Panoramica di Cloud Armor Enterprise

Google Cloud Armor Enterprise è il servizio di protezione delle applicazioni che contribuisce a proteggere le tue applicazioni e i tuoi servizi web da attacchi DDoS (Distributed Denial of Service) e altre minacce provenienti da internet. Cloud Armor Enterprise contribuisce a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastruttura.

Confronto tra Google Cloud Armor Standard e Cloud Armor Enterprise

Google Cloud Armor è disponibile in due livelli di servizio, Standard e Cloud Armor Enterprise.

Google Cloud Armor Standard include quanto segue:

  • Un modello di determinazione del prezzo con pagamento a consumo
  • Protezione sempre attiva contro gli attacchi DDoS volumetrici e basati su protocollo, con mitigazioni in linea automatiche in tempo reale e senza impatto sulla latenza per i seguenti tipi di infrastrutture:
    • Bilanciatore del carico delle applicazioni esterno globale (HTTP/HTTPS)
    • Bilanciatore del carico delle applicazioni classico (HTTP/HTTPS)
    • Bilanciatore del carico delle applicazioni esterno regionale (HTTP/HTTPS)
    • Bilanciatore del carico di rete proxy esterno globale (TCP/SSL)
    • Cloud CDN
    • Media CDN
  • Integrazione con Cloud CDN e Media CDN
  • Accedi alle funzionalità delle regole del web application firewall (WAF) di Google Cloud Armor, incluse le regole WAF preconfigurate per la protezione dei rischi OWASP Top 10

Cloud Armor Enterprise include quanto segue:

Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono automaticamente registrati in Google Cloud Armor Standard. Dopo aver effettuato l'abbonamento a Cloud Armor Enterprise per l'account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.

La tabella seguente riassume i due livelli di servizio.

Google Cloud Armor Standard Cloud Armor Enterprise
Paygo Annuale
Metodo di fatturazione Pagamento a consumo Pagamento a consumo Abbonamento con impegno di 12 mesi
Prezzi Per criterio, per regola, per richiesta (vedi Prezzi)
  • 200 $ al mese per progetto
  • 200 $/mese per risorsa protetta dopo le prime 2 risorse
  • 3000 $ al mese per account di fatturazione
  • 30 $/risorsa protetta al mese dopo le prime 100 risorse
Protezione dagli attacchi DDoS
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
Protezione DDoS di rete avanzata No
Criteri di sicurezza perimetrale della rete No
WAF Google Cloud Armor Per criterio, per regola, per richiesta (vedi Prezzi) Incluso in Paygo Incluso con annuale
Limiti delle risorse Fino al limite di quota Fino al limite di quota Fino al limite di quota
Impegno in termini di tempo N/D N/D Un anno
Gruppo di indirizzi
Threat Intelligence
Adaptive Protection Solo avvisi
Visibilità degli attacchi DDoS N/D
Assistenza per la risposta DDoS N/D Requisiti di idoneità
Protezione delle fatture DDoS N/D

Abbonati a Cloud Armor Enterprise

Per utilizzare i servizi e le funzionalità aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi abbonarti a Cloud Armor Enterprise annuale e registrare singoli progetti oppure registrare un progetto direttamente in Cloud Armor Enterprise Paygo.

Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.

Application Load Balancer esterno e bilanciatore del carico di rete proxy esterno

Dopo aver registrato un progetto in Cloud Armor Enterprise, le regole di inoltro al suo interno vengono aggiunte alla registrazione. Inoltre, tutti i servizi di backend e i bucket di backend vengono conteggiati come risorse protette e vengono misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise annuale vengono aggregati in tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.

Bilanciatore del carico di rete passthrough esterno, inoltro del protocollo e indirizzi IP pubblici (VM)

Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:

  • Protezione DDoS di rete standard: protezione di base sempre attiva per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Sono incluse l'applicazione regola di forwarding e la limitazione automatica della frequenza. Questa funzionalità è coperta da Google Cloud Armor Standard e non richiede alcun abbonamento aggiuntivo.
  • Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata viene configurata in base alla regione. Se abilitato per una determinata regione, Google Cloud Armor fornisce funzionalità sempre attive di rilevamento degli attacchi volumetrici mirati e mitigazione per i bilanciatori del carico di rete passthrough esterni, il forwarding del protocollo e le VM con indirizzi IP pubblici in quella regione.

