Google Cloud Armor Managed Protection – Übersicht

Google Cloud Armor Managed Protection ist ein verwalteter Dienst zum Schutz von Anwendungen, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial-of-Service) und anderen Bedrohungen aus dem Internet schützt. Mit Managed Protection können Anwendungen, die in Google Cloud, lokal oder von anderen Infrastrukturanbietern bereitgestellt werden, geschützt werden.

Google Cloud Armor Standard im Vergleich zu Managed Protection Plus

Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Managed Protection Plus:

  • Google Cloud Armor Standard umfasst Folgendes:

    • „Pay as you go“-Preismodell
    • Permanenter Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen in Ihrer globalen und regionalen Load-Balancing-Infrastruktur
    • Zugriff auf Google Cloud Armor-WAF-Regelfunktionen (Web Application Firewall), einschließlich vorkonfigurierter WAF-Regeln für den OWASP-Top-10-Schutz
  • Managed Protection Plus umfasst Folgendes:

Alle Google Cloud-Projekte, die einen externen Application Load Balancer oder einen externen Proxy-Network Load Balancer enthalten, werden automatisch bei Google Cloud Armor Standard registriert. Nachdem Sie Managed Protection Plus auf Rechnungskonto-Ebene abonniert haben, können Nutzer einzelne Projekte auswählen, die mit dem Rechnungskonto in Managed Protection Plus verknüpft sind.

In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.

Google Cloud Armor Standard Managed Protection Plus
Paygo Jährlich
Abrechnungsmethode Pay-as-you-go Pay-as-you-go Abo mit 12-monatiger Vertragsdauer
Preise Pro Richtlinie, Regel und Anfrage (siehe Preise)
  • 200 $/Monat und Projekt
  • 200 $/Monat pro geschützter Ressource nach den ersten 2 Ressourcen
  • 3.000 $/Monat und Rechnungskonto
  • 30 $/Monat pro geschützter Ressource nach den ersten 100 Ressourcen
Schutz vor DDoS-Angriffen
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
Erweiterter DDoS-Netzwerkschutz Nein Ja
Sicherheitsrichtlinien für Netzwerk-Edge Nein Ja
Google Cloud Armor-WAF Pro Richtlinie, Regel und Anfrage (siehe Preise) In Paygo enthalten Im Jahrestarif enthalten
Ressourcenlimits Bis zum Kontingentlimit Bis zum Kontingentlimit Bis zum Kontingentlimit
Laufzeit Ein Jahr
Benannte IP-Adresslisten
Threat Intelligence
Adaptive Protection Nur Benachrichtigungen
Sichtbarkeit von DDoS-Angriffen
Support für DDoS-Antworten (mit Premium-Support)
DDoS-Rechnungsschutz

Managed Protection Plus abonnieren

Wenn Sie die zusätzlichen Dienste und Funktionen von Managed Protection Plus nutzen möchten, müssen Sie sich zuerst bei Managed Protection Plus anmelden. Sie können Managed Protection Plus jährlich abonnieren und einzelne Projekte anmelden oder Projekte direkt bei Managed Protection Plus Paygo anmelden.

Wir empfehlen Ihnen dringend, Ihre Projekte so bald wie möglich bei Managed Protection Plus anzumelden, da die Aktivierung bis zu 24 Stunden dauern kann.

Externer Application Load Balancer und externer Proxy-Network Load Balancer

Nachdem ein Projekt bei Managed Protection Plus registriert wurde, werden die Weiterleitungsregeln innerhalb des Projekts der Registrierung hinzugefügt. Darüber hinaus werden alle Backend-Dienste und Backend-Buckets als geschützte Ressourcen gezählt und auf die Kosten für geschützte Ressourcen von Managed Protection angerechnet. Die Back-End-Dienste und Back-End-Buckets in Managed Protection Plus jährlich werden für alle registrierten Projekte in einem Rechnungskonto zusammengefasst. Die Back-End-Dienste und Back-End-Buckets in Managed Protection Plus Paygo hingegen werden innerhalb des Projekts zusammengefasst.

