Google Cloud Armor Enterprise adalah layanan perlindungan aplikasi yang membantu melindungi layanan dan aplikasi web Anda dari serangan distributed denial of service (DDoS) dan ancaman lainnya dari internet. Cloud Armor Enterprise membantu melindungi aplikasi yang di-deploy di Google Cloud, di infrastruktur lokal, atau di penyedia infrastruktur lainnya.
Google Cloud Armor Standard versus Cloud Armor Enterprise
Google Cloud Armor ditawarkan dalam dua paket layanan, Standar dan Cloud Armor Enterprise.
Google Cloud Armor Standard mencakup hal berikut:
- Model harga bayar sesuai penggunaan
- Perlindungan yang selalu aktif dari serangan DDoS volumetrik dan berbasis protokol, dengan
mitigasi inline otomatis secara real time dan tanpa dampak latensi di
berbagai jenis infrastruktur berikut:
- Application Load Balancer eksternal global (HTTP/HTTPS)
- Load Balancer Aplikasi Klasik (HTTP/HTTPS)
- Load Balancer Aplikasi eksternal regional (HTTP/HTTPS)
- Load Balancer Jaringan proxy eksternal global (TCP/SSL)
- Cloud CDN
- Media CDN
- Integrasi dengan Cloud CDN dan Media CDN
- Akses ke kemampuan aturan firewall aplikasi web (WAF) Google Cloud Armor, termasuk aturan WAF yang telah dikonfigurasi sebelumnya untuk perlindungan terhadap 10 risiko teratas versi OWASP
Cloud Armor Enterprise mencakup hal berikut:
- Semua fitur Google Cloud Armor Standard
- Pilihan model harga: Cloud Armor Enterprise Tahunan atau Paygo
- Penggunaan WAF Google Cloud Armor yang dipaketkan, termasuk aturan, kebijakan, dan permintaan
- Daftar alamat IP bernama pihak ketiga
- Kecerdasan Ancaman untuk Google Cloud Armor
- Perlindungan Adaptif untuk endpoint Lapisan 7
- Perlindungan DDoS jaringan lanjutan untuk endpoint pass-through—Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan alamat IP publik untuk instance virtual machine (VM)
- (Khusus Cloud Armor Enterprise Tahunan): Akses ke perlindungan tagihan DDoS dan layanan tim respons DDoS (berlaku kondisi tambahan, lihat Kelayakan untuk tim respons DDoS)
- Akses ke visibilitas serangan DDoS
Semua project Google Cloud yang menyertakan Load Balancer Aplikasi eksternal atau Load Balancer Jaringan proxy eksternal akan otomatis terdaftar di Google Cloud Armor Standar. Setelah berlangganan Cloud Armor Enterprise di level akun penagihan, pengguna dapat memilih untuk mendaftarkan setiap project yang tertaut ke akun penagihan di Cloud Armor Enterprise.
Tabel berikut merangkum dua tingkat layanan.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Tahunan | ||
| Metode penagihan | Bayar sesuai penggunaan | Bayar sesuai penggunaan | Langganan dengan komitmen 12 bulan |
| Harga | Per kebijakan, per aturan, per permintaan (lihat Harga) |
|
|
| Perlindungan terhadap serangan DDoS |
|
|
|
| Perlindungan DDoS jaringan tingkat lanjut | Tidak | Ya | Ya |
| Kebijakan keamanan edge jaringan | Tidak | Ya | Ya |
| Google Cloud Armor WAF | Per kebijakan, per aturan, per permintaan (lihat Harga) | Disertakan dengan Paygo | Disertakan dengan Paket Tahunan |
| Batas resource | Hingga batas kuota | Hingga batas kuota | Hingga batas kuota |
| Komitmen waktu | T/A | T/A | Satu tahun |
| Grup Alamat | |||
| Kecerdasan Ancaman | |||
| Perlindungan Adaptif | Pemberitahuan saja | ||
| Visibilitas serangan DDoS | T/A | ||
| Dukungan respons DDoS | T/A | Persyaratan kelayakan | |
| Perlindungan tagihan DDoS | T/A | ||
Berlangganan Cloud Armor Enterprise
Untuk menggunakan layanan dan kemampuan tambahan di Cloud Armor Enterprise, Anda harus mendaftar ke Cloud Armor Enterprise terlebih dahulu. Anda dapat berlangganan Cloud Armor Enterprise Tahunan dan mendaftarkan setiap project, atau mendaftarkan project langsung di Cloud Armor Enterprise Paygo.