Assistenza per la risposta DDoS

L'assistenza di DDoS Response fornisce assistenza 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate degli attacchi DDoS dallo stesso team che protegge tutti i servizi Google. Puoi richiedere assistenza per la risposta durante un attacco per contribuire a mitigarlo oppure puoi contattarci in modo proattivo per pianificare un evento imminente di alto volume o potenzialmente virale (che potrebbe attirare un numero insolitamente elevato di visitatori).

L'assistenza proattiva è disponibile per tutti i clienti Google Cloud Armor, anche se non hanno completato una revisione della posizione DDoS. L'assistenza proattiva ci consente di applicare regole preconfigurate che hanno come target tipi comuni di attacchi DDoS prima che l'attacco raggiunga Google Cloud Armor. Per richiedere assistenza per la risposta ai DDoS, consulta Ricevere assistenza per una richiesta relativa a un DDoS.

Revisione della postura DDoS

Lo scopo della revisione dell'atteggiamento DDoS è migliorare l'efficienza e l'efficacia della procedura di risposta ai DDoS. Durante la procedura di revisione, apprendiamo il tuo caso d'uso e la tua architettura unici e verifichiamo che i tuoi criteri di sicurezza di Google Cloud Armor siano configurati in base alle nostre best practice. In questo modo puoi aumentare la resilienza preattiva agli attacchi DDoS.

La revisione della posizione DDoS viene fornita ai clienti che sottoscrivono un abbonamento annuale a Cloud Armor Enterprise e dispongono di un account Premium per l'assistenza clienti Google Cloud.

Idoneità per l'assistenza per la risposta ai DDoS

I seguenti criteri ti consentono di aprire una richiesta e ricevere assistenza dal team di assistenza per la risposta ai DDoS di Google Cloud Armor:

  • Il tuo account di fatturazione ha un abbonamento annuale a Cloud Armor Enterprise attivo.
  • Il tuo account di fatturazione ha un account Premium per assistenza clienti Google Cloud.
  • Il progetto Google Cloud con il carico di lavoro sotto attacco è registrato in Cloud Armor Enterprise annuale.
  • (Per i clienti che hanno sottoscritto un abbonamento a Cloud Armor Enterprise annuale dopo il 3 settembre 2024): il progetto con il carico di lavoro sotto attacco deve aver subito una revisione annuale della posizione DDoS.

Per richiedere assistenza per la risposta ai DDoS, consulta Ricevere assistenza per una richiesta relativa a un DDoS.

Protezione delle fatture DDoS

La protezione della fattura DDoS di Google Cloud Armor richiede la registrazione del progetto in Cloud Armor Enterprise annuale. Fornisce crediti per l'utilizzo futuro di Google Cloud per alcuni aumenti delle fatture di Cloud Load Balancing, Google Cloud Armor e del trasferimento di dati in uscita su internet, tra regioni e tra zone della rete a seguito di un attacco DDoS verificato. Se una rivendicazione viene riconosciuta e viene fornito un credito, questo non può essere utilizzato per compensare l'utilizzo esistente, ma solo per l'utilizzo futuro. La tabella seguente mostra le risorse coperte dalla protezione delle fatture DDoS:

Tipo di endpoint Aumento dell'utilizzo coperto
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
Google Cloud Armor Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise
Rete Trasferimento di dati in uscita
Tra regioni
Inter-zone
Peering con operatori
Bilanciatore del carico Commissione per l'elaborazione dei dati in entrata
Tariffa per l'elaborazione dei dati in uscita
Media CDNTariffa di uscita di Media CDN (solo bilanciatore del carico delle applicazioni esterno)
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
Google Cloud Armor Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise
Rete Trasferimento di dati in uscita
Tra regioni
Inter-zone
Peering con operatori
Bilanciatore del carico Commissione per l'elaborazione dei dati in entrata
Tariffa per l'elaborazione dei dati in uscita

Per attivare la protezione delle fatture DDoS, consulta Attivare la protezione delle fatture DDoS.

Migrazione dei progetti tra account di fatturazione

A partire dal 3 settembre 2024, se esegui la migrazione del progetto da un account di fatturazione a un altro mentre hai un abbonamento a Cloud Armor Enterprise annuale, ma il nuovo account di fatturazione non ha un abbonamento a Cloud Armor Enterprise annuale, il progetto torna a Google Cloud Armor Standard al termine della migrazione. Pertanto, se vuoi mantenere il tuo progetto in Cloud Armor Enterprise annuale senza tempi di riposo, ti consigliamo di abbonarti al nuovo account di fatturazione a Cloud Armor Enterprise annuale prima di iniziare la procedura di migrazione. Puoi anche eseguire la migrazione del tuo abbonamento da un account di fatturazione all'altro contattando l'assistenza di Fatturazione Cloud.

I progetti registrati a Cloud Armor Enterprise Paygo non sono interessati dalla migrazione dell'account di fatturazione.

Downgrade da Cloud Armor Enterprise

Quando rimuovi un progetto da Cloud Armor Enterprise, qualsiasi criterio di sicurezza che utilizza regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) viene bloccato. I criteri di sicurezza bloccati hanno le seguenti proprietà:

  • Google Cloud Armor continua a valutare il traffico in base alle regole del criterio, incluse eventuali regole avanzate.
  • Non puoi collegare il criterio di sicurezza a nuovi target.
  • Puoi eseguire solo le seguenti operazioni sul criterio di sicurezza:

Puoi anche registrarti di nuovo a Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso alle tue policy di sicurezza bloccate.

Protezione DDoS di rete avanzata

La protezione DDoS di rete avanzata è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi un progetto con un criterio DDoS di rete avanzato attivo da Cloud Armor Enterprise, la funzionalità viene comunque fatturata in base ai prezzi di Cloud Armor Enterprise.

Ti consigliamo di eliminare eventuali regole di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto da Cloud Armor Enterprise, ma puoi anche eliminare le regole di protezione DDoS di rete avanzata dopo il downgrade.

Termini e limitazioni

Cloud Armor Enterprise è soggetto ai seguenti termini e limitazioni:

  • In generale: se un progetto registrato a Cloud Armor Enterprise subisce un attacco di denial of service da parte di terze parti su un endpoint protetto (" Attacco qualificato") e le condizioni descritte nella sezione successiva sono soddisfatte, Google fornisce un credito equivalente alle Tariffe coperte, a condizione che le Tariffe coperte generate superino la Soglia minima. I test di carico e le valutazioni di sicurezza eseguiti dal Cliente o per suo conto non sono considerati Attacchi qualificati.
  • Condizioni: il cliente deve inviare una richiesta all'assistenza per la fatturazione di Cloud entro 30 giorni dalla fine dell'attacco qualificato. La richiesta deve includere evidenze dell'attacco qualificato, come log o altra telemetria che indichi la tempistica dell'attacco e i progetti e le risorse oggetto dell'attacco, nonché una stima delle commissioni coperte sostenute. Google stabilirà ragionevolmente se i crediti sono dovuti e l'importo appropriato. Altre condizioni per determinate funzionalità di Google Cloud Armor sono incluse nella documentazione.
  • Crediti: eventuali crediti forniti al Cliente in relazione a questa Sezione non hanno valore monetario e possono essere applicati solo per compensare le Tariffe future per i Servizi. Questi crediti scadono 12 mesi dopo l'emissione o al termine o alla scadenza del Contratto.
  • Definizioni:
    • Commissioni coperte: eventuali commissioni sostenute dal Cliente a seguito diretto dell'Attacco Qualificato per quanto segue:
      • Elaborazione dei dati in entrata e in uscita per il servizio bilanciatore del carico Google Cloud.
      • Elaborazione dei dati di Google Cloud Armor Enterprise per il servizio Google Cloud Armor.
      • Traffico in uscita dalla rete, tra cui traffico in uscita tra regioni, tra zone, su internet e tramite peering con operatori.
    • Soglia minima: l'importo minimo delle Commissioni coperte che sono idonee per essere accreditate ai sensi della presente Sezione, come stabilito da Google di volta in volta e comunicato al Cliente su richiesta.

Passaggi successivi