Google Cloud Armor Enterprise 是一项应用保护服务,可帮助保护您的 Web 应用和服务免受分布式拒绝服务 (DDoS) 攻击和来自互联网的其他威胁。Cloud Armor Enterprise 有助于保护部署在 Google Cloud、本地或其他基础架构提供商上的应用。
Google Cloud Armor 标准版与 Cloud Armor Enterprise
Google Cloud Armor 提供两种服务层级:标准和 Cloud Armor Enterprise:
Google Cloud Armor Standard 包括以下内容:
- 随用随附的定价模式
- 在全球和区域负载均衡基础架构中提供始终有效的保护,以防范耗尽容量的 DDoS 攻击和基于协议的 DDoS 攻击
- 使用 Google Cloud Armor Web 应用防火墙 (WAF) 规则功能(包括为 OWASP 排名前 10 项保护功能预配置的 WAF 规则)。
Cloud Armor Enterprise 包含以下服务:
- 包含 Google Cloud Armor Standard 的所有功能
- 可选价格模式:Cloud Armor Enterprise Annual 或 Paygo
- 捆绑的 Google Cloud Armor WAF 用量,包括规则、政策和请求
- 第三方已命名 IP 地址列表
- Google Cloud Armor 的威胁情报
- 针对第 7 层端点的自动调节式保护
- 直通式端点的高级网络 DDoS 防护 - 外部直通式网络负载均衡器、协议转发和虚拟机 (VM) 实例的公共 IP 地址
- (仅限 Cloud Armor Enterprise Annual):获享 DDoS 攻击账单防护 和 DDoS 攻击响应团队服务(需要满足额外的条件, DDoS 响应 DDoS 攻击要求)
- 对 DDoS 攻击可见性的访问权限
包含外部应用负载平衡器或外部代理网络负载平衡器的所有 Google Cloud 项目 自动注册到 Google Cloud Armor 标准。在结算账号级层订阅 Cloud Armor Enterprise 之后,用户可以选择注册关联至 Cloud Armor Enterprise 中结算账号的各个项目。
下表汇总了两个服务层级。
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| PayGo | 包年 | ||
| 结算方式 | 随用随付 | 随用随付 | 12 个月合约期订阅 |
| 价格 | 按每个请求每项政策的每条规则(请参阅价格) |
|
|
| DDoS 攻击防护 |
|
|
|
| 高级网络 DDoS 攻击防护 | 否 | 是 | 是 |
| 网络边缘安全政策 | 否 | 是 | 是 |
| Google Cloud Armor WAF | 按每个请求每项政策的每条规则(请参阅价格) | 包含在 Paygo 中 | 包含在包年套餐中 |
| 资源限制 | 最高限额 | 最高限额 | 最高限额 |
| 承诺期 | 不适用 | 不适用 | 一年 |
| 地址组 | |||
| 威胁情报 | |||
| Adaptive Protection | 仅限提醒 | ||
| DDoS 攻击可见性 | 不适用 | ||
| DDoS 响应支持 | 不适用 | 资格要求 | |
| DDoS 账单保护 | 不适用 | ||
订阅 Cloud Armor Enterprise
如需使用 Cloud Armor Enterprise 中的附加服务和功能, 您必须先注册 Cloud Armor Enterprise。您可以订阅 Cloud Armor Enterprise Annual,注册各个项目,或者由您 可以直接在 Cloud Armor Enterprise Paygo 中注册项目。
我们强烈建议您尽快在 Cloud Armor Enterprise 中注册您的项目,因为激活过程最多可能需要 24 小时才能完成。
外部应用负载均衡器和外部代理网络负载均衡器
在项目在 Cloud Armor Enterprise 中注册后, 项目中的规则会添加到注册中。此外,所有后端 服务和后端存储分区属于受保护的资源,按流量计费 。后端服务 Cloud Armor Enterprise Annual 中的后端存储分区和 结算账号中的所有已注册项目,而后端服务和 Cloud Armor Enterprise Paygo 中的后端存储分区会在 项目。