Sebaiknya daftarkan project Anda ke Cloud Armor Enterprise sesegera mungkin karena aktivasi dapat memerlukan waktu hingga 24 jam.
Load Balancer Aplikasi eksternal dan Load Balancer Jaringan proxy eksternal
Setelah project terdaftar di Cloud Armor Enterprise, aturan penerusan dalam project akan ditambahkan ke pendaftaran. Selain itu, semua layanan backend dan bucket backend dihitung sebagai resource yang dilindungi dan diukur untuk biaya resource yang dilindungi Cloud Armor Enterprise. Layanan backend dan bucket backend di Cloud Armor Enterprise Annual digabungkan di seluruh project yang terdaftar di akun penagihan, sedangkan layanan backend dan bucket backend di Cloud Armor Enterprise Paygo digabungkan dalam project.
Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan alamat IP publik (VM)
Google Cloud Armor menawarkan opsi berikut untuk melindungi endpoint ini dari serangan DDoS:
- Perlindungan DDoS jaringan standar: perlindungan dasar yang selalu aktif untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik. Hal ini mencakup penegakan aturan penerusan dan pembatasan kapasitas otomatis. Hal ini tercakup dalam Google Cloud Armor Standard dan tidak memerlukan langganan tambahan.
- Perlindungan DDoS jaringan tingkat lanjut: perlindungan tambahan untuk pelanggan Cloud Armor Enterprise. Perlindungan DDoS jaringan lanjutan dikonfigurasi berdasarkan per region. Jika diaktifkan untuk region tertentu, Google Cloud Armor akan memberikan deteksi serangan volumetrik yang selalu aktif dan mitigasi yang ditargetkan untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan VM dengan alamat IP publik di region tersebut.
Dukungan respons DDoS
Dukungan Respons DDoS memberikan bantuan 24/7 dan potensi mitigasi kustom dari serangan DDoS dari tim yang sama yang melindungi semua layanan Google. Anda dapat menghubungi dukungan respons selama serangan untuk membantu memitigasi serangan, atau Anda dapat menghubungi kami secara proaktif untuk merencanakan peristiwa mendatang yang berpotensi viral atau memiliki volume tinggi (peristiwa yang mungkin menarik jumlah pengunjung yang luar biasa tinggi).
Dukungan proaktif tersedia untuk semua pelanggan Google Cloud Armor, meskipun mereka belum menyelesaikan peninjauan postur DDoS. Dukungan proaktif memungkinkan kami menerapkan aturan yang telah dikonfigurasi sebelumnya yang menargetkan jenis serangan DDoS umum sebelum serangan mencapai Google Cloud Armor. Untuk mendapatkan dukungan respons DDoS, lihat Mendapatkan dukungan untuk kasus DDoS.
Peninjauan postur DDoS
Tujuan peninjauan postur DDoS adalah untuk meningkatkan efisiensi dan keefektifan proses respons DDoS. Selama proses peninjauan, kami mempelajari kasus penggunaan dan arsitektur unik Anda, serta memverifikasi bahwa kebijakan keamanan Google Cloud Armor Anda dikonfigurasi sesuai dengan praktik terbaik kami. Hal ini membantu Anda meningkatkan ketahanan preventif terhadap serangan DDoS.
Peninjauan postur DDoS disediakan untuk pelanggan yang berlangganan Cloud Armor Enterprise Tahunan dan memiliki akun Premium untuk Layanan Pelanggan Cloud.
Kelayakan untuk dukungan respons DDoS
Kriteria berikut membuat Anda memenuhi syarat untuk membuka kasus dan menerima bantuan dari tim dukungan respons DDoS Google Cloud Armor:
- Akun penagihan Anda memiliki langganan Tahunan Cloud Armor Enterprise yang aktif.
- Akun penagihan Anda memiliki akun Premium untuk Cloud Customer Care.
