Cloud Armor Enterprise の概要

Google Cloud Armor Enterprise は、分散型サービス拒否（DDoS）攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するアプリケーション保護サービスです。Cloud Armor Enterprise は、Google Cloud、オンプレミス、またはその他のインフラストラクチャ プロバイダにデプロイされたアプリケーションを保護することを支援します。

Google Cloud Armor Standard と Cloud Armor Enterprise

Google Cloud Armor には、Standard と Cloud Armor Enterprise の 2 つのサービスティアがあります。

• Google Cloud Armor Standard には、以下が含まれています。

  • 従量制課金モデル
  • グローバルかつリージョン単位で負荷分散されたインフラストラクチャ全体での、ボリューム型およびプロトコル ベースの DDoS 攻撃からの常時阻止
  • Google Cloud Armor ウェブ アプリケーション ファイアウォール（WAF）ルール機能（OWASP トップ 10 保護の事前構成済み WAF ルールを含む）へのアクセス

• Cloud Armor Enterprise には、以下が含まれています。

  • Google Cloud Armor Standard のすべての機能
  • 料金モデルの選択: Cloud Armor Enterprise（年間）または Paygo
  • ルール、ポリシー、リクエストなどのバンドルされた Google Cloud Armor WAF 使用状況
  • サードパーティの名前付き IP アドレスリスト
  • Google Cloud Armor の脅威インテリジェンス
  • 適応型保護（レイヤ 7 エンドポイント）
  • パススルー エンドポイント用の高度なネットワーク DDoS 対策（外部パススルー ネットワーク ロードバランサ、プロトコル転送、仮想マシン（VM）インスタンスのパブリック IP アドレス）
  • （Cloud Armor Enterprise Annual のみ）: DDoS 請求保護と DDoS 対応チームのサービスへのアクセス（追加の条件が適用されます。DDoS 対応チームの利用資格をご覧ください）
  • DDoS 攻撃の可視性へのアクセス

外部アプリケーション ロードバランサや外部プロキシ ネットワーク ロードバランサを含むすべての Google Cloud プロジェクトは、Google Cloud Armor Standard に自動的に登録されます。請求先アカウント レベルで Cloud Armor Enterprise に登録すると、請求先アカウントに関連付けられた個々のプロジェクトを Cloud Armor Enterprise に登録できるようになります。

次の表は、2 種類のティアの概要をまとめたものです。

	Google Cloud Armor Standard	Cloud Armor Enterprise
		Paygo	年間
請求方法	Pay-as-you-go	Pay-as-you-go	契約期間 12 か月のサブスクリプション
料金	ポリシーごと、ルールごと、リクエストごと（料金を参照）	プロジェクトあたり月額 $200 最初の 2 個のリソースを超えると保護対象リソースあたり月額 $200	請求先アカウントあたり月額 $3,000 最初の 100 個のリソースを超えると保護対象リソースあたり月額 $30
DDoS 攻撃対策	外部アプリケーション ロードバランサ 外部プロキシ ネットワーク ロードバランサ	外部アプリケーション ロードバランサ 外部プロキシ ネットワーク ロードバランサ 外部パススルー ネットワーク ロードバランサ プロトコル転送 パブリック IP アドレス（VM）	外部アプリケーション ロードバランサ 外部プロキシ ネットワーク ロードバランサ 外部パススルー ネットワーク ロードバランサ プロトコル転送 パブリック IP アドレス（VM）
高度なネットワーク DDoS 対策	×	○	○
ネットワーク エッジのセキュリティ ポリシー	×	○	○
Google Cloud Armor WAF	ポリシーごと、ルールごと、リクエストごと（料金を参照）	Paygo に含まれる	年間に含まれる
リソースの上限	割り当て上限まで	割り当て上限まで	割り当て上限まで
時間のコミットメント	なし	なし	1 年間
アドレス グループ
脅威インテリジェンス
適応型保護	アラートのみ
DDoS 攻撃の可視性	なし
DDoS 対応サポート	なし		利用資格要件
DDoS 請求対策	なし

Cloud Armor Enterprise に登録する

Cloud Armor Enterprise で追加のサービスや機能を使用するには、まず Cloud Armor Enterprise に登録する必要があります。Cloud Armor Enterprise（年間）のサブスクリプションに登録して個々のプロジェクトを登録することも、Cloud Armor Enterprise Paygo で直接プロジェクトを登録することもできます。

有効化には最長で 24 時間ほどかかることがあるため、できるだけ早く Cloud Armor Enterprise にプロジェクトを登録することを強くおすすめします。

外部アプリケーション ロードバランサと外部プロキシ ネットワーク ロードバランサ

プロジェクトが Cloud Armor Enterprise に登録されると、プロジェクト内の転送ルールが登録に追加されます。さらに、すべてのバックエンド サービスとバックエンド バケットは保護されたリソースとしてカウントされ、Cloud Armor Enterprise で保護されたリソースの費用として課金されます。Cloud Armor Enterprise（年間）のバックエンド サービスとバックエンド バケットは、請求先アカウント内のすべての登録済みプロジェクトで集計されます。一方、Cloud Armor Enterprise Paygo のバックエンド サービスとバックエンド バケットはプロジェクト内で集計されます。

