Google Cloud Armor Enterprise es el servicio administrado de protección de aplicaciones que ayuda a proteger las aplicaciones y los servicios web de los ataques de denegación de servicio distribuido (DSD) y otras amenazas de Internet. Cloud Armor Enterprise ayuda a proteger las aplicaciones implementadas en Google Cloud, de forma local o en otros proveedores de infraestructura.
Comparación entre Google Cloud Armor Standard y Cloud Armor Enterprise
Google Cloud Armor se ofrece en dos niveles de servicio, Estándar y Cloud Armor Enterprise:
Google Cloud Armor Standard incluye lo siguiente:
- Un modelo de precios de pago por uso
- Protección siempre activa contra ataques DSD volumétricos y basados en protocolos en toda tu infraestructura con balanceo de cargas global y regional
- Acceso a las capacidades de las reglas de firewall de aplicación web (WAF) de Google Cloud Armor, incluidas las reglas de WAF preconfiguradas para la protección de OWASP Top 10
Cloud Armor Enterprise incluye lo siguiente:
- Todas las funciones de Google Cloud Armor Standard
- Elección de modelos de precios: Cloud Armor Enterprise anual o de pago
- Uso de WAF en paquete de Google Cloud Armor, lo que incluye reglas, políticas y solicitudes
- Listas de direcciones IP con nombre de terceros
- Inteligencia contra amenazas para Google Cloud Armor
- Protección adaptable para extremos de capa 7
- Protección avanzada contra DSD de red para extremos de transferencia: balanceadores de cargas de red de transferencia externos, direcciones IP públicas y reenvío de protocolos para instancias de máquina virtual (VM)
- (Cloud Armor Enterprise anual solamente): acceso a los servicios del equipo de respuesta ante DSD y de protección de facturas contra DSD (se aplican condiciones adicionales; consulta Obtén asistencia para la respuesta DDoS)
- Acceso a la visibilidad de los ataques de DDoS
Todos los proyectos de Google Cloud que incluyen un balanceador de cargas de aplicaciones externo o un balanceador de cargas de red de proxy externo se inscriben automáticamente en Google Cloud Armor Standard. Después de suscribirse a Cloud Armor Enterprise a nivel de la cuenta de facturación, los usuarios pueden optar por inscribir proyectos individuales conectados a la cuenta de facturación en Cloud Armor Enterprise.
En la siguiente tabla, se resumen los dos niveles de servicio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Pago | Anual | ||
| Método de facturación | Pay-as-you-go | Pay-as-you-go | Suscripción con compromiso de 12 meses |
| Precios | Por política, por regla y por solicitud (consulta Precios) |
|
|
| Protección contra ataques de DSD |
|
|
|
| Protección avanzada contra DSD de red | No | Sí | Sí |
| Políticas de seguridad perimetral de red | No | Sí | Sí |
| WAF de Google Cloud Armor | Por política, por regla y por solicitud (consulta Precios) | Incluido con Paygo | Incluido con el plan anual |
| Límites de recursos | Hasta el límite de cuota | Hasta el límite de cuota | Hasta el límite de cuota |
| Compromiso de tiempo | N/A | N/A | Un año |
| Listas de direcciones IP con nombre | |||
| Grupo de direcciones | |||
| Threat Intelligence | |||
| Protección adaptable | Solo alertas | ||
| Visibilidad del ataque DSD | N/A | ||
| Compatibilidad con respuestas ante DSD | N/A | (con Asistencia premium) | |
| Protección contra facturas DSD | N/A | ||
Suscríbete a Cloud Armor Enterprise
Para usar los servicios y las capacidades adicionales en Cloud Armor Enterprise, primero debes inscribirte en Cloud Armor Enterprise. Puedes suscribirte a Cloud Armor Enterprise anual y también inscribir proyectos individuales, o puedes inscribir un proyecto directamente en Cloud Armor Enterprise con pago por uso.
Te recomendamos que inscribas tus proyectos en Cloud Armor Enterprise lo antes posible, ya que la activación puede tardar hasta 24 horas.
