Visão geral do Cloud Armor Enterprise

O Google Cloud Armor Enterprise é o serviço de proteção de aplicativos que ajuda a proteger seus aplicativos e serviços da Web contra ataques distribuídos de negação de serviço (DDoS) e outras ameaças da Internet. O Cloud Armor Enterprise ajuda a proteger aplicativos implantados no Google Cloud, no local ou em outros provedores de infraestrutura.

Google Cloud Armor Standard vs. Cloud Armor Enterprise

O Google Cloud Armor é oferecido em dois níveis de serviço: Standard e Cloud Armor Enterprise.

O Google Cloud Armor Standard inclui o seguinte:

  • Um modelo de preços de pagamento por utilização.
  • Proteção sempre ativa contra ataques DDoS volumétricos e baseados em protocolo, com mitigações inline automatizadas em tempo real e sem impacto na latência nos seguintes tipos de infraestrutura:
    • Balanceador de carga de aplicativo externo global (HTTP/HTTPS)
    • Balanceador de carga de aplicativo clássico (HTTP/HTTPS)
    • Balanceador de carga de aplicativo externo regional (HTTP/HTTPS)
    • Balanceador de carga de rede de proxy externo global (TCP/SSL)
    • Cloud CDN
    • Media CDN
  • Integração com o Cloud CDN e o Media CDN
  • Acesso aos recursos de regra de firewall de aplicativos da Web (WAF) do Google Cloud Armor, incluindo regras WAF predefinidas para proteção compatível com o OWASP Top 10

O Cloud Armor Enterprise inclui o seguinte:

Todos os projetos do Google Cloud que incluem um balanceador de carga de aplicativo externo ou um balanceador de carga de rede de proxy externo são registrados automaticamente no Google Cloud Armor Standard. Depois de assinar o Cloud Armor Enterprise no nível da conta de faturamento, os usuários podem optar por inscrever projetos individuais anexados à conta de faturamento no Cloud Armor Enterprise.

A tabela a seguir resume os dois níveis de serviço.

Google Cloud Armor Standard Cloud Armor Enterprise
PayGo Anual
Método de faturamento Pagamento por utilização Pagamento por utilização Assinatura com um contrato de 12 meses
Preços Por política, por regra e por solicitação (consulte Preços)
  • US$ 200/mês por projeto
  • US$ 200/mês por recurso protegido após os dois primeiros
  • US$ 3.000/mês por conta de faturamento
  • US$ 30/mês por recurso protegido após os primeiros 100
Proteção contra ataques DDoS
  • Balanceador de carga de aplicativo externo
  • Balanceador de carga de rede de proxy externo
  • Balanceador de carga de aplicativo externo
  • Balanceador de carga de rede de proxy externo
  • Balanceador de carga de rede de passagem externa
  • Encaminhamento de protocolo
  • Endereços IP públicos (VMs)
  • Balanceador de carga de aplicativo externo
  • Balanceador de carga de rede de proxy externo
  • Balanceador de carga de rede de passagem externa
  • Encaminhamento de protocolo
  • Endereços IP públicos (VMs)
Proteção avançada contra DDoS de rede Não Sim Sim
Políticas de segurança de borda de rede Não Sim Sim
WAF do Google Cloud Armor Por política, por regra e por solicitação (consulte Preços) Incluído no Paygo Incluído no Anual
Limites de recurso Até o limite da cota Até o limite da cota Até o limite da cota
Compromisso com tempo mínimo N/A N/A Um ano
Grupo de endereços
Inteligência contra ameaças
Proteção adaptativa Somente alertas
Visibilidade de ataque de DDoS N/A
Compatibilidade com respostas DDoS N/A Requisitos de qualificação
Proteção de faturamento para DDoS N/A

Assinar o Cloud Armor Enterprise

Para usar os serviços e recursos adicionais no Cloud Armor Enterprise, é necessário se inscrever no Cloud Armor Enterprise. Você pode assinar o Cloud Armor Enterprise anual e inscrever projetos individuais ou inscrever um projeto diretamente no Cloud Armor Enterprise Paygo.

Recomendamos que você inscreva seus projetos no Cloud Armor Enterprise o mais rápido possível, porque a ativação pode levar até 24 horas.

Balanceador de carga de aplicativo externo e balanceador de carga de rede proxy externo

Depois que um projeto é registrado no Cloud Armor Enterprise, as regras de encaminhamento no projeto são adicionadas à inscrição. Além disso, todos os serviços e buckets de back-end são contabilizados como recursos protegidos e são limitados para o custo dos recursos protegidos do Cloud Armor Enterprise. Os serviços e buckets de back-end no Cloud Armor Enterprise anual são agregados em todos os projetos inscritos em uma conta de faturamento, enquanto os serviços e buckets de back-end no Cloud Armor Enterprise Pay-as-you-go são agregados no projeto.

Passagem externa do balanceador de carga de rede, encaminhamento de protocolo e endereços IP públicos (VMs)

O Google Cloud Armor oferece as opções a seguir para proteger esses endpoints contra ataques DDoS:

  • Proteção padrão contra DDoS de rede: proteção básica sempre ativada para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos. Isso inclui a aplicação da regra de encaminhamento e a limitação de taxa automática. Ela é coberta pelo Google Cloud Armor Standard e não requer outras assinaturas.
  • Proteção avançada contra DDoS de rede: proteções adicionais para assinantes do Cloud Armor Enterprise. A proteção avançada contra DDoS da rede é configurada por região. Quando ativado para uma região específica, o Google Cloud Armor fornece detecção e mitigação direcionada de ataques volumétricos sempre ativadas para balanceadores de carga de rede, encaminhamento de protocolo e VMs com endereços IP públicos nessa região.

Compatibilidade com respostas DDoS

O suporte à resposta a DDoS oferece ajuda 24 horas por dia, 7 dias por semana, e possíveis mitigações personalizadas contra ataques DDoS da mesma equipe que protege todos os serviços do Google. É possível envolver o suporte de resposta durante um ataque para ajudar a atenuá-lo ou entrar em contato de maneira proativa para planejar um próximo evento de alto volume ou potencialmente viral (que pode atrair uma quantidade anormalmente alta de visitantes).

O suporte proativo está disponível para todos os clientes do Google Cloud Armor, mesmo que eles não tenham concluído uma análise de postura DDoS. O suporte proativo nos permite aplicar regras pré-configuradas que se destinam a tipos comuns de ataque DDoS antes que o ataque chegue ao Google Cloud Armor. Para entrar em contato com o suporte a respostas DDoS, consulte Receber suporte para um caso de DDoS.

Análise da postura contra DDoS

O objetivo da análise de postura contra DDoS é melhorar a eficiência e a eficácia do processo de resposta a DDoS. Durante o processo de análise, conhecemos seu caso de uso e arquitetura exclusivos e verificamos se as políticas de segurança do Google Cloud Armor estão configuradas de acordo com nossas práticas recomendadas. Isso ajuda a aumentar a resiliência preventiva a ataques DDoS.

A análise de postura de DDoS é fornecida para clientes que assinam o Cloud Armor Enterprise Anual e têm uma conta Premium do Cloud Customer Care.

Qualificação para o suporte a respostas DDoS

Os critérios a seguir qualificam você para abrir um caso e receber ajuda da equipe de suporte de resposta DDoS do Google Cloud Armor:

  • Sua conta de faturamento tem uma assinatura anual do Cloud Armor Enterprise.
  • Sua conta de faturamento tem uma conta Premium do Cloud Customer Care.
  • O projeto do Google Cloud com a carga de trabalho que está sob ataque está inscrito no Cloud Armor Enterprise anual.
  • Para clientes que assinaram o Cloud Armor Enterprise Anual após 3 de setembro de 2024: o projeto com a carga de trabalho que está sob ataque precisa ter passado por uma revisão anual de postura de DDoS.

Para entrar em contato com o suporte a respostas DDoS, consulte Receber suporte para um caso de DDoS.

Proteção de faturamento para DDoS

A proteção de faturamento contra DDoS do Google Cloud Armor exige que seu projeto esteja inscrito no Cloud Armor Enterprise anual. Ela fornece créditos para uso futuro do Google Cloud em alguns aumentos nas faturas do Cloud Load Balancing, do Google Cloud Armor e da Internet de rede, entre regiões e transferência de dados de saída entre zonas como resultado de um ataque DDoS verificado. Se uma declaração for reconhecida e um crédito for fornecido, o crédito não poderá ser usado para compensar o uso existente; o crédito só poderá ser aplicado no futuro. A tabela a seguir demonstra quais recursos são cobertos pela proteção de faturamento de DDos:

Endpoint Type Aumento do uso coberto
  • Balanceador de carga de aplicativo externo
  • Balanceador de carga de rede de proxy externo
Google Cloud Armor Taxa de processamento de dados do Cloud Armor Enterprise
Rede Transferência de dados de saída
Entre regiões
Entre zonas
Peering de operadora
Balanceador de carga Taxa de processamento de dados de entrada
Taxa de processamento de dados de saída
Media CDNTaxa de saída do CDN de mídia (somente balanceador de carga de aplicativo externo)
  • Balanceador de carga de rede de passagem externa
  • Encaminhamento de protocolo
  • Endereços IP públicos (VMs)
Google Cloud Armor Taxa de processamento de dados do Cloud Armor Enterprise
Rede Transferência de dados de saída
Entre regiões
Entre zonas
Peering de operadora
Balanceador de carga Taxa de processamento de dados de entrada
Taxa de processamento de dados de saída

Para envolver a proteção de conta de DDoS, consulte Como envolver a proteção de contas de DDoS.

