS e ai servizi del team di risposta DDoS (si applicano condizioni aggiuntive, consulta Idoneità per il team di risposta DDoS)
- Accesso alla visibilità degli attacchi DDoS
Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Google Cloud Armor Standard. Dopo aver sottoscritto l'abbonamento a Cloud Armor Enterprise a livello di account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.
La tabella seguente riassume i due livelli di servizio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuale | ||
| Metodo di fatturazione | Pagamento a consumo | Pagamento a consumo | Abbonamento con impegno di 12 mesi |
| Prezzi | Per criterio, per regola, per richiesta (vedi Prezzi) |
|
|
| Protezione dagli attacchi DDoS |
|
|
|
| Protezione DDoS di rete avanzata | No | Sì | Sì |
| Criteri di sicurezza perimetrale della rete | No | Sì | Sì |
| WAF di Google Cloud Armor | In base al criterio, alla regola e alla richiesta (vedi Prezzi) | Incluso in Paygo | Incluso nell'abbonamento annuale |
| Limiti delle risorse | Fino al limite di quota | Limite massimo di quota | Limite massimo di quota |
| Impegno in termini di tempo | N/D | N/D | Un anno |
| Gruppo di indirizzi | |||
| Threat Intelligence | |||
| Adaptive Protection | Solo avvisi | ||
| Visibilità degli attacchi DDoS | N/D | ||
| Supporto per la risposta DDoS | N/D | Requisiti di idoneità | |
| Protezione delle fatture DDoS | N/D | ||
Abbonarsi a Cloud Armor Enterprise
Per utilizzare i servizi e le funzionalità aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi iscriverti a Cloud Armor Enterprise annuale e registra singoli progetti oppure può registrare un progetto direttamente in Cloud Armor Enterprise Paygo.
Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.
Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno
Dopo aver registrato un progetto in Cloud Armor Enterprise, le regole di inoltro al suo interno vengono aggiunte alla registrazione. Inoltre, tutti i backend e i bucket di backend sono conteggiati come risorse protette e vengono misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise Annual vengono aggregati in tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.
Bilanciatore del carico di rete passthrough esterno, inoltro del protocollo e indirizzi IP pubblici (VM)
Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint contro gli attacchi DDoS:
- Protezione DDoS di rete standard: protezione di base sempre attiva per bilanciatori del carico di rete esterni passthrough, forwarding del protocollo o VM con indirizzi IP pubblici. Ciò include l'applicazione regola di forwarding e la limitazione automatica della frequenza. Questa funzionalità è coperta da Google Cloud Armor Standard e non richiede alcun abbonamento aggiuntivo.
- Protezione DDoS di rete avanzata: protezioni aggiuntive per Abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata viene configurata in base alla regione. Se abilitato per una particolare regione, Google Cloud Armor fornisce il rilevamento sempre attivo degli attacchi volumetrici mitigazione mirata per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e VM con dagli indirizzi IP pubblici in quella regione.
Supporto per la risposta DDoS
Il supporto di DDoS Response offre un aiuto 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate Attacchi DDoS dallo stesso team che protegge tutti i servizi Google. Puoi richiedere assistenza per la risposta durante un attacco per contribuire a mitigarlo oppure puoi contattarci in modo proattivo per pianificare un evento imminente con un volume elevato o potenzialmente virale (che potrebbe attirare un numero insolitamente elevato di visitatori).
L'assistenza proattiva è disponibile per tutti i clienti di Google Cloud Armor, anche se non hanno completato la revisione della postura DDoS. L'assistenza proattiva ci permette di presentare regole preconfigurate che prendono di mira i tipi di attacchi DDoS più comuni prima dell'attacco raggiunge Google Cloud Armor. Per richiedere assistenza per la risposta ai DDoS, consulta Ricevere assistenza per una richiesta relativa a un DDoS.
Revisione della postura DDoS
L'obiettivo della revisione della postura DDoS è migliorare l'efficienza e l'efficacia del processo di risposta DDoS. Durante la procedura di revisione, approfondiamo al caso d'uso e all'architettura unici e verifica che Google Cloud Armor i criteri di sicurezza vengono configurati in base best practice. Questo ti aiuta ad aumentare resilienza preventiva agli attacchi DDoS.
La revisione della posizione DDoS viene fornita ai clienti che sottoscrivono un abbonamento annuale a Cloud Armor Enterprise e dispongono di un account Premium per l'assistenza clienti Cloud.
Idoneità al supporto delle risposte DDoS
I seguenti criteri ti consentono di aprire una richiesta e ricevere aiuto dal team di assistenza per la risposta ai DDoS di Google Cloud Armor:
- Il tuo account di fatturazione ha un abbonamento annuale a Cloud Armor Enterprise attivo.
- Il tuo account di fatturazione ha un account Premium per il servizio clienti Cloud.
- Il progetto Google Cloud con il carico di lavoro sotto attacco è registrato in Cloud Armor Enterprise annuale.
- Se utilizzi il riferimento ai servizi tra progetti, i progetti di servizi frontend e backend devono essere registrati in Cloud Armor Enterprise annuale.
- (per i clienti che si sono abbonati a Cloud Armor Enterprise annuale dopo il completamento) 3 settembre 2024): il progetto con il carico di lavoro che è sotto attacco devono essere stati sottoposti a una revisione annuale della postura DDoS.
Per richiedere assistenza per la risposta ai DDoS, consulta Ricevere assistenza per una richiesta relativa a un DDoS.
Protezione delle fatture DDoS
La protezione delle fatture DDoS di Google Cloud Armor richiede la registrazione del tuo progetto in Cloud Armor Enterprise annuale. Fornisce crediti per l'utilizzo futuro di Google Cloud per alcuni aumenti delle fatture di Cloud Load Balancing, Google Cloud Armor e per il trasferimento di dati in uscita su internet, tra regioni e tra zone della rete a seguito di un attacco DDoS verificato. Se una rivendicazione viene riconosciuti e forniti, i crediti non possono essere utilizzati per compensare utilizzo esistente; il credito può essere applicato solo a un utilizzo futuro. La tabella seguente dimostra quali risorse sono coperte dalla protezione delle fatture DDoS:
| Tipo di endpoint | Aumento dell'utilizzo coperto | |
|---|---|---|
|
Google Cloud Armor | Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise |
| Rete | Trasferimento di dati in uscita | |
| Tra regioni | ||
| Tra zone | ||
| Peering con operatori | ||
| Bilanciatore del carico | Tariffa per l'elaborazione dei dati in entrata | |
| Tariffa per l'elaborazione dei dati in uscita | ||
| Media CDN | Tariffa di uscita di Media CDN (solo bilanciatore del carico delle applicazioni esterno) | |
|
Google Cloud Armor | Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise |
| Rete | Trasferimento di dati in uscita | |
| Tra regioni | ||
| Tra zone | ||
| Peering con operatori | ||
| Bilanciatore del carico | Tariffa per l'elaborazione dei dati in entrata | |
| Tariffa per il trattamento dei dati in uscita |
Per attivare la protezione delle fatture DDoS, consulta Attivare la protezione delle fatture DDoS.
Migrazione dei progetti tra account di fatturazione
A partire dal 3 settembre 2024, se esegui la migrazione del progetto da un account di fatturazione a un altro mentre hai un abbonamento a Cloud Armor Enterprise annuale, ma il nuovo account di fatturazione non ha un abbonamento a Cloud Armor Enterprise annuale, il progetto torna a Google Cloud Armor Standard al termine della migrazione. Pertanto, se vuoi mantenere il progetto Cloud Armor Enterprise annuale senza tempi di inattività, ti consigliamo sottoscrivi il tuo nuovo account di fatturazione a Cloud Armor Enterprise annuale prima di iniziare il processo di migrazione. Puoi anche eseguire la migrazione del tuo abbonamento da un account di fatturazione all'altro contattando Cloud Billing assistenza.
I progetti registrati a Cloud Armor Enterprise Paygo non sono interessati dalla migrazione dell'account di fatturazione.
Downgrade da Cloud Armor Enterprise
Quando rimuovi un progetto da Cloud Armor Enterprise, tutti i criteri di sicurezza che utilizzano regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) vengono bloccati. I criteri di sicurezza bloccati hanno le seguenti proprietà:
- Google Cloud Armor continua a valutare il traffico in base alle regole incluse le eventuali regole avanzate.
- Non puoi collegare il criterio di sicurezza a nuovi target.
- Sul criterio di sicurezza puoi eseguire soltanto le seguenti operazioni:
- Puoi eliminare le regole del criterio di sicurezza.
- Se non modifichi la priorità della regola, puoi aggiornare le regole avanzate in modo che non utilizzino più le funzionalità esclusive di Cloud Armor Enterprise. Se Se modifichi tutte le regole avanzate in questo modo, il criterio non sarà più bloccato. Per saperne di più sull'aggiornamento delle regole dei criteri di sicurezza, consulta Aggiornare una singola regola in un criterio di sicurezza.
Puoi anche iscriverti nuovamente a Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso ai tuoi sistemi di sicurezza bloccati criteri.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi un progetto con un livello avanzato attivo criterio DDoS di rete di Cloud Armor Enterprise, ti verranno comunque addebitati dei costi la caratteristica in base Prezzi di Cloud Armor Enterprise.
Ti consigliamo di eliminare eventuali regole di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto da Cloud Armor Enterprise, ma puoi anche eliminare le regole di protezione DDoS di rete avanzata dopo il downgrade.
Termini e limitazioni
Cloud Armor Enterprise è soggetto ai seguenti termini e limitazioni:
- In generale: se un progetto registrato in Cloud Armor Enterprise subisce una un attacco denial of service di terze parti su un endpoint protetto ("Qualificato attacco") e le condizioni descritte nella sezione successiva sono soddisfatte, Google fornisce un credito equivalente alle Commissioni coperte, a condizione che gli Le Tariffe sostenute superano la Soglia minima. I test di carico e le valutazioni di sicurezza eseguiti dal Cliente o per suo conto non sono considerati Attacchi qualificati.
- Condizioni: il cliente deve inviare una richiesta all'assistenza per la fatturazione Cloud entro 30 giorni dopo il termine dell'attacco qualificato. La richiesta deve includere Prova dell'attacco qualificato, come log o altri dati di telemetria che indicano la tempistica dell'attacco e i progetti e le risorse attaccati, e una stima delle Tariffe coperte sostenute. Google stabilirà ragionevolmente sulla scadenza dei crediti e sull'importo appropriato. Altre condizioni per determinate funzionalità di Google Cloud Armor sono incluse nella documentazione.
- Crediti: tutti i crediti forniti al Cliente in relazione alla presente Sezione. non hanno valore in denaro e possono essere applicati solo per compensare le Tariffe future per Servizi. Questi crediti scadono 12 mesi dopo l'emissione o dopo la risoluzione o la scadenza del Contratto.
- Definizioni:
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come diretta conseguenza dei
Attacco qualificato per:
- Elaborazione dei dati in entrata e in uscita per Google Cloud Load servizio di bilanciamento del carico.
- Elaborazione dei dati di Google Cloud Armor Enterprise per Google Cloud Armor assistenza.
- Traffico in uscita dalla rete, compresi tra regioni, tra zone, internet e In uscita dal peering con operatori.
- Soglia minima: l'importo minimo delle Commissioni coperte che sono idonee per essere accreditate ai sensi della presente Sezione, come stabilito da Google di volta in volta e comunicato al Cliente su richiesta.
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come diretta conseguenza dei
Attacco qualificato per:
Passaggi successivi
- Abbonarsi e registrare i progetti in Cloud Armor Enterprise
- Risolvere i problemi
- Utilizzare il riferimento al linguaggio delle regole personalizzate