Panoramica di Cloud Armor Enterprise

Google Cloud Armor Enterprise è il servizio gestito di protezione delle applicazioni che contribuisce a proteggere le tue applicazioni e i tuoi servizi web da attacchi DDoS (Distributed Denial-of-Service) e altre minacce Internet. Cloud Armor Enterprise aiuta a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastrutture.

Confronto tra Google Cloud Armor Standard e Cloud Armor Enterprise

Google Cloud Armor è offerto in due livelli di servizio, Standard e Cloud Armor Enterprise:

  • Google Cloud Armor Standard include quanto segue:

    • Un modello di determinazione del prezzo con pagamento a consumo
    • Protezione sempre attiva dagli attacchi DDoS volumetrici e basati su protocollo nell'infrastruttura con bilanciamento del carico a livello globale e regionale
    • Accesso alle funzionalità delle regole WAF (Web Application Firewall) di Google Cloud Armor, incluse le regole WAF preconfigurate per la protezione OWASP Top 10

  • Cloud Armor Enterprise include:

Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Google Cloud Armor Standard. Dopo aver effettuato l'abbonamento a Cloud Armor Enterprise per l'account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.

La tabella seguente riassume i due livelli di servizio.

Google Cloud Armor Standard Cloud Armor Enterprise
Paygo Annuale
Metodo di fatturazione Pay-as-you-go Pay-as-you-go Abbonamento con impegno di 12 mesi
Prezzi Per criterio, per regola e per richiesta (vedi Prezzi)
  • 200 $ al mese per progetto
  • 200 $/mese per risorsa protetta dopo le prime 2 risorse
  • 3000 $/mese per account di fatturazione
  • 30 $ al mese per risorsa protetta dopo le prime 100 risorse
Protezione dagli attacchi DDoS
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
Protezione DDoS di rete avanzata No
Criteri di sicurezza perimetrale della rete No
WAF di Google Cloud Armor Per criterio, per regola e per richiesta (vedi Prezzi) Incluso in Paygo Incluso nell'abbonamento annuale
Limiti delle risorse Limite massimo di quota Limite massimo di quota Limite massimo di quota
Impegno in termini di tempo N/A N/A Un anno
Elenchi di indirizzi IP denominati
Gruppo di indirizzi
Threat Intelligence
Adaptive Protection Solo avvisi
Visibilità degli attacchi DDoS N/A
Supporto delle risposte DDoS N/A (con Assistenza Premium)
Protezione delle fatture DDoS N/A

Iscriviti a Cloud Armor Enterprise

Per utilizzare le funzionalità e i servizi aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi abbonarti a Cloud Armor Enterprise annuale e registrare singoli progetti oppure puoi registrare un progetto direttamente in Cloud Armor Enterprise Paygo.

Ti consigliamo di registrare i progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.

Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno

Dopo la registrazione di un progetto in Cloud Armor Enterprise, le regole di forwarding all'interno del progetto vengono aggiunte alla registrazione. Inoltre, tutti i servizi e i bucket di backend vengono conteggiati come risorse protette e misurati in base al costo delle risorse protette di Cloud Armor Enterprise. I servizi e i bucket di backend in Cloud Armor Enterprise annuale vengono aggregati in tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.

Bilanciatore del carico di rete passthrough esterno, forwarding del protocollo e indirizzi IP pubblici (VM)

Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:

  • Protezione DDoS di rete standard: protezione sempre attiva di base per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Ciò include l'applicazione regola di forwarding e la limitazione automatica della frequenza. Questa funzionalità è coperta da Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
  • Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata viene configurata in base alla regione. Se abilitato per una determinata regione, Google Cloud Armor fornisce il rilevamento sempre attivo degli attacchi volumetrici e la mitigazione mirata per i bilanciatori del carico di rete passthrough esterni, il forwarding del protocollo e le VM con indirizzi IP pubblici in quella regione.

Supporto delle risposte DDoS

Il supporto per le risposte DDoS (Distributed Denial-of-Service) di Google Cloud Armor Enterprise richiede la registrazione del progetto in Cloud Armor Enterprise annuale. L'assistenza in risposta agli eventi offre assistenza 24 ore su 24, 7 giorni su 7 e potenziali misure personalizzate per la mitigazione degli attacchi DDoS da parte dello stesso team che protegge tutti i servizi Google. Puoi ricorrere al supporto della risposta durante un attacco per contribuire a mitigare l'attacco oppure puoi contattarlo in modo proattivo per pianificare un imminente volume elevato o un evento potenzialmente virale (che potrebbe attirare un numero insolitamente elevato di visitatori).

Coinvolgi il supporto delle risposte DDoS

I seguenti criteri consentono di aprire una richiesta e ricevere assistenza dal team di assistenza per le risposte DDoS di Google Cloud Armor:

  • Il tuo account di fatturazione ha un abbonamento annuale a Cloud Armor Enterprise attivo.
  • Il tuo account di fatturazione dispone di un account Premium per l'assistenza clienti Google Cloud.
  • Il progetto Google Cloud con il carico di lavoro sottoposto ad attacco è registrato in Cloud Armor Enterprise annuale.

