Google Cloud Armor Enterprise è il servizio di protezione gestita delle applicazioni che aiuta a proteggere le applicazioni e i servizi web da attacchi DDoS (Distributed Denial-of-Service) e altre minacce da internet. Cloud Armor Enterprise aiuta a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastrutture.
Google Cloud Armor Standard e Cloud Armor Enterprise a confronto
Google Cloud Armor è offerto in due livelli di servizio, Standard e Cloud Armor Enterprise:
Google Cloud Armor Standard include quanto segue:
- Un modello di determinazione del prezzo con pagamento a consumo
- Protezione sempre attiva dagli attacchi DDoS volumetrici e basati su protocollo in l'infrastruttura con bilanciamento del carico globale e regionale
- Accesso alle funzionalità delle regole WAF (web application firewall) di Google Cloud Armor, incluse le regole WAF preconfigurate per la protezione OWASP Top 10
Cloud Armor Enterprise include quanto segue:
- Tutte le funzionalità di Google Cloud Armor Standard
- Scelta di modelli di prezzo: Cloud Armor Enterprise Annual o Paygo
- Utilizzo di WAF in bundle Google Cloud Armor, inclusi regole, criteri e richieste
- Elenchi di indirizzi IP denominati di terze parti
- Informazioni sulle minacce a Google Cloud Armor
- Adaptive Protection per gli endpoint di livello 7
- Protezione DDoS di rete avanzata per endpoint passthrough: bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e indirizzi IP pubblici per istanze di macchine virtuali (VM)
- (Solo Cloud Armor Enterprise Enterprise): accesso ai servizi di protezione delle fatture DDoS e di risposta DDoS (si applicano condizioni aggiuntive, consulta la pagina relativa all'assistenza per le risposte DDoS)
- Accesso alla visibilità degli attacchi DDoS
Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Google Cloud Armor Standard. Dopo aver effettuato l'abbonamento a Cloud Armor Enterprise a livello di account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.
La tabella seguente riassume i due livelli di servizio.
Google Cloud Armor Standard | Cloud Armor Enterprise | ||
---|---|---|---|
Paygo | Annuale | ||
Metodo di fatturazione | Pay-as-you-go | Pay-as-you-go | Abbonamento con impegno di 12 mesi |
Prezzi | In base al criterio, per regola e per richiesta (consulta la sezione Prezzi) |
|
|
Protezione dagli attacchi DDoS |
|
|
|
Protezione DDoS di rete avanzata | No | Sì | |
Criteri di sicurezza perimetrale della rete | No | Sì | |
WAF Google Cloud Armor | In base al criterio, per regola e per richiesta (consulta la sezione Prezzi) | Incluso con Paygo | Incluso con annuale |
Limiti delle risorse | Fino al limite di quota | Fino al limite di quota | Fino al limite di quota |
Impegno in termini di tempo | N/D | N/D | Un anno |
Elenchi di indirizzi IP denominati | |||
Threat Intelligence | |||
Adaptive Protection | Solo avvisi | ||
Visibilità sugli attacchi DDoS | N/D | ||
Supporto per le risposte DDoS | N/D | (con assistenza Premium) | |
Protezione delle fatture DDoS | N/D |
Abbonati a Cloud Armor Enterprise
Per utilizzare i servizi e le funzionalità aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi abbonarti a Cloud Armor Enterprise Annual e registrare singoli progetti oppure registrare un progetto direttamente in Cloud Armor Enterprise Paygo.
Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.
Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno
Dopo la registrazione di un progetto in Cloud Armor Enterprise, le regole di forwarding all'interno del progetto vengono aggiunte alla registrazione. Inoltre, tutti i servizi e i bucket di backend vengono conteggiati come risorse protette e misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise Annual vengono aggregati per tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.
Bilanciatore del carico di rete passthrough esterno, forwarding del protocollo e indirizzi IP pubblici (VM)
Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:
- Protezione DDoS di rete standard: protezione sempre attiva di base per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Ciò include l'applicazione di regola di forwarding e la limitazione di frequenza automatica. È coperto da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
- Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise. La protezione DDoS avanzata della rete viene configurata a seconda dell'area geografica. Se abilitato per una determinata regione, Google Cloud Armor offre un rilevamento sempre attivo degli attacchi volumetrici e una mitigazione mirata per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e VM con indirizzi IP pubblici in quella regione.
Supporto per le risposte DDoS
Il supporto per le risposte DDoS (Distributed Denial-of-Service) di Google Cloud Armor Enterprise richiede la registrazione del progetto in Cloud Armor Enterprise Annual. L'assistenza di risposta offre assistenza 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate dagli attacchi DDoS da parte dello stesso team che protegge tutti i servizi Google. Durante un attacco puoi offrire supporto alle risposte per mitigare l'attacco oppure puoi contattarlo in modo proattivo per pianificare un evento imminente ad alto volume o potenzialmente virale (che potrebbe attirare un numero insolitamente elevato di visitatori).
Coinvolgere il supporto per le risposte DDoS
I seguenti criteri ti qualificano per aprire una richiesta e ricevere assistenza dal team di assistenza per le risposte DDoS di Google Cloud Armor:
- Il tuo account di fatturazione dispone di un abbonamento annuale a Cloud Armor Enterprise Enterprise.
- Il tuo account di fatturazione dispone di un account Premium per l'assistenza clienti Google Cloud.
- Il progetto Google Cloud con il carico di lavoro sotto attacco viene registrato in Cloud Armor Enterprise Annual.
- Se utilizzi il riferimento al servizio tra progetti, entrambi i progetti di servizio frontend e backend devono essere registrati in Cloud Armor Enterprise Annual.
Per supportare il supporto delle risposte DDoS, vedi Aprire una richiesta di assistenza per risposte DDoS.