Balanceador de cargas de aplicaciones externo y balanceador de cargas de red del proxy externo
Después de inscribir un proyecto en Cloud Armor Enterprise, las reglas de reenvío dentro del proyecto se agregan a la inscripción. Además, todos los servicios y buckets de backend se cuentan como recursos protegidos y se miden para el costo de los recursos protegidos de Cloud Armor Enterprise. Los servicios y los buckets de backend en Cloud Armor Enterprise anual se agregan en todos los proyectos inscritos en una cuenta de facturación, mientras que los servicios y buckets de backend en Cloud Armor Enterprise con pago por uso se agregan dentro del proyecto.
Balanceador de cargas de red de transferencia externo, reenvío de protocolos y direcciones IP públicas (VMs)
Google Cloud Armor ofrece las siguientes opciones para proteger estos extremos contra ataques DSD:
- Protección contra DSD de red estándar: protección básica siempre activa para balanceadores de cargas de red de transferencia externos, reenvío de protocolos o VM con direcciones IP públicas. Esto incluye la aplicación de reglas de reenvío y el límite de frecuencia automático. Esto está cubierto por Google Cloud Armor Standard y no requiere ninguna suscripción adicional.
- Protección avanzada contra DSD de red: protecciones adicionales para suscriptores de Cloud Armor Enterprise. La protección avanzada contra DSD de red se configura por región. Cuando se habilita para una región en particular, Google Cloud Armor proporciona detección de ataques volumétricos siempre activa y mitigación orientada para balanceadores de cargas de red de transferencia externos, reenvío de protocolos y VM con direcciones IP públicas en esa región.
Compatibilidad con respuestas ante DSD
La asistencia de respuesta de denegación de servicio distribuido (DSD) de Google Cloud Armor Enterprise requiere que tu proyecto esté inscrito en Cloud Armor Enterprise anual. La asistencia de respuesta proporciona ayuda las 24 horas, todos los días, y posibles mitigaciones personalizadas de ataques DSD del mismo equipo que protege todos los servicios de Google. Puedes solicitar asistencia de respuesta durante un ataque para mitigarlo, o puedes comunicarte de manera proactiva con el objetivo de planificar un próximo gran volumen o un evento potencialmente viral (que podría atraer a una cantidad inusualmente alta de visitantes).
Obtener asistencia para la respuesta ante DDoS
Los siguientes criterios te permiten abrir un caso y recibir ayuda del equipo de asistencia de respuesta ante DDoS de Google Cloud Armor:
- Tu cuenta de facturación tiene una suscripción activa anual a Cloud Armor Enterprise.
- Tu cuenta de facturación tiene una cuenta Premium para Atención al cliente de Cloud.
- El proyecto de Google Cloud con la carga de trabajo que está siendo atacada se inscribe en Cloud Armor Enterprise anual.
- Si usas referencias a servicios entre proyectos, los proyectos de servicio de frontend y backend deben estar inscritos en Cloud Armor Enterprise anual.
Para obtener asistencia de respuesta DSD, consulta Abrir un caso de asistencia de respuesta DDoS.
Protección contra facturas DSD
La protección de facturas de DDoS de Google Cloud Armor requiere que tu proyecto esté inscrito en Cloud Armor Enterprise anual. Proporciona créditos para el uso futuro de Google Cloud para algunos aumentos en las facturas de Cloud Load Balancing, Google Cloud Armor y la transferencia de datos salientes de Internet, entre regiones y entre zonas como resultado de un ataque DSD verificado. Si se reconoce un reclamo y se proporciona un crédito, no se puede usar el crédito para compensar el uso existente. El crédito solo puede aplicarse al uso futuro. En la siguiente tabla, se muestra qué recursos cubre la protección contra facturas DSD:
| Endpoint Type | Aumento de uso cubierto | |
|---|---|---|
|
Google Cloud Armor | Tarifa por procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Entre regiones | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa por procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos de salida | ||
|
Google Cloud Armor | Tarifa por procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Entre regiones | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa por procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos de salida |
Para usar la protección contra facturas DSD, consulta Genera protección contra facturas DSD.
