Google Cloud Armor Enterprise ist der Anwendungsschutz. zum Schutz Ihrer Webanwendungen und Dienste vor verteilten DoS-Angriffe (Denial of Service) und andere Bedrohungen aus dem Internet. Mit Cloud Armor Enterprise können Anwendungen, die in Google Cloud, lokal oder von anderen Infrastrukturanbietern bereitgestellt werden, geschützt werden.
Google Cloud Armor Standard im Vergleich zu Cloud Armor Enterprise
Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Cloud Armor Enterprise:
Google Cloud Armor Standard umfasst Folgendes:
- Ein „Pay as you go“-Preismodell
- Always-On-Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen in Ihrer global und regional load balanceden Infrastruktur
- Zugriff auf WAF-Regeln (Web Application Firewall) von Google Cloud Armor, einschließlich vorkonfigurierter WAF-Regeln für den Schutz vor den OWASP Top 10
Cloud Armor Enterprise umfasst Folgendes:
- Alle Features von Google Cloud Armor Standard
- Auswahl an Preismodellen: Cloud Armor Enterprise jährlich oder Paygo
- Bündelte Google Cloud Armor-WAF-Nutzung, einschließlich Regeln, Richtlinien und Anfragen
- Benannte IP-Adresslisten von Drittanbietern
- Threat Intelligence für Google Cloud Armor
- Adaptive Protection für Layer-7-Endpunkte
- Erweiterter DDoS-Schutz für Netzwerke für Passthrough Endpunkte: externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen für VM-Instanzen
- (Nur Cloud Armor Enterprise jährlich): Zugriff auf DDoS-Rechnungsschutz und DDoS-Response-Team-Dienste (es gelten zusätzliche Bedingungen, siehe Voraussetzungen für das DDoS-Antwortteam)
- Zugriff auf Sichtbarkeit von DDoS-Angriffen
Alle Google Cloud-Projekte mit einem externen Application Load Balancer oder einem externen Proxy-Network Load Balancer werden automatisch für den Google Cloud Armor-Standard registriert. Nachdem Sie Cloud Armor Enterprise auf Rechnungskonto-Ebene abonniert haben, können Nutzer einzelne Projekte auswählen, die mit dem Rechnungskonto in Cloud Armor Enterprise verknüpft sind.
In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Jährlich | ||
| Abrechnungsmethode | Pay as you go | Pay as you go | Abo mit 12-monatiger Vertragsdauer |
| Preise | Pro Richtlinie, Regel und Anfrage (siehe Preise) |
|
|
| Schutz vor DDoS-Angriffen |
|
|
|
| Erweiterter DDoS-Netzwerkschutz | Nein | Ja | Ja |
| Sicherheitsrichtlinien für Netzwerk-Edge | Nein | Ja | Ja |
| Google Cloud Armor-WAF | Pro Richtlinie, Regel und Anfrage (siehe Preise) | In Paygo enthalten | In „Jahresmitgliedschaft“ enthalten |
| Ressourcenlimits | Bis zum Kontingentlimit | Bis zum Kontingentlimit | Bis zum Kontingentlimit |
| Zeitaufwand | – | – | Ein Jahr |
| Adressgruppe | |||
| Threat Intelligence | |||
| Adaptive Protection | Nur Benachrichtigungen | ||
| Sichtbarkeit von DDoS-Angriffen | – | ||
| Support für DDoS-Antworten | – | Teilnahmevoraussetzungen | |
| DDoS-Rechnungsschutz | – | ||
Cloud Armor Enterprise abonnieren
Um die zusätzlichen Dienste und Funktionen in Cloud Armor Enterprise zu nutzen, müssen Sie sich zuerst bei Cloud Armor Enterprise registrieren. Du kannst Cloud Armor Enterprise jährlich und registrieren Sie einzelne Projekte oder Sie kann ein Projekt direkt bei Cloud Armor Enterprise Paygo registrieren.
Wir empfehlen Ihnen dringend, Ihre Projekte so bald wie möglich bei Cloud Armor Enterprise zu registrieren, da die Aktivierung bis zu 24 Stunden dauern kann.
Externer Application Load Balancer und externer Proxy-Network Load Balancer
Nachdem ein Projekt für Cloud Armor Enterprise registriert wurde, werden die Weiterleitungsregeln im Projekt der Registrierung hinzugefügt. Darüber hinaus werden alle Backend-Dienste und Backend-Buckets als geschützte Ressourcen gezählt und nach den Kosten für geschützte Ressourcen von Cloud Armor Enterprise abgerechnet. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Annual werden für alle registrierten Projekte in einem Rechnungskonto zusammengefasst. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Paygo werden dagegen innerhalb des Projekts zusammengefasst.
Externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)
Google Cloud Armor bietet die folgenden Optionen, um diese Endpunkte vor DDoS-Angriffen zu schützen:
- DDoS-Standardschutz: Einfacher immer aktivierter Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Erzwingung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Diese Funktion ist im Google Cloud Armor Standard enthalten und erfordert keine zusätzlichen Abos.
