Cloud Armor Enterprise の概要

Google Cloud Armor Enterprise は、分散型サービス拒否(DDoS)攻撃やその他のインターネット脅威からウェブ アプリケーションとサービスを保護するマネージド アプリケーション保護サービスです。Cloud Armor Enterprise は、Google Cloud、オンプレミス、その他インフラストラクチャ プロバイダにデプロイされたアプリケーションを保護するのに役立ちます。

Google Cloud Armor Standard と Cloud Armor Enterprise

Google Cloud Armor には、Standard と Cloud Armor Enterprise の 2 つのサービスティアがあります。

  • Google Cloud Armor Standard には、以下が含まれています。

    • 従量制課金モデル
    • グローバルかつリージョン単位で負荷分散されたインフラストラクチャ全体での、ボリューム型およびプロトコル ベースの DDoS 攻撃からの常時阻止
    • Google Cloud Armor ウェブ アプリケーション ファイアウォール(WAF)ルール機能(OWASP トップ 10 保護の事前構成済み WAF ルールを含む)へのアクセス

  • Cloud Armor Enterprise には、以下が含まれています。

外部アプリケーション ロードバランサや外部プロキシ ネットワーク ロードバランサを含むすべての Google Cloud プロジェクトは、Google Cloud Armor Standard に自動的に登録されます。請求先アカウント レベルで Cloud Armor Enterprise に登録すると、請求先アカウントに関連付けられた個々のプロジェクトを Cloud Armor Enterprise に登録できるようになります。

次の表は、2 種類のティアの概要をまとめたものです。

Google Cloud Armor Standard Cloud Armor Enterprise
Paygo 年単位
請求方法 従量課金制 従量課金制 契約期間 12 か月のサブスクリプション
料金 ポリシーごと、ルールごと、リクエストごと(料金を参照)
  • プロジェクトあたり月額 $200
  • 最初の 2 個のリソースを超えると保護対象リソースあたり月額 $200
  • 請求先アカウントあたり月額 $3,000
  • 最初の 100 個のリソースを超えると保護対象リソースあたり月額 $30
DDoS 攻撃対策
  • 外部アプリケーション ロードバランサ
  • 外部プロキシ ネットワーク ロードバランサ
  • 外部アプリケーション ロードバランサ
  • 外部プロキシ ネットワーク ロードバランサ
  • 外部パススルー ネットワーク ロードバランサ
  • プロトコル転送
  • パブリック IP アドレス(VM)
高度なネットワーク DDoS 対策 × あり
ネットワーク エッジのセキュリティ ポリシー いいえ
Google Cloud Armor WAF ポリシーごと、ルールごと、リクエストごと(料金を参照) Paygo に含まれる 年間に含まれる
リソースの上限 割り当て上限まで 割り当て上限まで 割り当て上限まで
時間のコミットメント なし なし 1 年
名前付き IP アドレスリスト
脅威インテリジェンス
適応型保護 アラートのみ
DDoS 攻撃の可視性 なし
DDoS 対応サポート なし (プレミアム サポート付き)
DDoS 請求対策 なし

Cloud Armor Enterprise に登録する

Cloud Armor Enterprise で追加のサービスや機能を使用するには、まず Cloud Armor Enterprise に登録する必要があります。Cloud Armor Enterprise(年間)のサブスクリプションに登録して個々のプロジェクトを登録することも、Cloud Armor Enterprise Paygo で直接プロジェクトを登録することもできます。

有効化には最長で 24 時間ほどかかることがあるため、できるだけ早く Cloud Armor Enterprise にプロジェクトを登録することを強くおすすめします。

外部アプリケーション ロードバランサと外部プロキシ ネットワーク ロードバランサ

プロジェクトが Cloud Armor Enterprise に登録されると、プロジェクト内の転送ルールが登録に追加されます。さらに、すべてのバックエンド サービスとバックエンド バケットは保護されたリソースとしてカウントされ、Cloud Armor Enterprise で保護されたリソースの費用として課金されます。Cloud Armor Enterprise(年間)のバックエンド サービスとバックエンド バケットは、請求先アカウント内のすべての登録済みプロジェクトで集計されます。一方、Cloud Armor Enterprise Paygo のバックエンド サービスとバックエンド バケットはプロジェクト内で集計されます。

外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレス(VM)

Google Cloud Armor には、これらのエンドポイントを DDoS 攻撃から保護するための次のオプションが用意されています。

  • 標準のネットワーク DDoS 対策: 外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレスを持つ VM に対して常時有効な基本的な保護対策です。これには、転送ルールの適用と自動レート制限などが含まれます。 これは Google Cloud Armor Standard の対象であり、追加のサブスクリプションは必要ありません。
  • 高度なネットワーク DDoS 対策: Cloud Armor Enterprise サブスクライバー向けの追加の保護対策です。高度なネットワーク DDoS 対策はリージョン単位で構成します。特定のリージョンで有効にすると、Google Cloud Armor は、外部パススルー ネットワーク ロードバランサ、プロトコル転送、そのリージョンのパブリック IP アドレスを持つ VM に対して常時有効な保護対策を提供し、ボリューム型の攻撃を検出して軽減します。

DDoS 対応サポート

Google Cloud Armor Enterprise 分散型サービス拒否(DDoS)対応サポートでは、Cloud Armor Enterprise(年間)にプロジェクトを登録する必要があります。レスポンス対応は、すべての Google サービスを保護しているチームが、24 時間 365 日体制のサポートと、DDoS 攻撃に対するお客様に合わせた対策を提供します。攻撃発生時に対応サポートを利用することで、攻撃を回避できます。また、積極的にサポートを利用し、今後発生する可能性のある大規模な攻撃やウイルス感染(異常な量のサイト訪問者など)に備えることもできます。