外部直通式网络负载均衡器、协议转发和公共 IP 地址(虚拟机)
Google Cloud Armor 提供以下选项来保护这些端点免受 DDoS 攻击:
- 标准网络 DDoS 攻击防护:为外部直通式网络负载均衡器、协议转发或具有公共 IP 地址的虚拟机提供基本的始终开启防护。这包括强制执行转发规则和自动速率限制。 这些内容在 Google Cloud Armor 标准版下介绍,不需要任何额外订阅。
- 高级网络 DDoS 攻击防护:可为 Cloud Armor Enterprise 订阅者提供额外保护。高级网络 DDoS 攻击防护按区域配置。为特定区域启用后,Google Cloud Armor 为该区域中的外部直通式网络负载均衡器、协议转发和具有公共 IP 地址的虚拟机提供始终开启的卷攻击检测和有针对性的缓解功能。
DDoS 响应支持
DDoS 响应支持团队可为您提供 DDoS 攻击全天候支持和潜在自定义缓解措施,该团队也是保护所有 Google 服务的团队。您可以与 在攻击期间提供响应支持以帮助缓解攻击 主动出击,为即将到来的大量或潜在爆发的活动做好规划 (这可能会吸引大量访问者)。
所有 Google Cloud Armor 客户都可以获得主动支持,即使 尚未完成 DDoS 攻击安全状况审核。积极主动的支持有助于我们申请 在攻击发生之前针对常见 DDoS 攻击类型的预配置规则 Google Cloud Armor如需寻求 DDoS 攻击响应支持,请参阅 获取 DDoS 攻击请求支持。
评估 DDoS 防护状况
DDoS 攻击安全状况审核的目标是提高效率和效果 关于 DDoS 攻击响应流程的重要步骤在审核过程中,我们会了解您的独特用例和架构,并验证您的 Google Cloud Armor 安全政策是否已按照我们的最佳实践进行配置。这有助于您提高 针对 DDoS 攻击的先发弹性。
订阅 DDoS 攻击状况的客户 Cloud Armor Enterprise Annual Cloud Customer Care 的付费账号。
获得 DDoS 攻击响应支持的资格
您需满足以下条件才能创建支持请求并接收 获得以下帮助:
- 您的结算账号有有效的 Cloud Armor Enterprise 包年订阅。
- 您的结算账号有一个付费账号,具体如下: Cloud Customer Care。
- 工作负载遭到攻击的 Google Cloud 项目已注册 Cloud Armor Enterprise Annual。
- 如果您使用跨项目服务引用,则前端和后端服务项目都必须已注册 Cloud Armor Enterprise Annual。
- (适用于在 2024 年 9 月 3 日之后订阅 Cloud Armor Enterprise Annual 的客户):遭到攻击的工作负载所在的项目必须已接受年度 DDoS 态势评估。
如需获得 DDoS 响应支持,请参阅获取 DDoS 支持请求的支持。
DDoS 账单保护
要使用 Google Cloud Armor DDoS 攻击账单保护功能,您需要先注册项目 Cloud Armor Enterprise Annual它提供赠金,用于补偿因已证实的 DDoS 攻击而导致账单中来自 Google Cloud Load Balancing、Google Cloud Armor 和网络互联网、区域间和地区间出站数据传输的未来 Google Cloud 用量有所增加的情况。如果已确认申请且已提供赠金,则赠金不能用于抵扣现有用量;这笔赠金只能用于未来用量。下表演示了 DDos 账单保护涵盖的资源:
| 端点类型 | 涵盖的用量增长 | |
|---|---|---|
|
Google Cloud Armor | Cloud Armor Enterprise 数据处理费 |
| 网络 | 出站数据传输 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载平衡器 | 入站流量数据处理费用 | |
| 出站流量数据处理费用 | ||
| 媒体 CDN | 媒体 CDN 出站流量费用(仅限外部应用负载均衡器) | |
|
Google Cloud Armor | Cloud Armor Enterprise 数据处理费 |