- Erweiterter DDoS-Schutz für Netzwerke: zusätzlicher Schutz für Cloud Armor Enterprise-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird pro Region konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet sie immer eine gezielte, Volume-Angriffserkennung und -minderung für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.
Support für DDoS-Antworten
Der DDoS-Antwortsupport bietet rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen von DDoS-Angriffen vom selben Team, das auch alle Google-Dienste schützt. Sie können den Response-Support bei einem Angriff unterstützen, um den Angriff zu entschärfen. Alternativ haben Sie die Möglichkeit, sich auf einen Plan für ein hohes Volumen oder potenziell virales Ereignis vorzubereiten, von dem eine ungewöhnlich hohe Anzahl an Besucher anziehen könnte.
Proaktiver Support ist für alle Google Cloud Armor-Kunden verfügbar, auch wenn sie keine DDoS-Prüfung durchgeführt haben. Durch proaktiven Support können wir vorkonfigurierte Regeln anwenden, die auf gängige DDoS-Angriffstypen abzielen, bevor der Angriff Google Cloud Armor erreicht. Informationen zum Support für DDoS-Antworten finden Sie unter Support bei DDoS-Fällen anfordern
Prüfung des DDoS-Status
Ziel der Überprüfung der DDoS-Abwehr ist es, die Effizienz und Effektivität des DDoS-Antwortprozesses zu verbessern. Bei der Überprüfung erfahren wir mehr über Ihre einzigartigen Anwendungsfall und Architektur und prüfen Sie, ob Ihre Google Cloud Armor Sicherheitsrichtlinien werden gemäß unseren Best Practices. So können Sie Ihre präventive Resilienz gegen DDoS-Angriffe.
Die Prüfung des DDoS-Status wird Kunden zur Verfügung gestellt, die Cloud Armor Enterprise jährlich Premium-Konto für Cloud Customer Care.
Voraussetzungen für die Unterstützung bei DDoS-Antworten
Wenn Sie die folgenden Kriterien erfüllen, können Sie eine Anfrage stellen. Hier erhalten Sie Hilfe vom Google Cloud Armor-DDoS-Supportteam:
- Ihr Rechnungskonto hat ein aktives „Cloud Armor Enterprise jährlich“ Abo.
- Ihr Rechnungskonto hat ein Premium-Konto für den Cloud-Kundensupport.
- Das Google Cloud-Projekt mit der angegriffenen Arbeitslast ist
die für Cloud Armor Enterprise jährlich registriert sind.
- Wenn Sie projektübergreifende Dienstverweise verwenden, müssen sowohl das Frontend- als auch das Backend-Dienstprojekt für Cloud Armor Enterprise Annual registriert sein.
- (Für Kunden, die Cloud Armor Enterprise jährlich abonniert haben nach 3. September 2024): Das Projekt mit der Arbeitslast, die angegriffen wird müssen einer jährlichen DDoS-Statusüberprüfung unterzogen werden.
Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für einen DDoS-Fall erhalten.
DDoS-Rechnungsschutz
Für den Google Cloud Armor-DDoS-Abrechnungsschutz muss Ihr Projekt registriert sein „Cloud Armor Enterprise jährlich“. Er bietet Gutschriften für die künftige Nutzung von Google Cloud für einige Erhöhungen der Rechnungen von Cloud Load Balancing, Google Cloud Armor und Netzwerk-Internet, ausgehenden interregionalen und interzonalen Datenübertragungen als Ergebnis eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:
| Endpunkttyp | Erhöhung der abgedeckten Nutzung | |
|---|---|---|
|
Google Cloud Armor | Cloud Armor Enterprise-Datenverarbeitungsgebühr |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Interzone | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Datenverarbeitung eingehender Daten | |
| Gebühr für die Verarbeitung ausgehender Daten | ||
| Media CDN | Media CDN-Ausgabegebühr (nur externer Application Load Balancer) | |
|
Google Cloud Armor | Cloud Armor Enterprise-Datenverarbeitungsgebühr |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Interzone | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Verarbeitung eingehender Daten | |
| Gebühr für die Verarbeitung ausgehender Daten |
Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.
Projekte zwischen Rechnungskonten migrieren
Wenn Sie ab dem 3. September 2024 Ihr Projekt von einem Rechnungskonto in ein anderes migrieren, während Sie Cloud Armor Enterprise jährlich abonniert haben, Ihr neues Rechnungskonto aber kein Cloud Armor Enterprise jährlich-Abo hat, wird Ihr Projekt nach Abschluss der Migration auf Google Cloud Armor Standard zurückgesetzt. Wenn Sie Ihr Projekt also Cloud Armor Enterprise jährlich ohne Ausfallzeiten, empfehlen wir Ihnen, neues Rechnungskonto für Cloud Armor Enterprise jährlich abonnieren bevor Sie mit dem Migrationsprozess beginnen. Sie können auch Ihr Abo migrieren von einem Rechnungskonto zum anderen, indem Sie sich an Cloud Billing Support.