- Project Google Cloud dengan workload yang diserang telah
terdaftar di Cloud Armor Enterprise Annual.
- Jika Anda menggunakan referensi layanan lintas project, project layanan frontend dan backend harus terdaftar dalam Cloud Armor Enterprise Annual.
- (Untuk pelanggan yang berlangganan Cloud Armor Enterprise Annual setelah 3 September 2024): Project dengan beban kerja yang diserang harus telah menjalani peninjauan postur DDoS tahunan.
Untuk mendapatkan dukungan respons DDoS, lihat Mendapatkan dukungan untuk kasus DDoS.
Perlindungan tagihan DDoS
Perlindungan tagihan DDoS Google Cloud Armor mengharuskan project Anda terdaftar di Cloud Armor Enterprise Annual. Program ini memberikan kredit untuk penggunaan Google Cloud di masa mendatang untuk beberapa peningkatan tagihan dari Cloud Load Balancing, Google Cloud Armor, dan transfer data keluar internet, antar-wilayah, dan antar-zona jaringan sebagai akibat dari serangan DDoS terverifikasi. Jika klaim diakui dan kredit diberikan, kredit tersebut tidak dapat digunakan untuk mengimbangi penggunaan yang ada; kredit hanya dapat berlaku untuk penggunaan mendatang. Tabel berikut menunjukkan resource yang tercakup dalam perlindungan tagihan DDoS:
| Jenis Endpoint | Peningkatan Penggunaan yang Dicakup | |
|---|---|---|
|
Google Cloud Armor | Biaya pemrosesan data Cloud Armor Enterprise |
| Jaringan | Transfer data keluar | |
| Antar-region | ||
| Antarzona | ||
| Peering operator | ||
| Load balancer | Biaya pemrosesan data masuk | |
| Biaya pemrosesan data keluar | ||
| Media CDN | Biaya traffic keluar Media CDN (khusus Load Balancer Aplikasi eksternal) | |
|
Google Cloud Armor | Biaya pemrosesan data Cloud Armor Enterprise |
| Jaringan | Transfer data keluar | |
| Antar-region | ||
| Antarzona | ||
| Peering operator | ||
| Load balancer | Biaya pemrosesan data masuk | |
| Biaya pemrosesan data keluar |
Untuk mengaktifkan perlindungan tagihan DDoS, lihat Mengaktifkan perlindungan tagihan DDoS.
Memigrasikan project antar-akun penagihan
Mulai 3 September 2024, jika Anda memigrasikan project dari satu akun penagihan ke akun penagihan lain saat berlangganan Cloud Armor Enterprise Annual, tetapi akun penagihan baru Anda tidak berlangganan Cloud Armor Enterprise Annual, project Anda akan dikembalikan ke Google Cloud Armor Standard setelah migrasi selesai. Oleh karena itu, jika Anda ingin mempertahankan project di Cloud Armor Enterprise Annual tanpa downtime, sebaiknya Anda berlangganan akun penagihan baru ke Cloud Armor Enterprise Annual sebelum memulai proses migrasi. Anda juga dapat memigrasikan langganan dari satu akun penagihan ke akun penagihan lainnya dengan menghubungi dukungan Penagihan Cloud.
Project yang terdaftar di Cloud Armor Enterprise Paygo tidak terpengaruh oleh migrasi akun penagihan.
Mendowngrade dari Cloud Armor Enterprise
Saat Anda menghapus project dari Cloud Armor Enterprise, kebijakan keamanan apa pun yang menggunakan aturan dengan fitur eksklusif Cloud Armor Enterprise (aturan lanjutan) akan dibekukan. Kebijakan keamanan yang dibekukan memiliki properti berikut:
- Google Cloud Armor terus mengevaluasi traffic berdasarkan aturan dalam kebijakan, termasuk aturan lanjutan.
- Anda tidak dapat melampirkan kebijakan keamanan ke target baru.
- Anda hanya dapat melakukan operasi berikut pada kebijakan keamanan:
- Anda dapat menghapus aturan kebijakan keamanan.