外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレス（VM）

Google Cloud Armor には、これらのエンドポイントを DDoS 攻撃から保護するための次のオプションが用意されています。

• 標準のネットワーク DDoS 対策: 外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM に対して常時有効な基本的な保護対策です。これには、転送ルールの適用と自動レート制限などが含まれます。 これは Google Cloud Armor Standard の対象であり、追加のサブスクリプションは必要ありません。
• 高度なネットワーク DDoS 保護: Cloud Armor Enterprise サブスクライバー向けの追加の保護対策です。高度なネットワーク DDoS 対策はリージョン単位で構成します。特定のリージョンで有効にすると、Google Cloud Armor は、外部パススルー ネットワーク ロードバランサ、プロトコル転送、そのリージョンのパブリック IP アドレスを持つ VM に対して常時有効な保護対策を提供し、ボリューム型の攻撃を検出して軽減します。

DDoS 対応サポート

DDoS レスポンス対応では、すべての Google サービスを保護しているチームが、24 時間 365 日体制のサポートと、DDoS 攻撃に対するお客様に合わせた対策を提供します。攻撃発生時に対応サポートを利用することで、攻撃を回避できます。また、積極的にサポートを利用し、今後発生する可能性のある大規模な攻撃やウイルス感染（異常な量のサイト訪問者など）に備えることもできます。

事前対応型のサポートは、DDoS 対策の確認を完了していない場合でも、すべての Google Cloud Armor のお客様が利用できます。事前対応型のサポートでは、攻撃が Google Cloud Armor に到達する前に、一般的な DDoS 攻撃タイプをターゲットとする事前構成済みルールを適用できます。DDoS 対応サポートを利用するには、DDoS ケースのサポートを受けるをご覧ください。

DDoS 対策の確認

DDoS 対策を確認することの目的は、DDoS 対応プロセスの効率と効果を高めることです。確認プロセスでは、お客様固有のユースケースとアーキテクチャを把握し、Google Cloud Armor セキュリティ ポリシーが Google のベスト プラクティスに従って構成されていることを確認します。これにより、DDoS 攻撃に対するプリエンプティブな復元力を高めることができます。

DDoS 対策の確認は、Cloud Armor Enterprise Annual を定期購入されており、Cloud カスタマーケアのプレミアム アカウントをお持ちのお客様を対象としています。

DDoS 対応サポートの利用資格

ケースを開いて、Google Cloud Armor DDoS 対応サポートチームのサポートを利用するには、次の基準を満たしている必要があります。

• 請求先アカウントには有効な Cloud Armor Enterprise（年間）サブスクリプションがある。
• 請求先アカウントに Cloud カスタマーケアのプレミアム アカウントがある。
• 攻撃対象のワークロードを含む Google Cloud プロジェクトが、Cloud Armor Enterprise（年間）に登録されている。
  • プロジェクト間のサービス参照を使用する場合は、フロントエンドとバックエンドの両方のサービス プロジェクトが Cloud Armor Enterprise（年間）に登録されている。
• （2024 年 9 月 3 日より後に Cloud Armor Enterprise Annual を定期購入されたお客様の場合）: 攻撃対象のワークロードを含むプロジェクトで、年間の DDoS 対策の確認が実施されている必要があります。

DDoS 対応サポートを利用するには、DDoS ケースのサポートを受けるをご覧ください。

DDoS 請求対策

Google Cloud Armor DDoS 請求保護を利用するには、プロジェクトを Cloud Armor Enterprise（年間）に登録する必要があります。Cloud Load Balancing、Google Cloud Armor、ネットワーク インターネット、リージョン間、ゾーン間の送信データ転送で確認済みの DDoS 攻撃が原因で発生したトラフィックの増加分について、Google Cloud の今後の使用量に充当できるクレジットを提供します。クレームが認識され、クレジットが提供された場合、クレジットを使用して既存の使用量を相殺することはできません。このクレジットは将来の使用量にのみ適用できます。次の表に、DDos 請求対策の対象となるリソースを示します。

エンドポイントのタイプ	対象となるユーザー数の増加
外部アプリケーション ロードバランサ 外部プロキシ ネットワーク ロードバランサ	Google Cloud Armor	Cloud Armor Enterprise のデータ処理料金
	ネットワーク	送信データ転送
		リージョン間
		ゾーン間
		キャリア ピアリング
	ロードバランサ	受信データ処理の料金
		送信データ処理料金
	Media CDN	メディア CDN 下り（外向き）（外部アプリケーション ロードバランサのみ）
外部パススルー ネットワーク ロードバランサ プロトコル転送 パブリック IP アドレス（VM）	Google Cloud Armor	Cloud Armor Enterprise のデータ処理料金
	ネットワーク	送信データ転送
		リージョン間
		ゾーン間
		キャリア ピアリング
	ロードバランサ	受信データ処理の料金
		アウトバウンド データ処理料金