Bei Cloud Armor Enterprise Paygo registrierte Projekte sind nicht betroffen von Migration des Rechnungskontos.
Downgrade von Cloud Armor Enterprise
Wenn Sie Ein Projekt aus Cloud Armor Enterprise entfernen Alle Sicherheitsrichtlinien, die Regeln mit Cloud Armor Enterprise-exklusiv verwenden Funktionen (erweiterte Regeln) eingefroren. Eingefrorene Sicherheitsrichtlinien haben die folgenden Properties:
- Google Cloud Armor wertet den Traffic weiterhin anhand der Regeln in der Richtlinie aus, einschließlich aller erweiterten Regeln.
- Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
- Sie können nur die folgenden Vorgänge für die Sicherheitsrichtlinie ausführen:
- Sie können Sicherheitsrichtlinienregeln löschen.
- Wenn Sie die Regelpriorität nicht ändern, können Sie erweiterte Regeln so aktualisieren, dass sie keine Cloud Armor Enterprise-exklusiven Funktionen mehr verwenden. Wenn Sie alle erweiterten Regeln auf diese Weise ändern, wird die Richtlinie nicht mehr eingefroren. Weitere Informationen zum Aktualisieren von Sicherheitsrichtlinien finden Sie unter Einzelne Regel in einer Sicherheitsrichtlinie aktualisieren.
Sie können sich auch noch einmal für Cloud Armor Enterprise jährlich registrieren oder Cloud Armor Enterprise Paygo, um den Zugriff auf Ihre eingefrorenen Sicherheitsfunktionen wiederherzustellen Richtlinien.
Erweiterter DDoS-Netzwerkschutz
Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die bei Cloud Armor Enterprise registriert sind. Wenn Sie ein Projekt mit einer aktiven Richtlinie für den erweiterten DDoS-Schutz für Netzwerke aus Cloud Armor Enterprise entfernen, wird Ihnen die Funktion weiterhin gemäß den Cloud Armor Enterprise-Preisen in Rechnung gestellt.
Wir empfehlen, alle erweiterten DDoS-Schutzregeln für Netzwerke vor dem Sie können Ihr Projekt von Cloud Armor Enterprise abmelden, erweiterte DDoS-Schutzregeln für Netzwerke nach dem Downgrade löschen.
Nutzungsbedingungen und Einschränkungen
Für Cloud Armor Enterprise gelten die folgenden Bedingungen und Einschränkungen:
- Allgemein: Wenn bei einem in Cloud Armor Enterprise registrierten Projekt ein Denial-of-Service-Angriff eines Dritten auf einen geschützten Endpunkt („Qualifizierter Angriff“) erfolgt und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, gewährt Google einen Gutschriftbetrag in Höhe der abgedeckten Gebühren, sofern die abgedeckten Gebühren den Mindestgrenzwert überschreiten. Lasttests und Sicherheit Bewertungen, die vom oder im Namen des Kunden durchgeführt werden, sind keine qualifizierten Angriffe.
- Bedingungen: Der Kunde muss innerhalb des folgenden Zeitraums eine Anfrage an den Cloud Billing-Support senden: 30 Tage nach Ende des qualifizierten Angriffs. Die Anfrage muss Nachweise für den qualifizierten Angriff enthalten, z. B. Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs sowie die betroffenen Projekte und Ressourcen sowie eine Schätzung der angefallenen Gebühren angeben. Google wird in angemessener Weise feststellen, ob Gutschriften fällig sind und wie hoch der Betrag ist. Weitere Bedingungen für Google Cloud Armor-Features sind in der Dokumentation enthalten.
- Guthaben: Guthaben, das dem Kunden im Zusammenhang mit diesem Abschnitt zur Verfügung gestellt wird haben keinen Barwert und können nur zur Verrechnung zukünftiger Gebühren für Dienste. Diese Gutschriften verfallen 12 Monate nach ihrer Ausstellung oder bei Kündigung oder Ablauf der Vereinbarung.
- Definitionen:
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden direkt infolge der
Qualifizierter Angriff für:
- Eingehende und ausgehende Datenverarbeitung für Google Cloud Load Balancer-Dienst.
- Google Cloud Armor Enterprise-Datenverarbeitung für Google Cloud Armor Dienst.
- Ausgehender Netzwerktraffic einschließlich interregionaler, interzonaler, Internet- und Carrier-Peering-Traffic.
- Minimum Threshold: Der Mindestbetrag für abgedeckte Gebühren, die gemäß diesem Abschnitt gutgeschrieben werden können, wie von Google vom und werden dem Kunden auf Anfrage mitgeteilt.
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden direkt infolge der
Qualifizierter Angriff für:
Nächste Schritte
- Cloud Armor Enterprise abonnieren und Projekte registrieren
- Fehlerbehebung
- Referenz der Sprache für benutzerdefinierte Regeln verwenden