Google Cloud Armor Enterprise adalah layanan perlindungan aplikasi terkelola yang membantu melindungi layanan dan aplikasi web Anda dari serangan distributed denial of service (DDoS) dan ancaman lain dari internet. Cloud Armor Enterprise membantu melindungi aplikasi yang di-deploy di Google Cloud, infrastruktur lokal, atau di penyedia infrastruktur lainnya.
Google Cloud Armor Standard versus Cloud Armor Enterprise
Google Cloud Armor ditawarkan dalam dua tingkat layanan, Standard dan Cloud Armor Enterprise:
Google Cloud Armor Standard mencakup hal berikut:
- Model harga bayar sesuai penggunaan
- Perlindungan yang selalu aktif dari serangan DDoS berbasis protokol dan volumetrik di seluruh infrastruktur load-balanced secara global dan regional
- Akses ke kemampuan aturan firewall aplikasi web (WAF) Google Cloud Armor, termasuk aturan WAF yang telah dikonfigurasi sebelumnya untuk perlindungan OWASP Top 10
Cloud Armor Enterprise mencakup hal berikut:
- Semua fitur Google Cloud Armor Standard
- Pilihan model harga: Cloud Armor Enterprise Annual atau Paygo
- Penggunaan WAF Google Cloud Armor gabungan, termasuk aturan, kebijakan, dan permintaan
- Daftar alamat IP bernama pihak ketiga
- Threat Intelligence untuk Google Cloud Armor
- Perlindungan Adaptif untuk endpoint Lapisan 7
- Perlindungan DDoS jaringan tingkat lanjut untuk endpoint passthrough—Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan alamat IP publik untuk instance virtual machine (VM)
- (Khusus Cloud Armor Enterprise Tahunan): Akses ke layanan perlindungan tagihan DDoS dan tim respons DDoS (ketentuan tambahan berlaku, lihat Dukungan respons DDoS)
- Akses ke visibilitas serangan DDoS
Semua project Google Cloud yang menyertakan Load Balancer Aplikasi eksternal atau Load Balancer Jaringan proxy eksternal akan otomatis terdaftar di Google Cloud Armor Standard. Setelah berlangganan Cloud Armor Enterprise di level akun penagihan, pengguna dapat memilih untuk mendaftarkan masing-masing project yang dikaitkan ke akun penagihan di Cloud Armor Enterprise.
Tabel berikut meringkas kedua tingkat layanan tersebut.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Gaji | Tahunan | ||
| Metode penagihan | Pay-as-you-go | Pay-as-you-go | Langganan dengan komitmen 12 bulan |
| Harga | Per kebijakan, per aturan, per permintaan (lihat Harga) |
|
|
| Perlindungan dari serangan DDoS |
|
|
|
| Perlindungan DDoS jaringan tingkat lanjut | Tidak | Ya | |
| Kebijakan keamanan edge jaringan | Tidak | Ya | |
| WAF Google Cloud Armor | Per kebijakan, per aturan, per permintaan (lihat Harga) | Disertakan dengan Paygo | Disertakan dengan Paket Tahunan |
| Batas resource | Hingga batas kuota | Hingga batas kuota | Hingga batas kuota |
| Komitmen waktu | T/A | T/A | Satu tahun |
| Daftar alamat IP yang diberi nama | |||
| Kecerdasan Ancaman | |||
| Perlindungan Adaptif | Hanya pemberitahuan | ||
| Visibilitas serangan DDoS | T/A | ||
| Dukungan respons DDoS | T/A | (dengan Dukungan Premium) | |
| Perlindungan tagihan DDoS | T/A | ||
Berlangganan Cloud Armor Enterprise
Untuk menggunakan layanan dan kemampuan tambahan di Cloud Armor Enterprise, Anda harus mendaftar ke Cloud Armor Enterprise terlebih dahulu. Anda dapat berlangganan Cloud Armor Enterprise Annual dan mendaftarkan project satu per satu, atau Anda dapat mendaftarkan project langsung di Cloud Armor Enterprise Paygo.
Sebaiknya daftarkan project Anda di Cloud Armor Enterprise sesegera mungkin karena aktivasi dapat memerlukan waktu hingga 24 jam.
Load Balancer Aplikasi Eksternal dan Load Balancer Jaringan proxy eksternal
Setelah project didaftarkan di Cloud Armor Enterprise, aturan penerusan dalam project akan ditambahkan ke pendaftaran. Selain itu, semua layanan backend dan bucket backend dihitung sebagai resource yang dilindungi dan diukur untuk biaya resource yang dilindungi Cloud Armor Enterprise. Layanan backend dan bucket backend di Cloud Armor Enterprise Annual digabungkan di semua project yang terdaftar di akun penagihan, sedangkan layanan backend dan bucket backend di Cloud Armor Enterprise Paygo digabungkan di dalam project tersebut.
Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan alamat IP (VM) publik
Google Cloud Armor menawarkan opsi berikut untuk melindungi endpoint ini dari serangan DDoS:
- Perlindungan DDoS jaringan standar: perlindungan selalu aktif dasar untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik. Hal ini mencakup penerapan aturan penerusan dan pembatasan kapasitas otomatis. Hal ini tercakup dalam Google Cloud Armor Standard dan tidak memerlukan langganan tambahan.
- Perlindungan DDoS jaringan lanjutan: perlindungan tambahan untuk pelanggan Cloud Armor Enterprise. Perlindungan DDoS jaringan tingkat lanjut dikonfigurasi per region. Saat diaktifkan untuk region tertentu, Google Cloud Armor akan menyediakan deteksi serangan volumetrik yang selalu aktif dan mitigasi yang ditargetkan untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan VM dengan alamat IP publik di region tersebut.
Dukungan respons DDoS
Dukungan respons respons Distribute-of-Service (DDoS) Google Cloud Armor Enterprise mengharuskan project Anda untuk terdaftar di Cloud Armor Enterprise Annual. Dukungan respons memberikan bantuan 24/7 dan potensi mitigasi kustom dari serangan DDoS dari tim yang sama yang melindungi semua layanan Google. Anda dapat melibatkan dukungan respons selama serangan untuk membantu memitigasi serangan, atau Anda dapat menghubungi secara proaktif untuk merencanakan volume tinggi yang akan datang atau peristiwa yang berpotensi viral (yang dapat menarik jumlah pengunjung yang sangat tinggi).
Berinteraksi dengan dukungan respons DDoS
Kriteria berikut membuat Anda memenuhi syarat untuk membuka kasus dan menerima bantuan dari tim dukungan respons DDoS Google Cloud Armor:
- Akun penagihan Anda memiliki langganan Tahunan Cloud Armor Enterprise yang aktif.
- Akun penagihan Anda memiliki akun Premium untuk Cloud Customer Care.
- Project Google Cloud dengan workload yang diserang
terdaftar di Cloud Armor Enterprise Annual.
- Jika Anda menggunakan referensi layanan lintas-project, project layanan frontend dan backend harus didaftarkan di Cloud Armor Enterprise Tahunan.
Untuk menggunakan dukungan respons DDoS, lihat Membuka kasus dukungan respons DDoS.
Perlindungan tagihan DDoS
Perlindungan tagihan DDoS Google Cloud Armor mengharuskan project Anda terdaftar di Cloud Armor Enterprise Annual. Google Cloud memberikan kredit untuk penggunaan Google Cloud pada masa mendatang untuk beberapa peningkatan tagihan dari Cloud Load Balancing, Google Cloud Armor, serta transfer data keluar internet, antar-region, dan antar-zona sebagai akibat dari serangan DDoS terverifikasi. Jika klaim diakui dan kredit diberikan, kredit tersebut tidak dapat digunakan untuk mengompensasi penggunaan yang ada; kredit hanya dapat berlaku untuk penggunaan di masa mendatang. Tabel berikut menunjukkan resource apa saja yang dicakup oleh perlindungan tagihan DDoS:
| Jenis Endpoint | Peningkatan Penggunaan yang Tercakup | |
|---|---|---|
|
Google Cloud Armor | Biaya pemrosesan data Cloud Armor Enterprise |
| Jaringan | Transfer data keluar | |
| Antar-wilayah | ||
| Antar-zona | ||
| Peering operator | ||
| Load balancer | Biaya pemrosesan data masuk | |
| Biaya pemrosesan data keluar | ||
|
Google Cloud Armor | Biaya pemrosesan data Cloud Armor Enterprise |
| Jaringan | Transfer data keluar | |
| Antar-wilayah | ||
| Antar-zona | ||
| Peering operator | ||
| Load balancer | Biaya pemrosesan data masuk | |
| Biaya pemrosesan data keluar |
Untuk menerapkan perlindungan tagihan DDoS, lihat Meningkatkan perlindungan tagihan DDoS.
Mendowngrade dari Cloud Armor Enterprise
Saat Anda menghapus project dari Cloud Armor Enterprise, kebijakan keamanan apa pun yang menggunakan aturan dengan fitur eksklusif Cloud Armor Enterprise (aturan lanjutan) akan dibekukan. Kebijakan keamanan frozen memiliki properti berikut:
- Google Cloud Armor akan terus mengevaluasi traffic berdasarkan aturan dalam kebijakan, termasuk aturan lanjutan.