Cambia a una versión inferior de Cloud Armor Enterprise
Cuando quitas un proyecto de Cloud Armor Enterprise, se inmovilizan las políticas de seguridad que usan reglas con funciones exclusivas de Cloud Armor Enterprise (reglas avanzadas). Las políticas de seguridad inmovilizadas tienen las siguientes propiedades:
- Google Cloud Armor continúa evaluando el tráfico en función de las reglas de la política, incluidas las reglas avanzadas.
- No puedes adjuntar la política de seguridad a destinos nuevos.
- Solo puedes realizar las siguientes operaciones en la política de seguridad:
- Puedes borrar las reglas de la política de seguridad.
- Si no cambias la prioridad de la regla, puedes actualizar las reglas avanzadas para que ya no usen las funciones exclusivas de Cloud Armor Enterprise. Si modificas todas las reglas avanzadas de esta manera, tu política ya no se inmovilizará. Para obtener más información sobre la actualización de reglas de políticas de seguridad, consulta Actualiza una sola regla en una política de seguridad.
También puedes volver a inscribirte en Cloud Armor Enterprise anual o Cloud Armor Enterprise con pago por uso para restablecer el acceso a tus políticas de seguridad congeladas.
Protección avanzada contra DSD de red
La protección avanzada contra DSD de red solo está disponible para proyectos inscritos en Cloud Armor Enterprise. Cuando quitas un proyecto con una política de DSD de red avanzada activa de Cloud Armor Enterprise, se te sigue facturando por la función según los precios de Cloud Armor Enterprise.
Te recomendamos que borres todas las reglas avanzadas de protección contra DSD de red antes de dar de baja el proyecto de Cloud Armor Enterprise. Sin embargo, también puedes borrar las reglas avanzadas de protección contra DDoS de red después de cambiar a una versión inferior.
Condiciones y limitaciones
Cloud Armor Enterprise tiene las siguientes condiciones y limitaciones:
- De forma general: Si un proyecto inscrito en Cloud Armor Enterprise experimenta un ataque de denegación del servicio de terceros en un extremo protegido ("Ataque Calificado") y se cumplen las condiciones descritas en la siguiente sección, Google proporciona un crédito equivalente a las Tarifas Cubiertas, siempre que las Tarifas Cubiertas superen el Umbral Mínimo. Las pruebas de carga y las evaluaciones de seguridad realizadas por el Cliente o en su nombre no son Ataques Calificados.
- Condiciones: El Cliente debe enviar una solicitud a la Asistencia de Facturación de Cloud dentro de los 30 días posteriores al final del Ataque Calificado. La solicitud debe incluir evidencia del ataque calificado, como registros u otra telemetría que indiquen el momento del ataque y los Proyectos y recursos que fueron atacados, y una estimación de las Tarifas cubiertas incurridas. Google determinará de manera razonable si los créditos vencen y el importe adecuado. En la documentación, se incluyen otras condiciones para funciones particulares de Google Cloud Armor.
- Créditos: Los créditos proporcionados al Cliente en relación con este Artículo no tienen valor en efectivo y solo pueden aplicarse para compensar las Tarifas futuras de los Servicios. Estos créditos vencen 12 meses después de su emisión o al momento de la rescisión o el vencimiento del Acuerdo.
- Definiciones:
- Tarifas cubiertas: cualquier Tarifa en la que incurra el Cliente como resultado directo del Ataque Calificado por lo siguiente:
- Procesamiento de datos de entrada y salida para el servicio de balanceador de cargas de Google Cloud.
- Procesamiento de datos de Google Cloud Armor Enterprise para el servicio de Google Cloud Armor.
- Salida de red, incluida la salida de red entre regiones, entre zonas, de Internet y de intercambio de tráfico por proveedores
- Umbral Mínimo: Es el importe mínimo de Tarifas cubiertas que es apto para recibir crédito en virtud de este Artículo, según lo determine Google ocasionalmente y se divulgue al Cliente si lo solicita.
- Tarifas cubiertas: cualquier Tarifa en la que incurra el Cliente como resultado directo del Ataque Calificado por lo siguiente:
¿Qué sigue?
- Suscríbete y, luego, inscribe proyectos en Cloud Armor Enterprise
- Soluciona problemas
- Usa la referencia del lenguaje de reglas personalizadas