DDoS 請求対策については、DDoS 請求対策の利用をご覧ください。

請求先アカウント間でのプロジェクトの移行

2024 年 9 月 3 日以降、Cloud Armor Enterprise Annual に登録されている状態でプロジェクトを請求先アカウント間で移行したものの、新しい請求先アカウントが Cloud Armor Enterprise Annual に登録されていない場合、移行が完了するとプロジェクトは Google Cloud Armor Standard に戻ります。そのため、ダウンタイムの発生を回避しつつプロジェクトを Cloud Armor Enterprise Annual に維持する場合は、移行プロセスを開始する前に、新しい請求先アカウントを Cloud Armor Enterprise Annual に登録することをおすすめします。Cloud 請求サポートにお問い合わせいただいて、サブスクリプションを請求先アカウント間で移行することもできます。

Cloud Armor Enterprise Paygo に登録されているプロジェクトは、請求先アカウントの移行の影響を受けません。

Cloud Armor Enterprise からのダウングレード

Cloud Armor Enterprise からプロジェクトを削除すると、Cloud Armor Enterprise 固有の機能（高度なルール）を含むルールを使用するセキュリティ ポリシーはすべて凍結されます。凍結されたセキュリティ ポリシーには次のプロパティがあります。

• Google Cloud Armor は、ポリシー内のルール（高度なルールを含む）に対してトラフィックを引き続き評価します。
• このセキュリティ ポリシーを新しいターゲットに接続することはできません。
• セキュリティ ポリシーに対して実行できるオペレーションは、次のとおりです。
  • セキュリティ ポリシー ルールは削除できます。
  • ルールの優先度を変更しない場合は、高度なルールを更新して、Cloud Armor Enterprise 固有の機能を使用しないようにできます。この方法ですべての高度なルールを変更すると、ポリシーは凍結されなくなります。セキュリティ ポリシー ルールの更新の詳細については、セキュリティ ポリシーで 1 つのルールを更新するをご覧ください。

Cloud Armor Enterprise（年間）または Cloud Armor Enterprise Paygo に再登録して、凍結されたセキュリティ ポリシーへのアクセスを復元することもできます。

高度なネットワーク DDoS 対策

高度なネットワーク DDoS 保護は、Cloud Armor Enterprise に登録されたプロジェクトでのみ使用できます。Cloud Armor Enterprise から有効な高度なネットワーク DDoS ポリシーを含むプロジェクトを削除しても、Cloud Armor Enterprise の料金に基づいて機能の料金が請求されます。

Cloud Armor Enterprise からプロジェクトを登録解除する前に、高度なネットワーク DDoS 対策ルールを削除することをおすすめします。ただし、ダウングレード後に高度なネットワーク DDoS 保護ルールを削除することもできます。

利用規約と制限事項

Cloud Armor Enterprise には、次の利用規約と制限事項があります。

• 通常: Cloud Armor Enterprise に登録されたプロジェクトで、保護されたエンドポイントに対するサービス拒否攻撃（「対象攻撃」）が発生し、かつ次のセクションで説明する条件を満たしている場合、Google は最小しきい値を超えて発生した対象料金に相当するクレジットを提供します。お客様またはお客様の代理で実施された負荷テストおよびセキュリティ評価は対象攻撃に該当しません。
• 条件: お客様は、対象攻撃の終了後 30 日以内に Cloud Billing サポートにリクエストを送信する必要があります。リクエストには、対象攻撃の証拠（攻撃の発生時刻、攻撃されたプロジェクトとリソースなどを示すログやテレメトリーなど）と、発生した対象料金の見積もりを含める必要があります。Google は、クレジットが正当であるかどうかを審査し、適切な金額を決定します。特定の Google Cloud Armor 機能に関するその他の条件は、ドキュメントに記載されています。
• クレジット: 本項に関連してお客様に提供されるクレジットは、Google Cloud サービスの今後の使用料金に対してのみ相殺可能です。このクレジットは、発行から 12 か月後、または本契約の終了または満了時に有効期限が切れます。
• 定義:
  • 対象料金: 以下に対する対象攻撃の直接的な結果としてお客様が支払う料金:
    • Google Cloud Load Balancing Service の上り（内向き）データ処理と送信データ処理。
    • Google Cloud Armor サービス向けの Google Cloud Armor Enterprise データ処理。
    • ネットワーク下り（外向き）。リージョン間、ゾーン間、インターネット、キャリア ピアリングによる下り（外向き）を含みます。
  • 最小しきい値: 本項に基づいてクレジットの対象となる対象料金の最低金額を意味します。この金額は Google が随時決定し、お客様のリクエストに応じて開示します。

次のステップ

• Cloud Armor Enterprise でプロジェクトを登録する
• 問題のトラブルシューティングを行う
• カスタムルール言語リファレンスを使用する