- Anda tidak dapat melampirkan kebijakan keamanan ke target baru.
- Anda hanya dapat menjalankan operasi berikut pada kebijakan keamanan:
- Anda dapat menghapus aturan kebijakan keamanan.
- Jika tidak mengubah prioritas aturan, Anda dapat memperbarui aturan lanjutan agar tidak lagi menggunakan fitur eksklusif Cloud Armor Enterprise. Jika Anda mengubah semua aturan lanjutan dengan cara ini, kebijakan Anda tidak akan dibekukan lagi. Untuk mengetahui informasi selengkapnya tentang memperbarui aturan kebijakan keamanan, baca artikel Memperbarui satu aturan dalam kebijakan keamanan.
Anda juga dapat mendaftar ulang ke Cloud Armor Enterprise Annual atau Cloud Armor Enterprise Paygo untuk memulihkan akses ke kebijakan keamanan yang dibekukan.
Perlindungan DDoS jaringan tingkat lanjut
Perlindungan DDoS jaringan lanjutan hanya tersedia untuk project yang terdaftar di Cloud Armor Enterprise. Saat menghapus project dengan kebijakan DDoS jaringan lanjutan yang aktif dari Cloud Armor Enterprise, Anda tetap akan ditagih untuk fitur tersebut berdasarkan harga Cloud Armor Enterprise.
Sebaiknya hapus aturan perlindungan DDoS jaringan lanjutan sebelum membatalkan pendaftaran project dari Cloud Armor Enterprise. Namun, Anda juga dapat menghapus aturan perlindungan DDoS jaringan lanjutan setelah melakukan downgrade.
Persyaratan dan batasan
Cloud Armor Enterprise memiliki persyaratan dan batasan berikut:
- Secara Umum: Jika Project yang terdaftar di Cloud Armor Enterprise mengalami serangan denial of service pihak ketiga pada endpoint yang dilindungi ("Serangan Berkualifikasi") dan ketentuan yang dijelaskan di bagian berikutnya terpenuhi, Google akan memberikan kredit yang setara dengan Biaya yang Tercakup, dengan ketentuan bahwa Biaya yang Tercakup yang ditimbulkan melebihi Nilai Minimum. Pengujian beban dan penilaian keamanan yang dilakukan oleh atau atas nama Pelanggan bukanlah Serangan yang Memenuhi Syarat.
- Kondisi: Pelanggan harus mengajukan permintaan ke Dukungan Penagihan Cloud dalam waktu 30 hari setelah akhir Serangan yang Memenuhi Syarat. Permintaan harus menyertakan bukti Serangan yang Memenuhi Syarat, seperti log atau telemetri lainnya yang menunjukkan waktu serangan, Project dan resource yang diserang, serta perkiraan Biaya yang Tercakup yang timbul. Google akan menentukan secara wajar apakah kredit telah jatuh tempo dan jumlah yang sesuai. Ketentuan lain untuk fitur Google Cloud Armor tertentu tercantum dalam Dokumentasi.
- Kredit: Kredit yang diberikan kepada Pelanggan sehubungan dengan Bagian ini tidak memiliki nilai tunai dan hanya dapat diterapkan untuk mengimbangi Biaya mendatang untuk Layanan. Kredit ini berakhir masa berlakunya 12 bulan setelah diberikan atau setelah penghentian atau habis masa berlakunya Perjanjian.
- Definisi:
- Biaya yang Ditanggung: Biaya apa pun yang dikenakan oleh Pelanggan sebagai akibat langsung dari Serangan yang Memenuhi Syarat untuk hal berikut:
- Pemrosesan data masuk dan keluar untuk Google Cloud Load Balancer Service.
- Pemrosesan data Google Cloud Armor Enterprise untuk Layanan Google Cloud Armor.
- Traffic keluar jaringan, termasuk traffic keluar antar-region, antar-zona, internet, dan Peering Operator.
- Nilai Minimum: Jumlah minimum Biaya yang Tercakup yang memenuhi syarat untuk dikreditkan berdasarkan Pasal ini sebagaimana ditentukan oleh Google dari waktu ke waktu dan diungkapkan kepada Pelanggan berdasarkan permintaan.
- Biaya yang Ditanggung: Biaya apa pun yang dikenakan oleh Pelanggan sebagai akibat langsung dari Serangan yang Memenuhi Syarat untuk hal berikut:
Langkah selanjutnya
- Berlangganan dan daftarkan project di Cloud Armor Enterprise
- Memecahkan masalah
- Menggunakan referensi bahasa aturan kustom