DDoS 対応サポートを利用する

ケースを開いて、Google Cloud Armor DDoS 対応サポートチームのサポートを利用するには、次の基準を満たしている必要があります。

  • 請求先アカウントに有効な Cloud Armor Enterprise(年間)サブスクリプションがある。
  • 請求先アカウントに Cloud カスタマーケアのプレミアム アカウントがある。
  • 攻撃対象のワークロードを含む Google Cloud プロジェクトが、Cloud Armor Enterprise(年間)に登録されています。
    • プロジェクト間のサービス参照を使用する場合は、フロントエンドとバックエンドの両方のサービス プロジェクトが Cloud Armor Enterprise(年間)に登録されている

DDoS 対応サポートを利用するには、DDoS 対応サポートケースを開くをご覧ください。

DDoS 請求対策

Google Cloud Armor DDoS 請求対策を利用するには、プロジェクトを Cloud Armor Enterprise(年間)に登録する必要があります。Cloud Load Balancing、Google Cloud Armor、ネットワーク インターネット、リージョン間、ゾーン間の送信データ転送で確認済みの DDoS 攻撃が原因で発生したトラフィックの増加分について、Google Cloud の今後の使用量に充当できるクレジットを提供します。クレームが認識され、クレジットが提供された場合、クレジットを使用して既存の使用量を相殺することはできません。このクレジットは将来の使用量にのみ適用できます。次の表に、DDos 請求対策の対象となるリソースを示します。

エンドポイントのタイプ 対象となるユーザー数の増加
  • 外部アプリケーション ロードバランサ
  • 外部プロキシ ネットワーク ロードバランサ
 Google Cloud Armor Cloud Armor Enterprise のデータ処理料金
ネットワーク 送信データ転送
リージョン間
ゾーン間
キャリア ピアリング
ロードバランサ 受信データ処理の料金
アウトバウンド データ処理料金
  • 外部パススルー ネットワーク ロードバランサ
  • プロトコル転送
  • パブリック IP アドレス(VM)
 Google Cloud Armor Cloud Armor Enterprise のデータ処理料金
ネットワーク 送信データ転送
リージョン間
ゾーン間
キャリア ピアリング
ロードバランサ 受信データ処理の料金
アウトバウンド データ処理料金

DDoS 請求対策については、DDoS 請求対策の利用をご覧ください。

Cloud Armor Enterprise からのダウングレード

Cloud Armor Enterprise からプロジェクトを削除すると、Cloud Armor Enterprise 専用の機能(高度なルール)でルールを使用するセキュリティ ポリシーはすべて凍結されます。フリーズされたセキュリティ ポリシーには次の特性があります。

  • Google Cloud Armor は、高度なルールを含め、ポリシーのルールに対してトラフィックを引き続き評価します。
  • セキュリティ ポリシーを新しいターゲットに接続することはできません。
  • セキュリティ ポリシーに対して次の操作のみを行うことができます。

Cloud Armor Enterprise(年間)または Cloud Armor Enterprise Paygo に再登録して、凍結されたセキュリティ ポリシーへのアクセスを復元することもできます。

高度なネットワーク DDoS 対策

高度なネットワーク DDoS 対策は、Cloud Armor Enterprise に登録されているプロジェクトでのみ使用できます。Cloud Armor Enterprise から有効な高度なネットワーク DDoS ポリシーを含むプロジェクトを削除しても、Cloud Armor Enterprise の料金に基づいて機能の料金が請求されます。

Cloud Armor Enterprise からプロジェクトを登録解除する前に、高度なネットワーク DDoS 対策ルールを削除することをおすすめします。ただし、ダウングレード後に高度なネットワーク DDoS 保護ルールを削除することもできます。

利用規約と制限事項

Cloud Armor Enterprise には、以下の利用規約と制限事項があります。

  • 通常: Cloud Armor Enterprise に登録されたプロジェクトで、保護されたエンドポイントに対するサービス拒否攻撃(「対象攻撃」)が発生し、かつ次のセクションで説明する条件を満たしている場合、Google は最小しきい値を超えて発生した対象料金に相当するクレジットを提供します。お客様またはお客様の代理で実施された負荷テストおよびセキュリティ評価は対象攻撃に該当しません。
  • 条件: お客様は、対象攻撃の終了後 30 日以内に Cloud Billing サポートにリクエストを送信する必要があります。リクエストには、対象攻撃の証拠(攻撃の発生時刻、攻撃されたプロジェクトとリソースなどを示すログやテレメトリーなど)と、発生した対象料金の見積もりを含める必要があります。Google は、クレジットが正当であるかどうかを審査し、適切な金額を決定します。特定の Google Cloud Armor 機能に関するその他の条件は、ドキュメントに記載されています。
  • クレジット: 本項に関連してお客様に提供されるクレジットは、Google Cloud サービスの今後の使用料金に対してのみ相殺可能です。このクレジットは、発行から 12 か月後、または本契約の終了または満了時に有効期限が切れます。
  • 定義:
    • 対象料金: 対象攻撃の直接的な結果としてお客様が支払う料金。以下が表示されます。
      • Google Cloud Load Balancing Service の上り(内向き)データ処理と送信データ処理。
      • Google Cloud Armor サービス用の Google Cloud Armor Enterprise データ処理。
      • ネットワーク下り(外向き)。リージョン間、ゾーン間、インターネット、キャリア ピアリングによる下り(外向き)を含みます。
    • 最小しきい値: 本項に基づいてクレジットの対象となる対象料金の最低金額を意味します。この金額は Google が随時決定し、お客様のリクエストに応じて開示します。

次のステップ