O Google Cloud Armor Enterprise é o serviço de gerenciamento que ajuda a proteger seus aplicativos da Web e serviços de ataques de negação de serviço (DDoS) e outras ameaças da Internet. O Cloud Armor Enterprise ajuda a proteger aplicativos implantados no Google Cloud, no local ou em outros provedores de infraestrutura.
Google Cloud Armor Standard vs. Cloud Armor Enterprise
O Google Cloud Armor é oferecido em dois níveis de serviço: Standard e Cloud Armor Enterprise:
O Google Cloud Armor Standard inclui o seguinte:
- Um modelo de preços de pagamento por utilização.
- Proteção sempre contra ataques DDoS volumétricos e baseados em protocolo em sua infraestrutura com balanceamento de carga global e regional
- Acesso aos recursos de regra de firewall de aplicativos da Web (WAF) do Google Cloud Armor, incluindo regras WAF predefinidas para proteção compatível com o OWASP Top 10
O Cloud Armor Enterprise inclui o seguinte:
- Todos os recursos do Google Cloud Armor Standard
- Opções de modelos de preços: Cloud Armor Enterprise Anual ou Paygo
- Uso do pacote WAF do Google Cloud Armor em pacote, incluindo regras, política e solicitações
- Listas de endereços IP nomeados de terceiros
- Inteligência de ameaças para o Google Cloud Armor
- Proteção adaptável para endpoints da camada 7
- Proteção avançada contra DDoS de rede para endpoints de passagem: balanceadores de carga de rede, encaminhamento de protocolo e endereços IP públicos para instâncias de máquina virtual (VM)
- (Apenas no Cloud Armor Enterprise Anual): acesso à proteção de faturas DDoS e serviços da equipe de resposta DDoS (condições adicionais se aplicam; consulte Engaje o suporte para resposta a DDoS)
- Acesso à visibilidade do ataque de DDoS
Todos os projetos do Google Cloud que incluem um balanceador de carga de aplicativo externo ou um balanceador de carga de rede de proxy externo são automaticamente registradas no Google Cloud Armor Padrão. Depois de assinar o Cloud Armor Enterprise no no nível da conta de faturamento, os usuários podem optar por inscrever projetos individuais anexados para a conta de faturamento do Cloud Armor Enterprise.
A tabela a seguir resume os dois níveis de serviço.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Anual | ||
| Método de faturamento | Pagamento por utilização | Pagamento por utilização | Assinatura com compromisso de 12 meses |
| Preços | Por política, por regra e por solicitação (consulte Preços) |
|
|
| Proteção contra ataques DDoS |
|
|
|
| Proteção avançada contra DDoS de rede | Não | Sim | Sim |
| Políticas de segurança de borda de rede | Não | Sim | Sim |
| WAF do Google Cloud Armor | Por política, por regra e por solicitação (consulte Preços) | Incluído no Paygo | Incluído com o plano anual |
| Limites de recurso | Até o limite da cota | Até o limite da cota | Até o limite da cota |
| Compromisso com tempo mínimo | N/A | N/A | Um ano |
| Listas de endereços IP nomeados | |||
| Grupo de endereços | |||
| Inteligência contra ameaças | |||
| Proteção adaptável | Somente alertas | ||
| Visibilidade de ataque de DDoS | N/A | ||
| Compatibilidade com respostas DDoS | N/A | (c/ Suporte Premium) | |
| Proteção de faturamento para DDoS | N/A | ||
Assinar o Cloud Armor Enterprise
Para usar os serviços e recursos adicionais do Cloud Armor Enterprise, você precisa se inscrever no Cloud Armor Enterprise. Você pode se inscrever em Cloud Armor Enterprise Anual e registre projetos individuais ou podem registrar um projeto diretamente no Cloud Armor Enterprise Paygo.
Recomendamos que você inscreva seus projetos Cloud Armor Enterprise assim que possível, porque a ativação pode levar em até 24 horas.
