Google Cloud Armor Enterprise ist der verwaltete Dienst zum Schutz von Anwendungen, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial of Service) und anderen Bedrohungen aus dem Internet schützt. Mit Cloud Armor Enterprise können Sie Anwendungen schützen, die in Google Cloud, lokal oder bei anderen Infrastrukturanbietern bereitgestellt werden.
Google Cloud Armor Standard und Cloud Armor Enterprise im Vergleich
Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Cloud Armor Enterprise:
Google Cloud Armor Standard umfasst Folgendes:
- „Pay as you go“-Preismodell
- Permanenter Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen in Ihrer globalen und regionalen Load-Balancing-Infrastruktur
- Zugriff auf Google Cloud Armor-WAF-Regelfunktionen (Web Application Firewall), einschließlich vorkonfigurierter WAF-Regeln für den OWASP-Top-10-Schutz
Cloud Armor Enterprise umfasst Folgendes:
- Alle Features von Google Cloud Armor Standard
- Auswahl an Preismodellen: Cloud Armor Enterprise Annual oder Paygo
- Gebündelte Google Cloud Armor-WAF-Nutzung, einschließlich Regeln, Richtlinien und Anfragen
- Benannte IP-Adresslisten von Drittanbietern
- Bedrohungsdaten für Google Cloud Armor
- Adaptive Protection für Layer-7-Endpunkte
- Erweiterter DDoS-Schutz für Netzwerke für Passthrough-Endpunkte – externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen für VM-Instanzen
- (Nur Cloud Armor Enterprise-Jahrestarif): Zugriff auf Dienste des DDoS-Rechnungsschutzes und des DDoS-Antwortteams (es gelten zusätzliche Bedingungen, siehe Support für DDoS-Antworten aktivieren)
- Zugriff auf Sichtbarkeit von DDoS-Angriffen
Alle Google Cloud-Projekte, die einen externen Application Load Balancer oder einen externen Proxy-Network Load Balancer enthalten, werden automatisch bei Google Cloud Armor Standard registriert. Nachdem Sie Cloud Armor Enterprise auf Rechnungskontoebene abonniert haben, können Nutzer einzelne Projekte registrieren, die mit dem Rechnungskonto in Cloud Armor Enterprise verknüpft sind.
In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Jährlich | ||
| Abrechnungsmethode | Pay-as-you-go | Pay-as-you-go | Abo mit 12-monatiger Vertragsdauer |
| Preise | Pro Richtlinie, Regel und Anfrage (siehe Preise) |
|
|
| Schutz vor DDoS-Angriffen |
|
|
|
| Erweiterter DDoS-Netzwerkschutz | Nein | Ja | |
| Sicherheitsrichtlinien für Netzwerk-Edge | Nein | Ja | |
| Google Cloud Armor-WAF | Pro Richtlinie, Regel und Anfrage (siehe Preise) | In Paygo enthalten | Im Jahrestarif enthalten |
| Ressourcenlimits | Bis zum Kontingentlimit | Bis zum Kontingentlimit | Bis zum Kontingentlimit |
| Laufzeit | – | – | Ein Jahr |
| Benannte IP-Adresslisten | |||
| Threat Intelligence | |||
| Adaptive Protection | Nur Benachrichtigungen | ||
| Sichtbarkeit von DDoS-Angriffen | – | ||
| Support für DDoS-Antworten | – | (mit Premium-Support) | |
| DDoS-Rechnungsschutz | – | ||
Cloud Armor Enterprise abonnieren
Damit Sie die zusätzlichen Dienste und Funktionen in Cloud Armor Enterprise nutzen können, müssen Sie sich zuerst bei Cloud Armor Enterprise registrieren. Sie können Cloud Armor Enterprise Annual abonnieren und einzelne Projekte registrieren oder ein Projekt direkt in Cloud Armor Enterprise Paygo registrieren.
Wir empfehlen Ihnen dringend, Ihre Projekte so schnell wie möglich bei Cloud Armor Enterprise zu registrieren, da die Aktivierung bis zu 24 Stunden dauern kann.