| 网络 | 出站数据传输 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载平衡器 | 入站数据处理费 | |
| 出站流量数据处理费用 |
如需获得 DDoS 账单保护,请参阅获得 DDoS 账单保护。
在结算账号之间迁移项目
自 2024 年 9 月 3 日起,如果您从一个结算账号迁移项目 在订阅了 Cloud Armor Enterprise Annual 时 未订阅 Cloud Armor Enterprise Annual、 迁移完成后,您的项目将还原为 Google Cloud Armor Standard 。因此,如果您希望将项目保留在 Cloud Armor Enterprise Annual,无需停机,我们建议您 为您的新结算账号订阅 Cloud Armor Enterprise Annual 。您还可以迁移订阅 与 Cloud Billing 联系,将一个结算账号迁移到另一个结算账号 支持。
在 Cloud Armor Enterprise Paygo 中注册的项目不受 结算账号迁移。
从 Cloud Armor Enterprise 降级
当您从 Cloud Armor Enterprise 中移除项目后,任何使用包含 Cloud Armor Enterprise 专属功能(高级规则)的规则的安全政策都会被冻结。冻结的安全政策 以下属性:
- Google Cloud Armor 会继续根据 政策,包括任何高级规则。
- 您无法将安全政策附加到新目标。
- 您只能对安全政策执行以下操作:
- 您可以删除安全政策规则。
- 如果您不更改规则优先级,则可以更新高级规则,使其不再使用 Cloud Armor 企业版专用功能。如果 以这种方式修改所有高级规则,您的政策将不再冻结。 如需详细了解如何更新安全政策规则,请参阅 更新安全政策中的单条规则。
您也可以重新注册 Cloud Armor Enterprise Annual 或 利用 Cloud Armor Enterprise Paygo 恢复对冻结安全性的访问权限 政策。
高级网络 DDoS 攻击防护
高级网络 DDoS 攻击防护仅适用于 Cloud Armor Enterprise。移除已启用高级方案的项目时 来自 Cloud Armor Enterprise 的网络 DDoS 攻击政策,您仍然需要为 特征 Cloud Armor Enterprise 价格。
我们建议您先删除所有高级网络 DDoS 防护规则,然后再从 Cloud Armor Enterprise 中取消注册项目,但您也可以在降级后删除高级网络 DDoS 防护规则。
条款和限制
Cloud Armor Enterprise 具有以下条款和限制:
- 一般而言:如果已注册 Cloud Armor Enterprise 的项目遭到第三方对受保护端点的拒绝服务攻击(“符合条件的攻击”),并且满足下一部分中所述的条件,Google 会提供相当于所涵盖费用的赠金,前提是所涵盖费用超出最低限额。客户或代表客户执行的负载测试和安全评估不属于合格攻击。
- 条件:客户必须在以下期限内向 Cloud Billing 支持团队提交申请 限定攻击时间结束后 30 天内。请求必须包含合格的攻击的证据,例如日志或其他指示攻击时间以及受到攻击的项目和资源的遥测数据,另外必须包含产生的所涵盖费用估算额。Google 会合理判断是否应付赠金以及相应金额。文档中包含特定 Google Cloud Armor 功能的其他条件。
- 贷记项:向客户提供的与本部分有关的所有贷记项 不能采用现金价值,且只能用于抵消 服务。这些赠金将在发放之日起 12 个月后到期或本协议到期时过期。
- 定义:
- 所涵盖费用:客户因合格的攻击直接产生的以下所有费用:
- Google Cloud Load 的入站和出站数据处理 负载平衡器服务。
- 适用于 Google Cloud Armor 的 Google Cloud Armor Enterprise 数据处理 服务。
- 网络出站流量,包括区域间、地区间、互联网和运营商对等互连出站流量。
- 最低起付金额:适用于 Google Cloud 的 根据本条规定,Google 从 并应客户的要求披露。
- 所涵盖费用:客户因合格的攻击直接产生的以下所有费用: