Google Cloud Armor Enterprise est le service géré de protection des applications qui contribue à protéger vos applications et services Web contre les attaques par déni de service distribué (DDoS) et d'autres menaces provenant d'Internet. Cloud Armor Enterprise contribue à protéger les applications déployées sur Google Cloud, sur site ou auprès d'autres fournisseurs d'infrastructure.
Google Cloud Armor Standard et Cloud Armor Enterprise
Google Cloud Armor est proposé avec deux niveaux de service, Standard et Cloud Armor Enterprise:
Google Cloud Armor Standard comprend les éléments suivants:
- Un modèle de paiement à l'usage
- Protection permanente contre les attaques DDoS volumétriques et basées sur un protocole, sur votre infrastructure à équilibrage de charge au niveau mondial et régional
- Accès aux fonctionnalités des règles de pare-feu d'application Web (WAF) Google Cloud Armor, y compris aux règles WAF préconfigurées pour la protection OWASP Top 10
Cloud Armor Enterprise comprend les éléments suivants:
- Toutes les fonctionnalités de Google Cloud Armor Standard
- Choix du modèle de tarification: Cloud Armor Enterprise annuel ou Paygo
- Utilisation groupée du WAF Google Cloud Armor, y compris les règles, les stratégies et les requêtes
- Listes d'adresses IP nommées tierces
- Threat Intelligence pour Google Cloud Armor
- Adaptive Protection pour les points de terminaison de couche 7
- Protection DDoS avancée du réseau pour les points de terminaison passthrough : équilibreurs de charge réseau passthrough externes, transfert de protocole et adresses IP publiques pour les instances de machines virtuelles (VM)
- (Cloud Armor Enterprise annuel uniquement): Accès à la protection des factures contre les attaques DDoS et aux services d'équipe de réponse aux attaques DDoS (des conditions supplémentaires s'appliquent, consultez la section Engager l'assistance pour la réponse DDoS)
- Accès à la visibilité sur les attaques DDoS
Tous les projets Google Cloud qui incluent un équilibreur de charge d'application externe ou un équilibreur de charge réseau proxy externe sont automatiquement enregistrés dans Google Cloud Armor Standard. Une fois abonné à Cloud Armor Enterprise au niveau du compte de facturation, les utilisateurs peuvent choisir d'enregistrer des projets individuels associés au compte de facturation dans Cloud Armor Enterprise.
Le tableau suivant récapitule les deux niveaux de service .
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuel | ||
| Mode de facturation | Pay-as-you-go | Pay-as-you-go | Abonnement avec engagement de 12 mois |
| Tarification | Par stratégie, par règle, par requête (consultez la page Tarifs) |
|
|
| Protection contre les attaques DDoS |
|
|
|
| Protection DDoS avancée du réseau | Non | Oui | |
| Règles de sécurité en périphérie du réseau | Non | Oui | |
| WAF Google Cloud Armor | Par stratégie, par règle, par requête (consultez la page Tarifs) | Inclus avec Paygo | Inclus avec le forfait annuel |
| Limites de ressources | Jusqu'à la limite de quota | Jusqu'à la limite de quota | Jusqu'à la limite de quota |
| Engagement de temps | Non disponible | Non disponible | Un an |
| Listes d'adresses IP nommées | |||
| Renseignement sur les menaces | |||
| Adaptive Protection | Alertes uniquement | ||
| Visibilité de l'attaque DDoS | Non disponible | ||
| Assistance de gestion des attaques DDoS | Non disponible | (avec l'assistance Premium) | |
| Protection des factures contre les attaques DDoS | Non disponible | ||
S'abonner à Cloud Armor Enterprise
Pour utiliser les services et fonctionnalités supplémentaires de Cloud Armor Enterprise, vous devez d'abord vous inscrire à Cloud Armor Enterprise. Vous pouvez vous abonner à Cloud Armor Enterprise annuel et enregistrer des projets individuels, ou enregistrer un projet directement dans Cloud Armor Enterprise Paygo.
Nous vous recommandons vivement d'enregistrer vos projets dans Cloud Armor Enterprise dès que possible, car l'activation peut prendre jusqu'à 24 heures.