Per interagire con il supporto della risposta DDoS, consulta Aprire una richiesta di assistenza per la risposta DDoS.

Protezione delle fatture DDoS

La protezione delle fatture DDoS di Google Cloud Armor richiede la registrazione del progetto in Cloud Armor Enterprise annuale. Fornisce crediti per l'utilizzo futuro di Google Cloud per alcuni aumenti delle fatture di Cloud Load Balancing, Google Cloud Armor e del trasferimento di dati in uscita dalla rete, tra regioni e tra zone a seguito di un attacco DDoS verificato. Se la rivendicazione viene riconosciuta e viene fornito un credito, quest'ultimo non può essere utilizzato per compensare l'utilizzo esistente; il credito può essere applicato solo a un utilizzo futuro. La seguente tabella mostra quali risorse sono coperte dalla protezione delle fatture DDoS:

Tipo di endpoint Aumento dell'utilizzo coperto
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
 Google Cloud Armor Tariffa per il trattamento dati di Cloud Armor Enterprise
Rete Trasferimento dei dati in uscita
Tra regioni
Tra zone
Peering con operatori
Bilanciatore del carico Tariffa per il trattamento dei dati in entrata
Tariffa per il trattamento dei dati in uscita
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
 Google Cloud Armor Tariffa per il trattamento dati di Cloud Armor Enterprise
Rete Trasferimento dei dati in uscita
Tra regioni
Tra zone
Peering con operatori
Bilanciatore del carico Tariffa per il trattamento dei dati in entrata
Tariffa per il trattamento dei dati in uscita

Per attivare la protezione delle fatture DDoS, consulta Attivare la protezione delle fatture DDoS.

Downgrade da Cloud Armor Enterprise

Quando rimuovi un progetto da Cloud Armor Enterprise, tutti i criteri di sicurezza che utilizzano regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) vengono bloccati. I criteri di sicurezza bloccati hanno le seguenti proprietà:

  • Google Cloud Armor continua a valutare il traffico in base alle regole nel criterio, incluse eventuali regole avanzate.
  • Non puoi collegare il criterio di sicurezza a nuove destinazioni.
  • Sul criterio di sicurezza puoi eseguire soltanto le seguenti operazioni:

Puoi anche registrarti nuovamente a Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso ai tuoi criteri di sicurezza bloccati.

Protezione DDoS di rete avanzata

La protezione DDoS di rete avanzata è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi un progetto con un criterio DDoS di rete avanzato attivo da Cloud Armor Enterprise, ti viene comunque addebitata la funzionalità in base ai prezzi di Cloud Armor Enterprise.

Ti consigliamo di eliminare eventuali regole avanzate di protezione DDoS di rete prima di annullare la registrazione del progetto in Cloud Armor Enterprise, ma puoi anche eliminare le regole avanzate di protezione DDoS di rete dopo il downgrade.

Termini e limitazioni

Cloud Armor Enterprise prevede i termini e le limitazioni seguenti:

  • In generale: se un progetto registrato a Cloud Armor Enterprise subisce un attacco denial of service di terze parti su un endpoint protetto ("Attacco qualificato") e vengono soddisfatte le condizioni descritte nella sezione successiva, Google fornisce un credito equivalente alle Tariffe coperte, a condizione che le Tariffe coperte sostenute superino la Soglia minima. I test di carico e le valutazioni di sicurezza eseguiti da o per conto del Cliente non sono attacchi qualificati.
  • Condizioni: il Cliente deve inviare una richiesta all'Assistenza per la Fatturazione Cloud entro 30 giorni dalla fine dell'Attacco qualificato. La richiesta deve includere prove dell'attacco qualificato, ad esempio log o altri dati di telemetria che indicano la tempistica dell'attacco, i progetti e le risorse attaccati, nonché una stima delle tariffe coperte sostenute. Google stabilirà ragionevolmente se i crediti sono dovuti e l'importo appropriato. Altre condizioni per funzionalità particolari di Google Cloud Armor sono incluse nella documentazione.
  • Crediti: gli eventuali crediti forniti al Cliente in relazione alla presente Sezione non hanno alcun valore in denaro e possono essere applicati solo a compensazione delle Tariffe future per i Servizi. Questi crediti scadono 12 mesi dopo la loro emissione oppure alla risoluzione o scadenza del Contratto.
  • Definizioni:
    • Tariffe coperte: eventuali Tariffe sostenute dal Cliente come risultato diretto dell'attacco qualificato per quanto segue:
      • Elaborazione dei dati in entrata e in uscita per il servizio Google Cloud LoadBalancer.
      • Elaborazione dei dati di Google Cloud Armor Enterprise per il servizio Google Cloud Armor.
      • Traffico in uscita dalla rete, compreso il traffico tra regioni, tra zone, internet e in peering con operatori.
    • Soglia minima: l'importo minimo delle Tariffe coperte che possono essere accreditate ai sensi della presente Sezione come determinato da Google di volta in volta e divulgato al Cliente su richiesta.

Passaggi successivi