Migrar projetos entre contas de faturamento

A partir de 3 de setembro de 2024, se você migrar seu projeto de uma conta de faturamento para outra enquanto estiver inscrito no Cloud Armor Enterprise anual, mas a nova conta de faturamento não estiver inscrita no Cloud Armor Enterprise anual, seu projeto será revertido para o Google Cloud Armor Standard após a conclusão da migração. Portanto, se você quiser manter seu projeto no Cloud Armor Enterprise anual sem inatividade, recomendamos que você inscreva sua nova conta de faturamento no Cloud Armor Enterprise anual antes de iniciar o processo de migração. Também é possível migrar sua assinatura de uma conta de faturamento para outra. Para isso, entre em contato com o suporte do Cloud Billing.

Os projetos inscritos no Cloud Armor Enterprise Paygo não são afetados pela migração da conta de faturamento.

Fazer downgrade do Cloud Armor Enterprise

Quando você remove um projeto do Cloud Armor Enterprise, todas as políticas de segurança que usam regras com recursos exclusivos do Cloud Armor Enterprise (regras avançadas) são congeladas. As políticas de segurança congeladas têm as seguintes propriedades:

  • O Google Cloud Armor continua avaliando o tráfego em relação às regras da política, incluindo as avançadas.
  • Não é possível anexar a política de segurança a novos destinos.
  • Só é possível realizar as seguintes operações na política de segurança:

Você também pode se inscrever novamente no Cloud Armor Enterprise anual ou no Cloud Armor Enterprise Paygo para restaurar o acesso às suas políticas de segurança congeladas.

Proteção avançada contra DDoS de rede

A proteção avançada contra DDoS da rede está disponível apenas para projetos inscritos no Cloud Armor Enterprise. Quando você remove um projeto com uma política avançada de DDoS de rede do Cloud Armor Enterprise, o recurso ainda é cobrado com base no preço do Cloud Armor Enterprise.

Recomendamos que você exclua todas as regras de proteção avançada contra DDoS de rede antes de cancelar o registro do seu projeto no Cloud Armor Enterprise, mas também é possível excluir as regras de proteção avançada contra DDoS de rede após o downgrade.

Termos e limitações

O Cloud Armor Enterprise tem os seguintes termos e limitações:

  • De modo geral: se um projeto inscrito no Cloud Armor Enterprise sofrer um ataque de negação de serviço de terceiros em um endpoint protegido ("Ataque qualificado") e as condições descritas na próxima seção forem atendidas, o Google oferecerá um crédito equivalente às taxas cobertas, desde que as taxas cobertas incorridas excedam o limite mínimo. Testes de carga e avaliações de segurança realizadas por ou em nome do Cliente não são ataques qualificados.
  • Condições: o cliente precisa enviar uma solicitação ao Suporte do Cloud Billing em até 30 dias após o término do ataque qualificado. A solicitação precisa incluir evidências do ataque qualificado, como registros ou outra telemetria indicando o tempo do ataque e os projetos e recursos que foram atacados, e uma estimativa das tarifas cobertas incorridas. O Google vai determinar razoavelmente se os créditos são devidos e o valor adequado. Outras condições para recursos específicos do Google Cloud Armor estão incluídas na documentação.
  • Créditos: os créditos fornecidos ao Cliente relacionados a esta seção não têm valor monetário e só podem ser aplicados para compensar as futuras taxas dos Serviços. Esses créditos expiram 12 meses após a emissão ou após a rescisão ou expiração do Contrato.
  • Definições:
    • Taxas cobertas: quaisquer taxas incorridas pelo Cliente como resultado direto do Ataque qualificado para o seguinte:
      • Processamento de dados de entrada e saída para o serviço do balanceador de carga do Google Cloud.
      • Processamento de dados do Google Cloud Armor Enterprise para o serviço do Google Cloud Armor.
      • Saída de rede, incluindo saída de peering por operadora, internet, interzona e inter-região.
    • Limite mínimo: é o valor mínimo de Taxas Cobertas qualificadas para ser creditadas nesta Seção, conforme determinado pelo Google periodicamente e divulgado ao Cliente mediante solicitação.

A seguir