Externer Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)

Google Cloud Armor bietet die folgenden Optionen, um diese Endpunkte vor DDoS-Angriffen zu schützen:

  • DDoS-Standardschutz für Netzwerke: grundlegender immer aktiver Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Erzwingung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Dies wird durch Google Cloud Armor Standard abgedeckt und erfordert keine zusätzlichen Abos.
  • Erweiterter DDoS-Schutz für Netzwerke: zusätzliche Schutzmaßnahmen für Managed Protection Plus-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird pro Region konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet Google Cloud Armor eine immer aktive Erkennung von volumetrischen Angriffen sowie gezielte Abhilfe für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.

Support für DDoS-Antworten

Zur Unterstützung von DDoS-Antworten (Distributed Denial of Service) von Google Cloud Armor Managed Protection muss Ihr Projekt bei Managed Protection Plus jährlich registriert sein. Der Antwortsupport bietet rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen gegen DDoS-Angriffe vom selben Team, das alle Google-Dienste schützt. Sie können den Response-Support während eines Angriffs in Anspruch nehmen, um den Angriff abzumildern, oder Sie können sich proaktiv melden, um ein bevorstehendes, hochvolumiges oder potenziell virales Ereignis zu planen, das eine ungewöhnlich hohe Anzahl an Besuchern anziehen könnte.

DDoS-Antwortunterstützung nutzen

Die folgenden Kriterien erfüllen Sie dazu, einen Fall zu eröffnen und Hilfe vom DDoS-Antwort-Supportteam von Google Cloud Armor zu erhalten:

  • Für Ihr Rechnungskonto gibt es ein aktives Abo von Managed Protection Plus jährlich.
  • Ihr Rechnungskonto hat ein Premium-Konto für Cloud Customer Care.
  • Das Google Cloud-Projekt mit der Arbeitslast, die angegriffen wird, ist für Managed Protection Plus jährlich registriert.
    • Wenn Sie projektübergreifende Dienstverweise verwenden, müssen sowohl die Frontend- als auch die Backend-Dienstprojekte für Managed Protection Plus jährlich registriert sein.

Informationen zum Support für DDoS-Antworten finden Sie unter Supportanfrage für DDoS-Antworten öffnen.

DDoS-Rechnungsschutz

Für den DDoS-Rechnungsschutz von Google Cloud Armor muss Ihr Projekt bei Managed Protection Plus jährlich registriert sein. Sie erhalten Guthaben für die zukünftige Google Cloud-Nutzung für höhere Rechnungen von Cloud Load Balancing, Google Cloud Armor und dem ausgehenden Netzwerk-Internet-, regions- und zonenübergreifenden Datentransfer als Ergebnis eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:

Endpunkttyp Erhöhung der abgedeckten Nutzung
  • Externer Application Load Balancer
  • Externer Proxy-Network Load Balancer
Google Cloud Armor Gebühr für die Datenverarbeitung für verwaltete Schutzmaßnahmen
Netzwerk Ausgehende Datenübertragung
Interregional
Inter-Zone
Carrier Peering
Load-Balancer Gebühr für die Verarbeitung eingehender Daten
Verarbeitungsgebühr für ausgehende Daten
  • Externer Passthrough-Network Load Balancer
  • Protokollweiterleitung
  • Öffentliche IP-Adressen (VMs)
Google Cloud Armor Gebühr für die Datenverarbeitung für verwaltete Schutzmaßnahmen
Netzwerk Ausgehende Datenübertragung
Interregional
Inter-Zone
Carrier Peering
Load-Balancer Gebühr für die Verarbeitung eingehender Daten
Verarbeitungsgebühr für ausgehende Daten

Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.