Protezione delle fatture DDoS
La protezione DDoS di Google Cloud Armor richiede la registrazione del progetto a Cloud Armor Enterprise Annual. Fornisce crediti per l'utilizzo futuro di Google Cloud per alcuni aumenti delle fatture provenienti da Cloud Load Balancing, da Google Cloud Armor e dal trasferimento di dati in uscita dalla rete, tra regioni e zone a seguito di un attacco DDoS verificato. Se una rivendicazione viene riconosciuta e viene fornito un credito, quest'ultimo non può essere utilizzato per compensare l'utilizzo esistente; il credito può essere applicato solo a un utilizzo futuro. La seguente tabella mostra quali risorse sono coperte dalla protezione delle fatture DDos:
Tipo di endpoint | Aumento dell'utilizzo coperto | |
---|---|---|
|
Google Cloud Armor | Tariffa per il trattamento dei dati di Cloud Armor Enterprise |
Rete | Trasferimento dati in uscita | |
Tra regioni | ||
Tra zona | ||
Peering con operatori | ||
Bilanciatore del carico | Tariffa per il trattamento dei dati in entrata | |
Tariffa per il trattamento dei dati in uscita | ||
|
Google Cloud Armor | Tariffa per il trattamento dei dati di Cloud Armor Enterprise |
Rete | Trasferimento dati in uscita | |
Tra regioni | ||
Tra zona | ||
Peering con operatori | ||
Bilanciatore del carico | Tariffa per il trattamento dei dati in entrata | |
Tariffa per il trattamento dei dati in uscita |
Per attivare la protezione delle fatture DDoS, consulta Coinvolgimento della protezione delle fatture DDoS.
Eseguire il downgrade da Cloud Armor Enterprise
Quando rimuovi un progetto da Cloud Armor Enterprise, tutti i criteri di sicurezza che utilizzano regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) vengono bloccati. I criteri di sicurezza bloccati hanno le seguenti proprietà:
- Google Cloud Armor continua a valutare il traffico in base alle regole incluse nel criterio, incluse quelle avanzate.
- Non puoi collegare il criterio di sicurezza a nuove destinazioni.
- Sul criterio di sicurezza puoi eseguire solo le seguenti operazioni:
- Puoi eliminare le regole del criterio di sicurezza.
- Se non modifichi la priorità delle regole, puoi aggiornare le regole avanzate in modo che non utilizzino più le funzionalità esclusive di Cloud Armor Enterprise. Se modifichi tutte le regole avanzate in questo modo, il criterio non sarà più bloccato. Per ulteriori informazioni sull'aggiornamento delle regole del criterio di sicurezza, consulta Aggiornare una singola regola in un criterio di sicurezza.
Puoi anche registrarti nuovamente a Cloud Armor Enterprise Annual o Cloud Armor Enterprise Paygo per ripristinare l'accesso ai tuoi criteri di sicurezza bloccati.
Protezione DDoS di rete avanzata
La protezione DDoS avanzata sulla rete è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi un progetto con un criterio DDoS avanzato di rete attivo da Cloud Armor Enterprise, la funzionalità ti viene comunque addebitata in base ai prezzi di Cloud Armor Enterprise.
Ti consigliamo di eliminare qualsiasi regola di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto da Cloud Armor Enterprise, ma puoi anche eliminare le regole di protezione DDoS di rete avanzata dopo il downgrade.
Termini e limitazioni
Cloud Armor Enterprise presenta i seguenti termini e limitazioni:
- Disposizioni generali: se un progetto registrato in Cloud Armor Enterprise subisce un attacco denial of service di terze parti su un endpoint protetto ("Attacco qualificato") e vengono soddisfatte le condizioni descritte nella sezione successiva, Google fornisce un credito equivalente alle Tariffe coperte, a condizione che le Tariffe coperte sostenute superino la Soglia minima. I test di carico e le valutazioni di sicurezza eseguiti da o per conto del Cliente non sono Attacchi qualificati.
- Condizioni: il cliente deve inviare una richiesta all'Assistenza per la fatturazione Cloud entro 30 giorni dal termine dell'attacco qualificato. La richiesta deve includere prove dell'attacco qualificato, ad esempio log o altri dati di telemetria che indicano le tempistiche dell'attacco, nonché i progetti e le risorse attaccati, nonché una stima delle Tariffe coperte sostenute. Google stabilirà ragionevolmente se i crediti sono dovuti e l'importo appropriato. Altre condizioni per particolari funzionalità di Google Cloud Armor sono incluse nella documentazione.
- Crediti: tutti i crediti forniti al Cliente in relazione alla presente Sezione non hanno alcun valore in denaro e possono essere applicati solo per compensare le Tariffe future per i Servizi. Questi crediti scadono 12 mesi dopo l'emissione o alla risoluzione o alla scadenza del Contratto.
- Definizioni:
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come risultato diretto dell'Attacco qualificato per quanto segue:
- Elaborazione dei dati in entrata e in uscita per il servizio LoadBalancer di Google Cloud.
- Elaborazione dati Google Cloud Armor Enterprise per il servizio Google Cloud Armor.
- Traffico in uscita dalla rete, inclusi tra regioni, zone, internet e peering con operatori in uscita.
- Soglia minima: l'importo minimo delle Tariffe coperte che possono essere accreditate ai sensi della presente Sezione, come stabilito di volta in volta da Google e divulgato al Cliente su richiesta.
- Tariffe coperte: eventuali Tariffe sostenute dal Cliente come risultato diretto dell'Attacco qualificato per quanto segue:
Passaggi successivi
- Iscriviti e registra progetti in Cloud Armor Enterprise
- Risolvere i problemi
- Utilizzare il riferimento per il linguaggio delle regole personalizzate