Balanceador de carga de aplicativo externo e balanceador de carga de rede proxy externo
Depois que um projeto é registrado no Cloud Armor Enterprise, no projeto são adicionadas ao registro. Além disso, todos os back-ends serviços e buckets de back-end são contados como recursos protegidos e são medidos pelo custo dos recursos protegidos do Cloud Armor Enterprise. Os serviços de back-end e buckets de back-end no Cloud Armor Enterprise Anual são agregados entre todos os projetos inscritos em uma conta de faturamento, enquanto os serviços de back-end e buckets de back-end no Cloud Armor Enterprise Paygo são agregados o projeto.
Passagem externa do balanceador de carga de rede, encaminhamento de protocolo e endereços IP públicos (VMs)
O Google Cloud Armor oferece as opções a seguir para proteger esses endpoints contra ataques DDoS:
- Proteção padrão contra DDoS de rede: proteção básica sempre ativada para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos. Isso inclui a aplicação da regra de encaminhamento e a limitação de taxa automática. Ela é coberta pelo Google Cloud Armor Standard e não requer outras assinaturas.
- Proteção avançada contra DDoS de rede: proteções adicionais para assinantes do Cloud Armor Enterprise. A proteção avançada contra DDoS da rede é configurada por região. Quando ativado para uma região específica, o Google Cloud Armor fornece detecção e mitigação direcionada de ataques volumétricos sempre ativadas para balanceadores de carga de rede, encaminhamento de protocolo e VMs com endereços IP públicos nessa região.
Compatibilidade com respostas DDoS
Suporte a respostas a ataques distribuídos de negação de serviço (DDoS) do Google Cloud Armor Enterprise requer que seu projeto seja inscrito no Cloud Armor Enterprise Anual. O suporte de resposta oferece ajuda 24 horas e possíveis mitigações personalizadas de ataques DDoS da mesma equipe que protege todos os Serviços do Google. Você pode interagir suporte de resposta durante um ataque para ajudar a mitigá-lo, ou você pode alcançar de forma proativa para se planejar para um futuro evento de alto volume ou potencialmente viral (que pode atrair uma quantidade excepcionalmente alta de visitantes).
Envolva o suporte de resposta a DDoS
Os critérios a seguir qualificam você para abrir um caso e receber da equipe de suporte de respostas a DDoS do Google Cloud Armor:
- Sua conta de faturamento tem um plano anual do Cloud Armor Enterprise ativo assinatura.
- Sua conta de faturamento tem uma conta Premium para Cloud Customer Care.
- O projeto do Google Cloud com a carga de trabalho que está sendo atacada
inscritos no Cloud Armor Enterprise Anual.
- Se você usar referência de serviços entre projetos os projetos de serviço de front-end e back-end precisam estar inscritos Cloud Armor Enterprise Anual.
Para usar o suporte de resposta DDoS, consulte Abra um caso de suporte de resposta DDoS.
Proteção de faturamento para DDoS
A proteção de faturas DDoS do Google Cloud Armor exige que seu projeto seja registrado no Cloud Armor Enterprise Anual. Ela fornece créditos para o uso do Google Cloud para alguns aumentos nas faturas do Cloud Load Balancing, o Google Cloud Armor e a Internet de rede, transferência de dados de saída entre zonas como resultado de um ataque DDoS verificado. Se uma declaração for reconhecida e um crédito for fornecido, o crédito não poderá ser usado para compensar o uso existente; o crédito só poderá ser aplicado no futuro. A tabela a seguir demonstra quais recursos são cobertos pela proteção de faturamento de DDos:
| Endpoint Type | Aumento do uso coberto | |
|---|---|---|
|
Google Cloud Armor | Taxa de processamento de dados do Cloud Armor Enterprise |
| Rede | Transferência de dados de saída | |
| Entre regiões | ||
| Entre zonas | ||
| Peering de operadora | ||
| Balanceador de carga | Taxa de processamento de dados de entrada | |
| Taxa de processamento de dados de saída | ||
|
Google Cloud Armor | Taxa de processamento de dados do Cloud Armor Enterprise |
| Rede | Transferência de dados de saída | |
| Entre regiões | ||
| Entre zonas | ||
| Peering de operadora | ||
| Balanceador de carga | Taxa de processamento de dados de entrada | |
| Taxa de processamento de dados de saída |
Para envolver a proteção de conta de DDoS, consulte Como envolver a proteção de contas de DDoS.
