Panoramica di Cloud Armor Enterprise

Google Cloud Armor Enterprise è il servizio di protezione gestita delle applicazioni che aiuta a proteggere le applicazioni e i servizi web da attacchi DDoS (Distributed Denial-of-Service) e altre minacce da internet. Cloud Armor Enterprise aiuta a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastrutture.

Google Cloud Armor Standard e Cloud Armor Enterprise a confronto

Google Cloud Armor è offerto in due livelli di servizio, Standard e Cloud Armor Enterprise:

  • Google Cloud Armor Standard include quanto segue:

    • Un modello di determinazione del prezzo con pagamento a consumo
    • Protezione sempre attiva dagli attacchi DDoS volumetrici e basati su protocollo in l'infrastruttura con bilanciamento del carico globale e regionale
    • Accesso alle funzionalità delle regole WAF (web application firewall) di Google Cloud Armor, incluse le regole WAF preconfigurate per la protezione OWASP Top 10

  • Cloud Armor Enterprise include quanto segue:

Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Google Cloud Armor Standard. Dopo aver effettuato l'abbonamento a Cloud Armor Enterprise a livello di account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.

La tabella seguente riassume i due livelli di servizio.

Google Cloud Armor Standard Cloud Armor Enterprise
Paygo Annuale
Metodo di fatturazione Pay-as-you-go Pay-as-you-go Abbonamento con impegno di 12 mesi
Prezzi In base al criterio, per regola e per richiesta (consulta la sezione Prezzi)
  • 200 $/mese per progetto
  • 200 $/mese per risorsa protetta dopo le prime 2 risorse
  • 3000 $/mese per account di fatturazione
  • 30 $/mese per risorsa protetta dopo le prime 100 risorse
Protezione dagli attacchi DDoS
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
Protezione DDoS di rete avanzata No
Criteri di sicurezza perimetrale della rete No
WAF Google Cloud Armor In base al criterio, per regola e per richiesta (consulta la sezione Prezzi) Incluso con Paygo Incluso con annuale
Limiti delle risorse Fino al limite di quota Fino al limite di quota Fino al limite di quota
Impegno in termini di tempo N/D N/D Un anno
Elenchi di indirizzi IP denominati
Threat Intelligence
Adaptive Protection Solo avvisi
Visibilità sugli attacchi DDoS N/D
Supporto per le risposte DDoS N/D (con assistenza Premium)
Protezione delle fatture DDoS N/D

Abbonati a Cloud Armor Enterprise

Per utilizzare i servizi e le funzionalità aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi abbonarti a Cloud Armor Enterprise Annual e registrare singoli progetti oppure registrare un progetto direttamente in Cloud Armor Enterprise Paygo.

Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.

Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno

Dopo la registrazione di un progetto in Cloud Armor Enterprise, le regole di forwarding all'interno del progetto vengono aggiunte alla registrazione. Inoltre, tutti i servizi e i bucket di backend vengono conteggiati come risorse protette e misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise Annual vengono aggregati per tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.

Bilanciatore del carico di rete passthrough esterno, forwarding del protocollo e indirizzi IP pubblici (VM)

Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:

  • Protezione DDoS di rete standard: protezione sempre attiva di base per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Ciò include l'applicazione di regola di forwarding e la limitazione di frequenza automatica. È coperto da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
  • Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise. La protezione DDoS avanzata della rete viene configurata a seconda dell'area geografica. Se abilitato per una determinata regione, Google Cloud Armor offre un rilevamento sempre attivo degli attacchi volumetrici e una mitigazione mirata per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo e VM con indirizzi IP pubblici in quella regione.

Supporto per le risposte DDoS

Il supporto per le risposte DDoS (Distributed Denial-of-Service) di Google Cloud Armor Enterprise richiede la registrazione del progetto in Cloud Armor Enterprise Annual. L'assistenza di risposta offre assistenza 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate dagli attacchi DDoS da parte dello stesso team che protegge tutti i servizi Google. Durante un attacco puoi offrire supporto alle risposte per mitigare l'attacco oppure puoi contattarlo in modo proattivo per pianificare un evento imminente ad alto volume o potenzialmente virale (che potrebbe attirare un numero insolitamente elevato di visitatori).

Coinvolgere il supporto per le risposte DDoS

I seguenti criteri ti qualificano per aprire una richiesta e ricevere assistenza dal team di assistenza per le risposte DDoS di Google Cloud Armor:

  • Il tuo account di fatturazione dispone di un abbonamento annuale a Cloud Armor Enterprise Enterprise.
  • Il tuo account di fatturazione dispone di un account Premium per l'assistenza clienti Google Cloud.
  • Il progetto Google Cloud con il carico di lavoro sotto attacco viene registrato in Cloud Armor Enterprise Annual.

Per supportare il supporto delle risposte DDoS, vedi Aprire una richiesta di assistenza per risposte DDoS.