- Jika tidak mengubah prioritas aturan, Anda dapat memperbarui aturan lanjutan sehingga tidak lagi menggunakan fitur eksklusif Cloud Armor Enterprise. Jika Anda mengubah semua aturan lanjutan dengan cara ini, kebijakan Anda tidak lagi dibekukan. Untuk informasi selengkapnya tentang cara memperbarui aturan kebijakan keamanan, lihat Memperbarui satu aturan dalam kebijakan keamanan.
Anda juga dapat mendaftar ulang ke Cloud Armor Enterprise Annual atau Cloud Armor Enterprise Paygo untuk memulihkan akses ke kebijakan keamanan yang dibekukan.
Perlindungan DDoS jaringan tingkat lanjut
Perlindungan DDoS jaringan tingkat lanjut hanya tersedia untuk project yang terdaftar di Cloud Armor Enterprise. Saat menghapus project dengan kebijakan DDoS jaringan lanjutan yang aktif dari Cloud Armor Enterprise, Anda tetap ditagih untuk fitur tersebut berdasarkan harga Cloud Armor Enterprise.
Sebaiknya hapus aturan perlindungan DDoS jaringan tingkat lanjut sebelum membatalkan pendaftaran project dari Cloud Armor Enterprise, tetapi Anda juga dapat menghapus aturan perlindungan DDoS jaringan tingkat lanjut setelah melakukan downgrade.
Persyaratan dan batasan
Cloud Armor Enterprise memiliki persyaratan dan batasan berikut:
- Secara umum: Jika Project yang terdaftar di Cloud Armor Enterprise mengalami serangan denial of service pihak ketiga pada endpoint yang dilindungi ("Serangan yang Memenuhi Syarat") dan kondisi yang dijelaskan di bagian berikutnya terpenuhi, Google akan memberikan kredit yang setara dengan Biaya yang Dicakup, asalkan Biaya yang Dicakup yang timbul melebihi Nilai Minimum. Pengujian beban dan penilaian keamanan yang dilakukan oleh atau atas nama Pelanggan bukanlah Serangan yang Memenuhi Syarat.
- Kondisi: Pelanggan harus mengirimkan permintaan ke Dukungan Penagihan Cloud dalam waktu 30 hari setelah akhir Serangan yang Memenuhi Syarat. Permintaan harus menyertakan bukti Serangan yang Memenuhi Syarat, seperti log atau telemetri lainnya yang menunjukkan waktu serangan serta Project dan resource yang diserang, dan estimasi Biaya yang Dicakup yang timbul. Google akan menentukan secara wajar apakah kredit akan diberikan dan jumlah yang sesuai. Kondisi lain untuk fitur Google Cloud Armor tertentu disertakan dalam Dokumentasi.
- Kredit: Kredit apa pun yang diberikan kepada Pelanggan sehubungan dengan Pasal ini tidak memiliki nilai tunai dan hanya dapat diterapkan untuk mengurangi Biaya mendatang untuk Layanan. Masa berlaku kredit ini berakhir 12 bulan setelah diberikan atau setelah penghentian atau habis masa berlaku Perjanjian.
- Definisi:
- Biaya yang Dicakup: Biaya apa pun yang dikeluarkan oleh Pelanggan sebagai akibat langsung dari
Serangan yang Memenuhi Syarat untuk hal berikut:
- Pemrosesan data masuk dan keluar untuk Layanan Load Balancer Google Cloud.
- Pemrosesan data Google Cloud Armor Enterprise untuk Layanan Google Cloud Armor.
- Traffic keluar jaringan, termasuk traffic keluar antar-region, antar-zona, internet, dan Peering Operator.
- Batas Minimum: Jumlah minimum Biaya Tercakup yang memenuhi syarat untuk dikreditkan berdasarkan Pasal ini sebagaimana ditentukan oleh Google dari waktu ke waktu dan diungkapkan kepada Pelanggan atas permintaan.
- Biaya yang Dicakup: Biaya apa pun yang dikeluarkan oleh Pelanggan sebagai akibat langsung dari
Serangan yang Memenuhi Syarat untuk hal berikut:
Langkah selanjutnya
- Berlangganan dan mendaftarkan project di Cloud Armor Enterprise
- Memecahkan masalah
- Menggunakan referensi bahasa aturan kustom