Externer Application Load Balancer und externer Proxy-Network Load Balancer
Nachdem ein Projekt bei Cloud Armor Enterprise registriert wurde, werden die Weiterleitungsregeln innerhalb des Projekts der Registrierung hinzugefügt. Darüber hinaus werden alle Backend-Dienste und Backend-Buckets als geschützte Ressourcen gezählt und nach den Kosten für geschützte Ressourcen von Cloud Armor Enterprise abgerechnet. Die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Annual werden für alle registrierten Projekte in einem Rechnungskonto aggregiert, während die Back-End-Dienste und Back-End-Buckets in Cloud Armor Enterprise Paygo innerhalb des Projekts zusammengefasst werden.
Externer Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)
Google Cloud Armor bietet die folgenden Optionen, um diese Endpunkte vor DDoS-Angriffen zu schützen:
- DDoS-Standardschutz für Netzwerke: grundlegender immer aktiver Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Erzwingung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Dies wird durch Google Cloud Armor Standard abgedeckt und erfordert keine zusätzlichen Abos.
- Erweiterter DDoS-Schutz für Netzwerke: zusätzlicher Schutz für Cloud Armor Enterprise-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird pro Region konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet Google Cloud Armor eine immer aktive Erkennung von volumetrischen Angriffen sowie gezielte Abhilfe für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.
Support für DDoS-Antworten
Für die Unterstützung von DDoS-Antworten (Distributed Denial of Service) von Google Cloud Armor muss Ihr Projekt bei Cloud Armor Enterprise Annual registriert sein. Der Antwortsupport bietet rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen gegen DDoS-Angriffe vom selben Team, das alle Google-Dienste schützt. Sie können den Response-Support während eines Angriffs in Anspruch nehmen, um den Angriff abzumildern, oder Sie können sich proaktiv melden, um ein bevorstehendes, hochvolumiges oder potenziell virales Ereignis zu planen, das eine ungewöhnlich hohe Anzahl an Besuchern anziehen könnte.
DDoS-Antwortunterstützung nutzen
Die folgenden Kriterien erfüllen Sie dazu, einen Fall zu eröffnen und Hilfe vom DDoS-Antwort-Supportteam von Google Cloud Armor zu erhalten:
- Ihr Rechnungskonto hat ein aktives Jahresabo für Cloud Armor Enterprise.
- Ihr Rechnungskonto hat ein Premium-Konto für Cloud Customer Care.
- Das Google Cloud-Projekt mit der Arbeitslast, die angegriffen wird, ist für Cloud Armor Enterprise Annual registriert.
- Wenn Sie projektübergreifende Dienstreferenzen verwenden, müssen sowohl die Frontend- als auch die Backend-Dienstprojekte für Cloud Armor Enterprise Annual registriert sein.
Informationen zum Support für DDoS-Antworten finden Sie unter Supportanfrage für DDoS-Antworten öffnen.
DDoS-Rechnungsschutz
Für den DDoS-Rechnungsschutz von Google Cloud Armor muss Ihr Projekt bei Cloud Armor Enterprise Annual registriert sein. Sie erhalten Guthaben für die zukünftige Google Cloud-Nutzung für höhere Rechnungen von Cloud Load Balancing, Google Cloud Armor und dem ausgehenden Netzwerk-Internet-, regions- und zonenübergreifenden Datentransfer als Ergebnis eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:
| Endpunkttyp | Erhöhung der abgedeckten Nutzung | |
|---|---|---|
|
Google Cloud Armor | Cloud Armor Enterprise-Datenverarbeitungsgebühr |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Inter-Zone | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Verarbeitung eingehender Daten | |
| Verarbeitungsgebühr für ausgehende Daten | ||
|
Google Cloud Armor | Cloud Armor Enterprise-Datenverarbeitungsgebühr |
| Netzwerk | Ausgehende Datenübertragung | |
| Interregional | ||
| Inter-Zone | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Verarbeitung eingehender Daten | |
| Verarbeitungsgebühr für ausgehende Daten |
Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.
Downgrade von Cloud Armor Enterprise
Wenn Sie ein Projekt aus Cloud Armor Enterprise entfernen, werden alle Sicherheitsrichtlinien, die Regeln mit Features mit ausschließlich Cloud Armor Enterprise-Features (erweiterte Regeln) verwenden, eingefroren. Eingefrorene Sicherheitsrichtlinien haben die folgenden Eigenschaften:
- Google Cloud Armor wertet den Traffic weiterhin anhand von Regeln in der Richtlinie aus, einschließlich etwaiger erweiterter Regeln.
- Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
- Sie können für die Sicherheitsrichtlinie nur die folgenden Vorgänge ausführen:
- Sie können Regeln für Sicherheitsrichtlinien löschen.
- Wenn Sie die Regelpriorität nicht ändern, können Sie erweiterte Regeln so aktualisieren, dass sie keine exklusiven Cloud Armor Enterprise-Features verwenden. Wenn Sie alle erweiterten Regeln auf diese Weise ändern, ist Ihre Richtlinie nicht mehr fixiert. Weitere Informationen zum Aktualisieren von Regeln für Sicherheitsrichtlinien finden Sie unter Einzelne Regel in einer Sicherheitsrichtlinie aktualisieren.
Sie können sich auch noch einmal für Cloud Armor Enterprise Annual oder Cloud Armor Enterprise Paygo registrieren, um den Zugriff auf Ihre eingefrorenen Sicherheitsrichtlinien wiederherzustellen.
Erweiterter DDoS-Netzwerkschutz
Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die in Cloud Armor Enterprise registriert sind. Wenn Sie ein Projekt mit einer aktiven erweiterten DDoS-Netzwerkrichtlinie aus Cloud Armor Enterprise entfernen, wird Ihnen das Feature weiterhin auf der Grundlage der Cloud Armor Enterprise-Preise in Rechnung gestellt.
Wir empfehlen, alle erweiterten DDoS-Schutzregeln für Netzwerke zu löschen, bevor Sie Ihr Projekt von Cloud Armor Enterprise abmelden. Sie können aber auch erweiterte DDoS-Schutzregeln für Netzwerke nach dem Downgrade löschen.
Nutzungsbedingungen und Einschränkungen
Für Cloud Armor Enterprise gelten die folgenden Nutzungsbedingungen und Einschränkungen:
- Allgemein: Wenn bei einem für Cloud Armor Enterprise registrierten Projekt ein Denial-of-Service-Angriff durch einen Drittanbieter auf einen geschützten Endpunkt ("Qualifizierter Angriff") auftritt und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, stellt Google eine Gutschrift in Höhe der abgedeckten Gebühren bereit, sofern die abgedeckten Gebühren den Mindestgrenzwert überschreiten. Lasttests und Sicherheitsbewertungen, die vom oder im Auftrag des Kunden durchgeführt werden, gelten nicht als qualifizierte Angriffe.
- Bedingungen: Der Kunde muss innerhalb von 30 Tagen nach Ende des qualifizierten Angriffs eine Anfrage an den Cloud Billing-Support senden. Die Anfrage muss einen Nachweis des qualifizierten Angriffs enthalten, wie Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs und die angegriffenen Projekte und Ressourcen sowie eine Schätzung der angefallenen Gebühren enthalten. Google entscheidet in angemessener Weise, ob Gutschriften fällig sind und wie hoch der entsprechende Betrag ist. Weitere Bedingungen für bestimmte Google Cloud Armor-Features sind in der Dokumentation enthalten.
- Gutschriften: Alle Gutschriften, die dem Kunden in Verbindung mit diesem Abschnitt zur Verfügung gestellt werden, haben keinen Barwert und können nur zur Verrechnung zukünftiger Gebühren für die Dienste verwendet werden. Dieses Guthaben verfällt 12 Monate nach Erteilung oder nach Kündigung bzw. Ablauf der Vereinbarung.
- Definitionen:
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden infolge eines qualifizierten Angriffs für Folgendes entstehen:
- Eingehende und ausgehende Datenverarbeitung für den Google Cloud Load Balancer-Dienst.
- Google Cloud Armor Enterprise-Datenverarbeitung für den Google Cloud Armor-Dienst
- Ausgehender Netzwerktraffic, einschließlich interregionaler, interzonen-, zonenübergreifender, Internet- und Carrier Peering-Traffics.
- Mindestgrenzwert: Der Mindestbetrag für abgedeckte Gebühren, die gemäß diesem Abschnitt gutgeschrieben werden können. Dieser Betrag wird von Google gelegentlich festgelegt und dem Kunden auf Anfrage mitgeteilt.
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden infolge eines qualifizierten Angriffs für Folgendes entstehen:
Nächste Schritte
- Projekte in Cloud Armor Enterprise abonnieren und registrieren
- Fehlerbehebung
- Referenz der Sprache für benutzerdefinierte Regeln verwenden