Équilibreur de charge d'application externe et équilibreur de charge réseau proxy externe
Une fois qu'un projet est enregistré dans Cloud Armor Enterprise, les règles de transfert du projet sont ajoutées à l'enregistrement. En outre, tous les services de backend et buckets backend sont comptabilisés comme des ressources protégées et sont facturés à l'usage pour le coût des ressources protégées par Cloud Armor Enterprise. Les services de backend et les buckets backend dans Cloud Armor Enterprise annuel sont agrégés pour tous les projets enregistrés dans un compte de facturation, tandis que les services de backend et les buckets backend dans Cloud Armor Enterprise Paygo sont agrégés au sein du projet.
Équilibreur de charge réseau passthrough externe, transfert de protocole et adresses IP publiques (VM)
Google Cloud Armor propose les options suivantes pour protéger ces points de terminaison contre les attaques DDoS:
- Protection standard contre les attaques DDoS sur le réseau: protection de base toujours activée pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole ou les VM avec des adresses IP publiques. Cela inclut l'application des règles de transfert et la limitation automatique du débit. Cette fonctionnalité est couverte par Google Cloud Armor Standard et ne nécessite aucun abonnement supplémentaire.
- Protection DDoS avancée du réseau: protections supplémentaires pour les abonnés Cloud Armor Enterprise. La protection DDoS avancée du réseau est configurée pour chaque région. Lorsqu'il est activé pour une région spécifique, Google Cloud Armor offre une détection permanente des attaques volumétriques et une atténuation ciblée pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole et les VM ayant des adresses IP publiques dans cette région.
Assistance de gestion des attaques DDoS
Pour bénéficier d'une réponse aux attaques par déni de service distribué (DDoS) de Google Cloud Armor Enterprise, votre projet doit être inscrit à Cloud Armor Enterprise annuel. Le service d'assistance de réponse fournit une aide 24h/24, 7j/7 et des mesures d'atténuation personnalisées potentielles contre les attaques DDoS provenant de l'équipe qui protège tous les services Google. Vous pouvez faire appel à un service d'assistance lors d'une attaque pour limiter l'attaque, ou contacter de manière proactive pour planifier un événement à venir très important ou potentiellement viral (qui pourrait attirer un nombre anormalement élevé de visiteurs).
Engager le service d'assistance de la réponse DDoS
Pour déposer une demande d'assistance et bénéficier de l'aide de l'équipe d'assistance de Google Cloud Armor de réponse aux attaques DDoS, les critères suivants sont les suivants:
- Votre compte de facturation dispose d'un abonnement annuel Cloud Armor Enterprise actif.
- Votre compte de facturation dispose d'un compte Premium pour Cloud Customer Care.
- Le projet Google Cloud dont la charge de travail est attaquée est enregistré dans Cloud Armor Enterprise annuel.
- Si vous utilisez le référencement de service multiprojet, les projets de service d'interface et de backend doivent être inscrits à Cloud Armor Enterprise annuel.
Pour bénéficier d'une assistance concernant la réponse DDoS, consultez la page Ouvrir une demande d'assistance pour la réponse aux attaques DDoS.
Protection des factures contre les attaques DDoS
La protection des factures contre les attaques DDoS de Google Cloud Armor nécessite l'inscription de votre projet au service Cloud Armor Enterprise annuel. Des crédits sont accordés pour l'utilisation future de Google Cloud en cas d'augmentation des factures de Cloud Load Balancing, de Google Cloud Armor et du transfert de données sortant via le réseau, interrégional et interzone à la suite d'une attaque DDoS vérifiée. Si une demande est reconnue et qu'un crédit est fourni, celui-ci ne peut pas être utilisé pour compenser l'utilisation existante. Le crédit ne peut être appliqué qu'à une utilisation future. Le tableau suivant montre les ressources couvertes par la protection des factures contre les attaques DDoS :
| Endpoint Type (Type de point de terminaison) | Augmentation de l'utilisation couverte | |
|---|---|---|
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortantes | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes | ||
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortantes | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes |
Pour en savoir plus sur la protection des factures contre les attaques DDoS, consultez la page Impliquer la protection des factures contre les attaques DDoS.
