Google Cloud Armor Enterprise è il servizio di protezione delle applicazioni che contribuisce a proteggere le tue applicazioni e i tuoi servizi web da attacchi DDoS (Distributed Denial of Service) e altre minacce provenienti da internet. Cloud Armor Enterprise contribuisce a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastruttura.
Confronto tra Google Cloud Armor Standard e Cloud Armor Enterprise
Google Cloud Armor è disponibile in due livelli di servizio, Standard e Cloud Armor Enterprise.
Google Cloud Armor Standard include quanto segue:
- Un modello di determinazione del prezzo con pagamento a consumo
- Protezione sempre attiva contro gli attacchi DDoS volumetrici e basati su protocollo, con mitigazioni in linea automatiche in tempo reale e senza impatto sulla latenza per i seguenti tipi di infrastrutture:
- Bilanciatore del carico delle applicazioni esterno globale (HTTP/HTTPS)
- Bilanciatore del carico delle applicazioni classico (HTTP/HTTPS)
- Bilanciatore del carico delle applicazioni esterno regionale (HTTP/HTTPS)
- Bilanciatore del carico di rete proxy esterno globale (TCP/SSL)
- Cloud CDN
- Media CDN
- Integrazione con Cloud CDN e Media CDN
- Accedi alle funzionalità delle regole del web application firewall (WAF) di Google Cloud Armor, incluse le regole WAF preconfigurate per la protezione dei rischi OWASP Top 10
Cloud Armor Enterprise include quanto segue:
- Tutte le funzionalità di Google Cloud Armor Standard
- Scelta dei modelli di prezzi: Cloud Armor Enterprise annuale o Paygo
- Utilizzo del WAF di Google Cloud Armor incluso in pacchetti, tra cui regole, criteri e richieste
- Elenchi di indirizzi IP denominati di terze parti
- Threat Intelligence per Google Cloud Armor
- Adaptive Protection per gli endpoint di livello 7
- Protezione DDoS di rete avanzata per endpoint passthrough: bilanciatori del carico di rete passthrough esterni, inoltro del protocollo e indirizzi IP pubblici per le istanze di macchine virtuali (VM)
- (Solo Cloud Armor Enterprise annuale): accesso alla protezione della fattura DDoS e ai servizi del team di risposta DDoS (si applicano condizioni aggiuntive, consulta Idoneità per il team di risposta DDoS)
- Accesso alla visibilità degli attacchi DDoS
Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono automaticamente registrati in Google Cloud Armor Standard. Dopo aver effettuato l'abbonamento a Cloud Armor Enterprise per l'account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.
La tabella seguente riassume i due livelli di servizio.
Google Cloud Armor Standard | Cloud Armor Enterprise | ||
---|---|---|---|
Paygo | Annuale | ||
Metodo di fatturazione | Pagamento a consumo | Pagamento a consumo | Abbonamento con impegno di 12 mesi |
Prezzi | Per criterio, per regola, per richiesta (vedi Prezzi) |
|
|
Protezione dagli attacchi DDoS |
|
|
|
Protezione DDoS di rete avanzata | No | Sì | Sì |
Criteri di sicurezza perimetrale della rete | No | Sì | Sì |
WAF Google Cloud Armor | Per criterio, per regola, per richiesta (vedi Prezzi) | Incluso in Paygo | Incluso con annuale |
Limiti delle risorse | Fino al limite di quota | Fino al limite di quota | Fino al limite di quota |
Impegno in termini di tempo | N/D | N/D | Un anno |
Gruppo di indirizzi | |||
Threat Intelligence | |||
Adaptive Protection | Solo avvisi | ||
Visibilità degli attacchi DDoS | N/D | ||
Assistenza per la risposta DDoS | N/D | Requisiti di idoneità | |
Protezione delle fatture DDoS | N/D |
Abbonati a Cloud Armor Enterprise
Per utilizzare i servizi e le funzionalità aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi abbonarti a Cloud Armor Enterprise annuale e registrare singoli progetti oppure registrare un progetto direttamente in Cloud Armor Enterprise Paygo.
Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile perché l'attivazione può richiedere fino a 24 ore.
Application Load Balancer esterno e bilanciatore del carico di rete proxy esterno
Dopo aver registrato un progetto in Cloud Armor Enterprise, le regole di inoltro al suo interno vengono aggiunte alla registrazione. Inoltre, tutti i servizi di backend e i bucket di backend vengono conteggiati come risorse protette e vengono misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise annuale vengono aggregati in tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.
Bilanciatore del carico di rete passthrough esterno, inoltro del protocollo e indirizzi IP pubblici (VM)
Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:
- Protezione DDoS di rete standard: protezione di base sempre attiva per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Sono incluse l'applicazione regola di forwarding e la limitazione automatica della frequenza. Questa funzionalità è coperta da Google Cloud Armor Standard e non richiede alcun abbonamento aggiuntivo.
- Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata viene configurata in base alla regione. Se abilitato per una determinata regione, Google Cloud Armor fornisce funzionalità sempre attive di rilevamento degli attacchi volumetrici mirati e mitigazione per i bilanciatori del carico di rete passthrough esterni, il forwarding del protocollo e le VM con indirizzi IP pubblici in quella regione.
Assistenza per la risposta DDoS
L'assistenza di DDoS Response fornisce assistenza 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate degli attacchi DDoS dallo stesso team che protegge tutti i servizi Google. Puoi richiedere assistenza per la risposta durante un attacco per contribuire a mitigarlo oppure puoi contattarci in modo proattivo per pianificare un evento imminente di alto volume o potenzialmente virale (che potrebbe attirare un numero insolitamente elevato di visitatori).
L'assistenza proattiva è disponibile per tutti i clienti Google Cloud Armor, anche se non hanno completato una revisione della posizione DDoS. L'assistenza proattiva ci consente di applicare regole preconfigurate che hanno come target tipi comuni di attacchi DDoS prima che l'attacco raggiunga Google Cloud Armor. Per richiedere assistenza per la risposta ai DDoS, consulta Ricevere assistenza per una richiesta relativa a un DDoS.
Revisione della postura DDoS
Lo scopo della revisione dell'atteggiamento DDoS è migliorare l'efficienza e l'efficacia della procedura di risposta ai DDoS. Durante la procedura di revisione, apprendiamo il tuo caso d'uso e la tua architettura unici e verifichiamo che i tuoi criteri di sicurezza di Google Cloud Armor siano configurati in base alle nostre best practice. In questo modo puoi aumentare la resilienza preattiva agli attacchi DDoS.
La revisione della posizione DDoS viene fornita ai clienti che sottoscrivono un abbonamento annuale a Cloud Armor Enterprise e dispongono di un account Premium per l'assistenza clienti Google Cloud.
Idoneità per l'assistenza per la risposta ai DDoS
I seguenti criteri ti consentono di aprire una richiesta e ricevere assistenza dal team di assistenza per la risposta ai DDoS di Google Cloud Armor:
- Il tuo account di fatturazione ha un abbonamento annuale a Cloud Armor Enterprise attivo.
- Il tuo account di fatturazione ha un account Premium per assistenza clienti Google Cloud.
- Il progetto Google Cloud con il carico di lavoro sotto attacco è registrato in Cloud Armor Enterprise annuale.
- Se utilizzi i riferimenti ai servizi tra progetti, i progetti di servizi frontend e backend devono essere registrati in Cloud Armor Enterprise annuale.
- (Per i clienti che hanno sottoscritto un abbonamento a Cloud Armor Enterprise annuale dopo il 3 settembre 2024): il progetto con il carico di lavoro sotto attacco deve aver subito una revisione annuale della posizione DDoS.
Per richiedere assistenza per la risposta ai DDoS, consulta Ricevere assistenza per una richiesta relativa a un DDoS.
Protezione delle fatture DDoS
La protezione della fattura DDoS di Google Cloud Armor richiede la registrazione del progetto in Cloud Armor Enterprise annuale. Fornisce crediti per l'utilizzo futuro di Google Cloud per alcuni aumenti delle fatture di Cloud Load Balancing, Google Cloud Armor e del trasferimento di dati in uscita su internet, tra regioni e tra zone della rete a seguito di un attacco DDoS verificato. Se una rivendicazione viene riconosciuta e viene fornito un credito, questo non può essere utilizzato per compensare l'utilizzo esistente, ma solo per l'utilizzo futuro. La tabella seguente mostra le risorse coperte dalla protezione delle fatture DDoS:
Tipo di endpoint | Aumento dell'utilizzo coperto | |
---|---|---|
|
Google Cloud Armor | Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise |
Rete | Trasferimento di dati in uscita | |
Tra regioni | ||
Inter-zone | ||
Peering con operatori | ||
Bilanciatore del carico | Commissione per l'elaborazione dei dati in entrata | |
Tariffa per l'elaborazione dei dati in uscita | ||
Media CDN | Tariffa di uscita di Media CDN (solo bilanciatore del carico delle applicazioni esterno) | |
|
Google Cloud Armor | Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise |
Rete | Trasferimento di dati in uscita | |
Tra regioni | ||
Inter-zone | ||
Peering con operatori | ||
Bilanciatore del carico | Commissione per l'elaborazione dei dati in entrata | |
Tariffa per l'elaborazione dei dati in uscita |
Per attivare la protezione delle fatture DDoS, consulta Attivare la protezione delle fatture DDoS.
Migrazione dei progetti tra account di fatturazione
A partire dal 3 settembre 2024, se esegui la migrazione del progetto da un account di fatturazione a un altro mentre hai un abbonamento a Cloud Armor Enterprise annuale, ma il nuovo account di fatturazione non ha un abbonamento a Cloud Armor Enterprise annuale, il progetto torna a Google Cloud Armor Standard al termine della migrazione. Pertanto, se vuoi mantenere il tuo progetto in Cloud Armor Enterprise annuale senza tempi di riposo, ti consigliamo di abbonarti al nuovo account di fatturazione a Cloud Armor Enterprise annuale prima di iniziare la procedura di migrazione. Puoi anche eseguire la migrazione del tuo abbonamento da un account di fatturazione all'altro contattando l'assistenza di Fatturazione Cloud.
I progetti registrati a Cloud Armor Enterprise Paygo non sono interessati dalla migrazione dell'account di fatturazione.
Downgrade da Cloud Armor Enterprise
Quando rimuovi un progetto da Cloud Armor Enterprise, qualsiasi criterio di sicurezza che utilizza regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) viene bloccato. I criteri di sicurezza bloccati hanno le seguenti proprietà:
- Google Cloud Armor continua a valutare il traffico in base alle regole del criterio, incluse eventuali regole avanzate.
- Non puoi collegare il criterio di sicurezza a nuovi target.
- Puoi eseguire solo le seguenti operazioni sul criterio di sicurezza:
- Puoi eliminare le regole della policy di sicurezza.
- Se non modifichi la priorità della regola, puoi aggiornare le regole avanzate in modo che non utilizzino più le funzionalità esclusive di Cloud Armor Enterprise. Se modifichi tutte le regole avanzate in questo modo, il criterio non è più bloccato. Per ulteriori informazioni sull'aggiornamento delle regole dei criteri di sicurezza, consulta Aggiornare una singola regola in un criterio di sicurezza.
Puoi anche registrarti di nuovo a Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso alle tue policy di sicurezza bloccate.
Protezione DDoS di rete avanzata
La protezione DDoS di rete avanzata è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi un progetto con un criterio DDoS di rete avanzato attivo da Cloud Armor Enterprise, la funzionalità viene comunque fatturata in base ai prezzi di Cloud Armor Enterprise.
Ti consigliamo di eliminare eventuali regole di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto da Cloud Armor Enterprise, ma puoi anche eliminare le regole di protezione DDoS di rete avanzata dopo il downgrade.
Termini e limitazioni
Cloud Armor Enterprise è soggetto ai seguenti termini e limitazioni:
- In generale: se un progetto registrato a Cloud Armor Enterprise subisce un attacco di denial of service da parte di terze parti su un endpoint protetto (" Attacco qualificato") e le condizioni descritte nella sezione successiva sono soddisfatte, Google fornisce un credito equivalente alle Tariffe coperte, a condizione che le Tariffe coperte generate superino la Soglia minima. I test di carico e le valutazioni di sicurezza eseguiti dal Cliente o per suo conto non sono considerati Attacchi qualificati.
- Condizioni: il cliente deve inviare una richiesta all'assistenza per la fatturazione di Cloud entro 30 giorni dalla fine dell'attacco qualificato. La richiesta deve includere evidenze dell'attacco qualificato, come log o altra telemetria che indichi la tempistica dell'attacco e i progetti e le risorse oggetto dell'attacco, nonché una stima delle commissioni coperte sostenute. Google stabilirà ragionevolmente se i crediti sono dovuti e l'importo appropriato. Altre condizioni per determinate funzionalità di Google Cloud Armor sono incluse nella documentazione.
- Crediti: eventuali crediti forniti al Cliente in relazione a questa Sezione non hanno valore monetario e possono essere applicati solo per compensare le Tariffe future per i Servizi. Questi crediti scadono 12 mesi dopo l'emissione o al termine o alla scadenza del Contratto.
- Definizioni:
- Commissioni coperte: eventuali commissioni sostenute dal Cliente a seguito diretto dell'Attacco Qualificato per quanto segue:
- Elaborazione dei dati in entrata e in uscita per il servizio bilanciatore del carico Google Cloud.
- Elaborazione dei dati di Google Cloud Armor Enterprise per il servizio Google Cloud Armor.
- Traffico in uscita dalla rete, tra cui traffico in uscita tra regioni, tra zone, su internet e tramite peering con operatori.
- Soglia minima: l'importo minimo delle Commissioni coperte che sono idonee per essere accreditate ai sensi della presente Sezione, come stabilito da Google di volta in volta e comunicato al Cliente su richiesta.
- Commissioni coperte: eventuali commissioni sostenute dal Cliente a seguito diretto dell'Attacco Qualificato per quanto segue:
Passaggi successivi
- Abbonarsi e registrare i progetti in Cloud Armor Enterprise
- Risolvere i problemi
- Utilizzare il riferimento per il linguaggio delle regole personalizzate