Downgrade von Managed Protection Plus

Wenn Sie ein Projekt aus Managed Protection Plus entfernen, werden alle Sicherheitsrichtlinien, die Regeln mit exklusiven Features von Managed Protection Plus (erweiterte Regeln) verwenden, eingefroren. Eingefrorene Sicherheitsrichtlinien haben die folgenden Eigenschaften:

  • Google Cloud Armor wertet den Traffic weiterhin anhand von Regeln in der Richtlinie aus, einschließlich etwaiger erweiterter Regeln.
  • Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
  • Sie können für die Sicherheitsrichtlinie nur die folgenden Vorgänge ausführen:

Sie können sich auch noch einmal für Managed Protection Plus Annual oder Managed Protection Plus Paygo registrieren, um den Zugriff auf Ihre eingefrorenen Sicherheitsrichtlinien wiederherzustellen.

Erweiterter DDoS-Netzwerkschutz

Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die bei Managed Protection Plus registriert sind. Wenn Sie ein Projekt mit einer aktiven erweiterten DDoS-Netzwerkrichtlinie für Netzwerke aus Managed Protection Plus entfernen, wird Ihnen das Feature weiterhin auf Grundlage der Preise für Managed Protection Plus in Rechnung gestellt.

Wir empfehlen, alle erweiterten DDoS-Schutzregeln für Netzwerke zu löschen, bevor Sie Ihr Projekt von Managed Protection Plus abmelden. Sie können aber auch nach dem Downgrade erweiterte DDoS-Schutzregeln für Netzwerke löschen.

Nutzungsbedingungen und Einschränkungen

Für Managed Protection Plus gelten die folgenden Nutzungsbedingungen und Einschränkungen:

  • Allgemein: Wenn bei einem Projekt, das bei Managed Protection Plus registriert ist, ein Denial-of-Service-Angriff durch einen Drittanbieter auf einen geschützten Endpunkt („Qualifizierter Angriff“) auftritt und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, stellt Google eine Gutschrift in Höhe der abgedeckten Gebühren bereit, sofern die abgedeckten Gebühren den Mindestgrenzwert überschreiten. Lasttests und Sicherheitsbewertungen, die vom oder im Auftrag des Kunden durchgeführt werden, gelten nicht als qualifizierte Angriffe.
  • Bedingungen: Der Kunde muss innerhalb von 30 Tagen nach Ende des qualifizierten Angriffs eine Anfrage an den Cloud Billing-Support senden. Die Anfrage muss einen Nachweis des qualifizierten Angriffs enthalten, wie Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs und die angegriffenen Projekte und Ressourcen sowie eine Schätzung der angefallenen Gebühren enthalten. Google entscheidet in angemessener Weise, ob Gutschriften fällig sind und wie hoch der entsprechende Betrag ist. Weitere Bedingungen für bestimmte Google Cloud Armor-Features sind in der Dokumentation enthalten.
  • Gutschriften: Alle Gutschriften, die dem Kunden in Verbindung mit diesem Abschnitt zur Verfügung gestellt werden, haben keinen Barwert und können nur zur Verrechnung zukünftiger Gebühren für die Dienste verwendet werden. Dieses Guthaben verfällt 12 Monate nach Erteilung oder nach Kündigung bzw. Ablauf der Vereinbarung.
  • Definitionen:
    • Abgedeckte Gebühren: Alle Gebühren, die dem Kunden infolge eines qualifizierten Angriffs für Folgendes entstehen:
      • Eingehende und ausgehende Datenverarbeitung für den Google Cloud Load Balancer-Dienst.
      • Datenverarbeitung durch Google Cloud Armor Managed Protection Plus für den Google Cloud Armor-Dienst.
      • Ausgehender Netzwerktraffic, einschließlich interregionaler, interzonen-, zonenübergreifender, Internet- und Carrier Peering-Traffics.
    • Mindestgrenzwert: Der Mindestbetrag für abgedeckte Gebühren, die gemäß diesem Abschnitt gutgeschrieben werden können. Dieser Betrag wird von Google gelegentlich festgelegt und dem Kunden auf Anfrage mitgeteilt.

Nächste Schritte