Passer à une édition inférieure depuis Cloud Armor Enterprise
Lorsque vous supprimez un projet de Cloud Armor Enterprise, toutes les stratégies de sécurité qui utilisent des règles avec des fonctionnalités exclusives de Cloud Armor Enterprise (règles avancées) sont bloquées. Les stratégies de sécurité figées ont les propriétés suivantes:
- Google Cloud Armor continue d'évaluer le trafic en fonction des règles de la stratégie, y compris les règles avancées.
- Vous ne pouvez pas associer la stratégie de sécurité à de nouvelles cibles.
- Vous ne pouvez effectuer que les opérations suivantes sur la stratégie de sécurité :
- Vous pouvez supprimer des règles de stratégie de sécurité.
- Si vous ne modifiez pas la priorité des règles, vous pouvez mettre à jour les règles avancées afin qu'elles n'utilisent plus les fonctionnalités exclusives de Cloud Armor Enterprise. Si vous modifiez toutes les règles avancées de cette manière, votre stratégie n'est plus bloquée. Pour en savoir plus sur la mise à jour des règles de stratégie de sécurité, consultez la section Mettre à jour une seule règle dans une stratégie de sécurité.
Vous pouvez également vous réinscrire à Cloud Armor Enterprise annuel ou Cloud Armor Enterprise Paygo pour restaurer l'accès à vos règles de sécurité figées.
Protection DDoS avancée du réseau
La protection DDoS avancée du réseau n'est disponible que pour les projets enregistrés dans Cloud Armor Enterprise. Lorsque vous supprimez de Cloud Armor Enterprise un projet associé à une règle DDoS avancée de réseau active, cette fonctionnalité vous est toujours facturée sur la base des tarifs de Cloud Armor Enterprise.
Nous vous recommandons de supprimer toutes les règles DDoS avancées du réseau avant de résilier l'enregistrement de votre projet dans Cloud Armor Enterprise. Toutefois, vous pouvez également supprimer les règles DDoS avancées du réseau après le retour à une version antérieure.
Conditions et limites
Les conditions et limites suivantes s'appliquent à Cloud Armor Enterprise:
- Généralités: si un Projet inscrit à Cloud Armor Enterprise fait l'objet d'une attaque par déni de service tiers sur un point de terminaison protégé ("Attaque qualifiée") et que les conditions décrites dans la section suivante sont remplies, Google octroie un crédit équivalent aux Frais couverts, à condition que les Frais couverts encourus dépassent le Seuil minimal. Les tests de charge et les évaluations de sécurité effectués par ou pour le compte du Client ne sont pas considérés comme des attaques qualifiées.
- Conditions: le Client doit envoyer une demande à l'Assistance Cloud Billing dans les 30 jours suivant la fin de l'Attaque qualifiée. La requête doit inclure des preuves de l'attaque qualifiée, telles que des journaux ou d'autres données de télémétrie indiquant la chronologie de l'attaque, ainsi que les projets et ressources attaqués, ainsi qu'une estimation des Frais couverts encourus. Google déterminera raisonnablement si des crédits sont à payer et le montant approprié. D'autres conditions pour des fonctionnalités particulières de Google Cloud Armor sont incluses dans la Documentation.
- Crédits: les crédits accordés au Client en vertu de la présente Section n'ont aucune valeur monétaire et ne peuvent être utilisés que pour compenser les futurs Frais liés aux Services. Ces crédits expirent 12 mois après leur émission, ou à la résiliation ou à l'expiration du Contrat.
- Définitions :
- Frais couverts: Frais encourus par le Client en raison de l'Attaque qualifiée pour :
- Traitement des données d'Ingress et sortantes pour le service d'équilibrage de charge Google Cloud
- Traitement des données Google Cloud Armor Enterprise pour le service Google Cloud Armor
- Sortie réseau, y compris interrégional, interzone, Internet et sortie d'appairage opérateur
- Seuil minimal: montant minimal des Frais couverts qui peuvent être crédités en vertu de la présente Section, tel que déterminé par Google de temps en temps et divulgué au Client sur demande.
- Frais couverts: Frais encourus par le Client en raison de l'Attaque qualifiée pour :
Étapes suivantes
- S'abonner à des projets et les enregistrer dans Cloud Armor Enterprise
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées