Google Cloud Armor Enterprise es el servicio administrado de protección de aplicaciones que ayuda a proteger tus aplicaciones y servicios web de ataques de denegación de servicio distribuido (DSD) y otras amenazas de Internet. Cloud Armor Enterprise ayuda a proteger las aplicaciones implementadas en Google Cloud, de forma local o en otros proveedores de infraestructura.
Google Cloud Armor Standard versus Cloud Armor Enterprise
Google Cloud Armor se ofrece en dos niveles de servicio: Estándar y Cloud Armor Enterprise:
El estándar de Google Cloud Armor incluye lo siguiente:
- Un modelo de precios de pago por uso
- Protección permanente contra ataques DSD volumétricos y basados en protocolos en tu infraestructura con balanceo de cargas global y regional
- Acceso a las capacidades de las reglas de firewall de aplicación web (WAF) de Google Cloud Armor, incluidas las reglas de WAF preconfiguradas para la protección de OWASP Top 10
Cloud Armor Enterprise incluye lo siguiente:
- Todas las funciones de Google Cloud Armor Standard
- Elección de modelos de precios: Cloud Armor Enterprise anual o pago
- Uso de WAF en paquetes de Google Cloud Armor, incluidas las reglas, las políticas y las solicitudes
- Listas de direcciones IP de terceros con nombre
- Inteligencia contra amenazas para Google Cloud Armor
- Protección adaptable para extremos de capa 7
- Protección avanzada contra DSD de red para extremos de transferencia: balanceadores de cargas de red de transferencia externos, reenvío de protocolos y direcciones IP públicas para instancias de máquina virtual (VM)
- (Solo Cloud Armor Enterprise anual): Acceso a los servicios del equipo de respuesta ante DSD y la protección contra facturas de DSD (se aplican condiciones adicionales, consulta Interactúa con la asistencia para respuestas DDoS)
- Acceso a la visibilidad de los ataques de DDoS
Todos los proyectos de Google Cloud que incluyen un balanceador de cargas de aplicaciones externo o un balanceador de cargas de red del proxy externo se inscriben de forma automática en el nivel estándar de Google Cloud Armor. Después de suscribirte a Cloud Armor Enterprise a nivel de la cuenta de facturación, los usuarios pueden elegir inscribir proyectos individuales vinculados a la cuenta de facturación en Cloud Armor Enterprise.
En la siguiente tabla, se resumen los dos niveles de servicio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Anual | ||
| Método de facturación | Pay-as-you-go | Pay-as-you-go | Suscripción con compromiso de 12 meses |
| Precios | Por política, por regla y por solicitud (consulta Precios) |
|
|
| Protección contra ataques de DSD |
|
|
|
| Protección avanzada contra DSD de red | No | Sí | |
| Políticas de seguridad perimetral de red | No | Sí | |
| WAF de Google Cloud Armor | Por política, por regla y por solicitud (consulta Precios) | Incluido con Paygo | Incluido con el plan anual |
| Límites de recursos | Hasta el límite de cuota | Hasta el límite de cuota | Hasta el límite de cuota |
| Compromiso de tiempo | N/A | N/A | Un año |
| Listas de direcciones IP con nombre | |||
| Threat Intelligence | |||
| Protección adaptable | Solo alertas | ||
| Visibilidad de ataques DSD | N/A | ||
| Compatibilidad con respuestas ante DSD | N/A | (con Asistencia premium) | |
| Protección contra facturas DSD | N/A | ||
Suscríbete a Cloud Armor Enterprise
Para usar las funciones y los servicios adicionales de Cloud Armor Enterprise, primero debes inscribirte en Cloud Armor Enterprise. Puedes suscribirte a Cloud Armor Enterprise anual y, luego, inscribir proyectos individuales, o puedes inscribir un proyecto directamente en Cloud Armor Enterprise Paygo.
Te recomendamos que inscribas tus proyectos en Cloud Armor Enterprise lo antes posible, ya que la activación puede tardar hasta 24 horas.
Balanceador de cargas de aplicaciones externo y balanceador de cargas de red del proxy externo
Después de inscribir un proyecto en Cloud Armor Enterprise, las reglas de reenvío dentro del proyecto se agregan a la inscripción. Además, todos los servicios de backend y los buckets de backend se cuentan como recursos protegidos y se miden para el costo de recursos protegidos de Cloud Armor Enterprise. Los servicios de backend y los buckets de backend de Cloud Armor Enterprise Annual se agregan en todos los proyectos inscritos en una cuenta de facturación, mientras que los servicios de backend y los buckets de backend en Cloud Armor Enterprise Paygo se agregan dentro del proyecto.
Balanceador de cargas de red de transferencia externo, reenvío de protocolos y direcciones IP (VMs) públicas
Google Cloud Armor ofrece las siguientes opciones para proteger estos extremos de los ataques DSD:
- Protección contra DSD de red estándar: Protección siempre activa básica para balanceadores de cargas de red de transferencia externos, reenvío de protocolos o VM con direcciones IP públicas. Esto incluye la aplicación de reglas de reenvío y el límite de frecuencia automático. Esto está cubierto por el nivel estándar de Google Cloud Armor y no requiere ninguna suscripción adicional.
- Protección avanzada contra DSD de red: Protecciones adicionales para los suscriptores de Cloud Armor Enterprise La protección avanzada contra DSD de red se configura por región. Cuando se habilita en una región en particular, Google Cloud Armor proporciona detección de ataques volumétricos siempre activa y mitigación orientada para balanceadores de cargas de red de transferencia externos, reenvío de protocolos y VM con direcciones IP públicas en esa región.
Compatibilidad con respuestas ante DSD
La asistencia para respuestas de denegación de servicio distribuido (DSD) de Google Cloud Armor Enterprise requiere que tu proyecto esté inscrito en el plan anual de Cloud Armor Enterprise. La asistencia de respuesta proporciona ayuda las 24 horas, todos los días, y posibles mitigaciones personalizadas de los ataques DSD del mismo equipo que protege todos los servicios de Google. Puedes obtener asistencia de respuesta durante un ataque para mitigarlo o puedes comunicarte de forma proactiva con el fin de planificar un evento de gran volumen o potencialmente viral (que pueda atraer a una cantidad inusualmente alta de visitantes).
Aprovechar la asistencia para las respuestas DDoS
Los siguientes criterios te permiten abrir un caso y recibir ayuda del equipo de asistencia al cliente de respuesta ante DSD de Google Cloud Armor:
- Tu cuenta de facturación tiene una suscripción anual activa a Cloud Armor Enterprise.
- Tu cuenta de facturación tiene una cuenta Premium para la Atención al cliente de Cloud.
- El proyecto de Google Cloud con la carga de trabajo que está siendo atacado está inscrito en el plan anual de Cloud Armor Enterprise.
- Si usas referencias de servicios entre proyectos, los proyectos de servicio de frontend y backend deben estar inscritos en el plan anual de Cloud Armor Enterprise.
Para obtener asistencia con las respuestas DSD, consulta Abrir un caso de asistencia de respuesta DDoS.
Protección contra facturas DSD
La protección contra facturas DDoS de Google Cloud Armor requiere que tu proyecto esté inscrito en el plan anual de Cloud Armor Enterprise. Proporciona créditos para el uso futuro de Google Cloud para algunos aumentos en las facturas de Cloud Load Balancing, Google Cloud Armor y la transferencia de datos saliente de Internet de redes, entre regiones y entre zonas como resultado de un ataque DSD verificado. Si se reconoce un reclamo y se proporciona un crédito, no se puede usar el crédito para compensar el uso existente. El crédito solo puede aplicarse al uso futuro. En la siguiente tabla, se muestra qué recursos cubre la protección contra facturas DSD:
| Endpoint Type | Aumento de uso cubierto | |
|---|---|---|
|
Google Cloud Armor | Tarifa por procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Entre regiones | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa por procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos saliente | ||
|
Google Cloud Armor | Tarifa por procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Entre regiones | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa por procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos saliente |
Para usar la protección contra facturas DSD, consulta Genera protección contra facturas DSD.
Cambia de Cloud Armor Enterprise a una versión inferior
Cuando quitas un proyecto de Cloud Armor Enterprise, se inmovilizan todas las políticas de seguridad que usan reglas con funciones exclusivas de Cloud Armor Enterprise (reglas avanzadas). Las políticas de seguridad inmovilizadas tienen las siguientes propiedades:
- Google Cloud Armor continúa evaluando el tráfico en función de las reglas de la política, incluidas las reglas avanzadas.
- No puedes adjuntar la política de seguridad a destinos nuevos.
- Solo puedes realizar las siguientes operaciones en la política de seguridad:
- Puedes borrar las reglas de políticas de seguridad.
- Si no cambias la prioridad de la regla, puedes actualizar las reglas avanzadas para que ya no usen las funciones exclusivas de Cloud Armor Enterprise. Si modificas todas las reglas avanzadas de esta manera, la política ya no se bloqueará. Para obtener más información sobre la actualización de las reglas de políticas de seguridad, consulta Actualiza una sola regla en una política de seguridad.
También puedes volver a inscribirte en el plan anual de Cloud Armor Enterprise o en el programa de pago de Cloud Armor Enterprise para restablecer el acceso a tus políticas de seguridad sin cambios.
Protección avanzada contra DSD de red
La protección avanzada contra DSD de red solo está disponible para proyectos inscritos en Cloud Armor Enterprise. Cuando quitas un proyecto con una política de DSD de red avanzada activa de Cloud Armor Enterprise, se te sigue facturando por la función según los precios de Cloud Armor Enterprise.
Te recomendamos que borres las reglas avanzadas de protección contra DSD de red antes de dar de baja tu proyecto en Cloud Armor Enterprise. Sin embargo, también puedes borrar las reglas avanzadas de protección contra DSD de red después de cambiar a una versión inferior.
Condiciones y limitaciones
Cloud Armor Enterprise tiene los siguientes términos y limitaciones:
- Generalidades: Si un proyecto inscrito en Cloud Armor Enterprise experimenta un ataque de denegación del servicio de terceros en un extremo protegido ("Ataque calificado") y se cumplen las condiciones descritas en la siguiente sección, Google proporciona un crédito equivalente a las tarifas cubiertas, siempre que las Tarifas cubiertas superen el umbral mínimo. Las pruebas de carga y las evaluaciones de seguridad realizadas por el Cliente o en su nombre no se consideran ataques calificados.
- Condiciones: El cliente debe enviar una solicitud al equipo de Asistencia de Facturación de Cloud en un plazo de 30 días desde la finalización del ataque calificado. La solicitud debe incluir evidencia del ataque calificado, como registros o algún otro tipo de telemetría que indique el momento del ataque y los proyectos y recursos que fueron atacados, y una estimación de las tarifas cubiertas que se generaron. Google determinará razonablemente si los créditos están vencidos y el importe apropiado. En la Documentación, se incluyen otras condiciones para funciones específicas de Google Cloud Armor.
- Créditos: Cualquier crédito que se proporcione al Cliente en relación con este Artículo no tiene valor en efectivo y solo puede aplicarse para compensar las Tarifas futuras de los Servicios. Estos créditos vencen 12 meses después de su emisión o cuando el Acuerdo se resuelve o vence.
- Definiciones:
- Tarifas cubiertas: Cualquier Tarifa en la que incurra el Cliente como resultado directo del Ataque Calificado por lo siguiente:
- Procesamiento de datos de entrada y salida para el servicio de Google Cloud Load Balancer.
- Procesamiento de datos de Google Cloud Armor Enterprise para el servicio de Google Cloud Armor.
- Salida de red, incluida la salida entre regiones, entre zonas, de Internet y de intercambio de tráfico por proveedores
- Umbral Mínimo: Es el importe mínimo de Tarifas Cubiertas que son aptas para acreditarse en virtud de este Artículo, según lo determine Google ocasionalmente y que se divulgue al Cliente si lo solicita.
- Tarifas cubiertas: Cualquier Tarifa en la que incurra el Cliente como resultado directo del Ataque Calificado por lo siguiente:
¿Qué sigue?
- Suscríbete e inscribe proyectos en Cloud Armor Enterprise
- Soluciona problemas
- Usa la referencia del lenguaje de reglas personalizadas