Como fazer downgrade do Cloud Armor Enterprise
Quando você remover um projeto do Cloud Armor Enterprise; políticas de segurança que usem regras com produtos exclusivos recursos (regras avançadas) ficam congelados. As políticas de segurança congeladas propriedades a seguir:
- O Google Cloud Armor continua avaliando o tráfego em relação a regras incluindo regras avançadas.
- Não é possível anexar a política de segurança a novos destinos.
- Só é possível executar as seguintes operações na política de segurança:
- É possível excluir regras da política de segurança.
- Se você não alterar a prioridade da regra, poderá atualizar as regras avançadas para que não usam mais os recursos exclusivos do Cloud Armor Enterprise. Se você modificar todas as regras avançadas dessa forma, sua política não estará mais congelada. Para mais informações sobre como atualizar as regras da política de segurança, consulte Atualizar uma única regra em uma política de segurança.
Também é possível se inscrever de novo no Cloud Armor Enterprise Anual ou Cloud Armor Enterprise Paygo para restaurar o acesso à sua segurança congelada políticas.
Proteção avançada contra DDoS de rede
A proteção avançada contra DDoS de rede está disponível apenas para projetos inscritos o Cloud Armor Enterprise. Quando você remove um projeto com um nível avançado ativo política contra DDoS de rede do Cloud Armor Enterprise, você ainda será cobrado o atributo com base Preços do Cloud Armor Enterprise.
Recomendamos que você exclua todas as regras avançadas de proteção contra DDoS de rede antes cancelar a inscrição do seu projeto no Cloud Armor Enterprise, mas também excluir regras avançadas de proteção contra DDoS de rede após o downgrade.
Termos e limitações
O Cloud Armor Enterprise tem os seguintes termos e limitações:
- Geral: se um projeto inscrito no Cloud Armor Enterprise passa por uma ataque de negação de serviço de terceiros em um endpoint protegido ("Qualificado ataque") e as condições descritas na próxima seção forem atendidas, o Google oferece um crédito equivalente às Taxas Cobertas, desde que o As taxas incorridas excedem o Limite Mínimo. Testes de carga e segurança avaliações realizadas pelo Cliente ou em nome dele não são Ataques Qualificados.
- Condições: o cliente precisa enviar uma solicitação ao suporte do Cloud Billing em até Trinta dias após o término do Ataque Qualificado. A solicitação deve incluir evidências do Ataque Qualificado, como registros ou outra telemetria indicando o momento do ataque e os projetos e recursos que foram atacados, e uma estimativa das Taxas Cobertas incorridas. o Google determinará razoavelmente se os créditos são devidos e o valor apropriado. Outras condições para recursos específicos do Google Cloud Armor estão incluídos na Documentação.
- Créditos: os créditos fornecidos ao Cliente em relação a esta Seção não têm valor monetário e só podem ser aplicados para compensar Taxas futuras do Serviços. Esses créditos expiram 12 meses após serem emitidos ou mediante rescisão ou expiração do Contrato.
- Definições:
- Taxas Cobertas: Quaisquer Taxas incorridas pelo Cliente como resultado direto do
Ataque qualificado para o seguinte:
- Processamento de dados de entrada e saída para o Google Cloud Load balanceador de carga HTTP(S) externo global.
- Processamento de dados do Google Cloud Armor Enterprise para o Google Cloud Armor Serviço.
- A saída de rede, inclusive inter-regional, entre zonas, Internet e saída de peering por operadora.
- Limite mínimo: o valor mínimo das Taxas Cobertas que são qualificado para ser creditado de acordo com esta Seção, conforme determinado pelo Google a partir de periodicamente e divulgadas ao Cliente, mediante solicitação.
- Taxas Cobertas: Quaisquer Taxas incorridas pelo Cliente como resultado direto do
Ataque qualificado para o seguinte:
A seguir
- Assinar e registrar projetos no Cloud Armor Enterprise
- Resolver problemas
- Usar a referência de linguagem das regras personalizadas