Protezione delle fatture DDoS

La protezione DDoS di Google Cloud Armor richiede la registrazione del progetto a Cloud Armor Enterprise Annual. Fornisce crediti per l'utilizzo futuro di Google Cloud per alcuni aumenti delle fatture provenienti da Cloud Load Balancing, da Google Cloud Armor e dal trasferimento di dati in uscita dalla rete, tra regioni e zone a seguito di un attacco DDoS verificato. Se una rivendicazione viene riconosciuta e viene fornito un credito, quest'ultimo non può essere utilizzato per compensare l'utilizzo esistente; il credito può essere applicato solo a un utilizzo futuro. La seguente tabella mostra quali risorse sono coperte dalla protezione delle fatture DDos:

Tipo di endpoint Aumento dell'utilizzo coperto
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
 Google Cloud Armor Tariffa per il trattamento dei dati di Cloud Armor Enterprise
Rete Trasferimento dati in uscita
Tra regioni
Tra zona
Peering con operatori
Bilanciatore del carico Tariffa per il trattamento dei dati in entrata
Tariffa per il trattamento dei dati in uscita
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
 Google Cloud Armor Tariffa per il trattamento dei dati di Cloud Armor Enterprise
Rete Trasferimento dati in uscita
Tra regioni
Tra zona
Peering con operatori
Bilanciatore del carico Tariffa per il trattamento dei dati in entrata
Tariffa per il trattamento dei dati in uscita

Per attivare la protezione delle fatture DDoS, consulta Coinvolgimento della protezione delle fatture DDoS.

Eseguire il downgrade da Cloud Armor Enterprise

Quando rimuovi un progetto da Cloud Armor Enterprise, tutti i criteri di sicurezza che utilizzano regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) vengono bloccati. I criteri di sicurezza bloccati hanno le seguenti proprietà:

  • Google Cloud Armor continua a valutare il traffico in base alle regole incluse nel criterio, incluse quelle avanzate.
  • Non puoi collegare il criterio di sicurezza a nuove destinazioni.
  • Sul criterio di sicurezza puoi eseguire solo le seguenti operazioni:

Puoi anche registrarti nuovamente a Cloud Armor Enterprise Annual o Cloud Armor Enterprise Paygo per ripristinare l'accesso ai tuoi criteri di sicurezza bloccati.

Protezione DDoS di rete avanzata

La protezione DDoS avanzata sulla rete è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi un progetto con un criterio DDoS avanzato di rete attivo da Cloud Armor Enterprise, la funzionalità ti viene comunque addebitata in base ai prezzi di Cloud Armor Enterprise.

Ti consigliamo di eliminare qualsiasi regola di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto da Cloud Armor Enterprise, ma puoi anche eliminare le regole di protezione DDoS di rete avanzata dopo il downgrade.

Termini e limitazioni

Cloud Armor Enterprise presenta i seguenti termini e limitazioni:

  • Disposizioni generali: se un progetto registrato in Cloud Armor Enterprise subisce un attacco denial of service di terze parti su un endpoint protetto ("Attacco qualificato") e vengono soddisfatte le condizioni descritte nella sezione successiva, Google fornisce un credito equivalente alle Tariffe coperte, a condizione che le Tariffe coperte sostenute superino la Soglia minima. I test di carico e le valutazioni di sicurezza eseguiti da o per conto del Cliente non sono Attacchi qualificati.
  • Condizioni: il cliente deve inviare una richiesta all'Assistenza per la fatturazione Cloud entro 30 giorni dal termine dell'attacco qualificato. La richiesta deve includere prove dell'attacco qualificato, ad esempio log o altri dati di telemetria che indicano le tempistiche dell'attacco, nonché i progetti e le risorse attaccati, nonché una stima delle Tariffe coperte sostenute. Google stabilirà ragionevolmente se i crediti sono dovuti e l'importo appropriato. Altre condizioni per particolari funzionalità di Google Cloud Armor sono incluse nella documentazione.
  • Crediti: tutti i crediti forniti al Cliente in relazione alla presente Sezione non hanno alcun valore in denaro e possono essere applicati solo per compensare le Tariffe future per i Servizi. Questi crediti scadono 12 mesi dopo l'emissione o alla risoluzione o alla scadenza del Contratto.
  • Definizioni:
    • Tariffe coperte: eventuali Tariffe sostenute dal Cliente come risultato diretto dell'Attacco qualificato per quanto segue:
      • Elaborazione dei dati in entrata e in uscita per il servizio LoadBalancer di Google Cloud.
      • Elaborazione dati Google Cloud Armor Enterprise per il servizio Google Cloud Armor.
      • Traffico in uscita dalla rete, inclusi tra regioni, zone, internet e peering con operatori in uscita.
    • Soglia minima: l'importo minimo delle Tariffe coperte che possono essere accreditate ai sensi della presente Sezione, come stabilito di volta in volta da Google e divulgato al Cliente su richiesta.

Passaggi successivi