A proteção gerenciada do Google Cloud Armor é o serviço de proteção de aplicativos gerenciados que ajuda a proteger seus aplicativos e serviços da Web contra ataques distribuídos de negação de serviço (DDoS) e outras ameaças da Internet. A proteção gerenciada ajuda a proteger aplicativos implantados no Google Cloud, no local ou em outros provedores de infraestrutura.
Google Cloud Armor Standard vs. Managed Protection Plus
O Google Cloud Armor é oferecido em dois níveis de serviço: Standard e Managed Protection Plus:
O Google Cloud Armor Standard inclui o seguinte:
- Um modelo de preços de pagamento por utilização.
- Proteção sempre contra ataques DDoS volumétricos e baseados em protocolo em sua infraestrutura com balanceamento de carga global e regional
- Acesso aos recursos de regra de firewall de aplicativos da Web (WAF) do Google Cloud Armor, incluindo regras WAF predefinidas para proteção compatível com o OWASP Top 10
O Managed Protection Plus inclui o seguinte:
- Todos os recursos do Google Cloud Armor Standard
- Opções de modelos de preços: Managed Protection Plus anual ou Paygo
- Uso do pacote WAF do Google Cloud Armor em pacote, incluindo regras, política e solicitações
- Listas de endereços IP nomeados de terceiros
- Inteligência de ameaças para o Google Cloud Armor
- Proteção adaptável para endpoints da camada 7
- Proteção avançada contra DDoS de rede para endpoints de passagem: balanceadores de carga de rede, encaminhamento de protocolo e endereços IP públicos para instâncias de máquina virtual (VM)
- (Somente Managed Protection Plus anual): acesso à proteção de faturamento contra DDoS e serviços da equipe de resposta a DDoS
- Acesso à visibilidade do ataque de DDoS
Todos os projetos do Google Cloud que incluem um balanceador de carga de aplicativo externo ou um balanceador de carga de rede de proxy externo são automaticamente registrados no Google Cloud Armor Standard. Depois de assinar o Managed Protection Plus no nível da conta de faturamento, os usuários podem optar por inscrever projetos individuais anexados à conta de faturamento no Managed Protection Plus.
A tabela a seguir resume os dois níveis de serviço.
Google Cloud Armor Standard | Managed Protection Plus | ||
---|---|---|---|
Paygo | Anual | ||
Método de faturamento | Pay-as-you-go | Pay-as-you-go | Assinatura com compromisso de 12 meses |
Preços | Por política, por regra e por solicitação (consulte Preços) |
|
|
Proteção contra ataques DDoS |
|
|
|
Proteção avançada contra DDoS de rede | No | Sim | |
Políticas de segurança de borda de rede | No | Sim | |
WAF do Google Cloud Armor | Por política, por regra e por solicitação (consulte Preços) | Incluído no Paygo | Incluído na assinatura anual |
Limites de recursos | Até o limite da cota | Até o limite da cota | Até o limite da cota |
Compromisso com tempo mínimo | N/A | N/A | Um ano |
Listas de endereços IP nomeados | |||
Inteligência contra ameaças | |||
Proteção adaptativa | Somente alertas | ||
Visibilidade de ataque de DDoS | N/A | ||
Compatibilidade com respostas DDoS | N/A | (com Suporte Premium) | |
Proteção de faturamento para DDoS | N/A |
Assinar a Managed Protection Plus
Para usar os serviços e recursos adicionais do Managed Protection Plus, você precisa se inscrever no Managed Protection Plus. Você pode assinar o Managed Protection Plus anual e registrar projetos individuais, ou registrar um projeto diretamente no Managed Protection Plus Paygo.
Recomendamos que você inscreva seus projetos no nível do Managed Protection Plus o mais rápido possível, porque a ativação pode levar até 24 horas.
Balanceador de carga de aplicativo externo e balanceador de carga de rede proxy externo
Depois que um projeto é inscrito no Managed Protection Plus, as regras de encaminhamento no projeto são adicionadas ao registro. Além disso, todos os serviços e buckets de back-end são contados como recursos protegidos e são medidos em relação ao custo desses recursos. Os serviços e buckets de back-end no Managed Protection Plus anual são agregados em todos os projetos inscritos em uma conta de faturamento, enquanto os serviços e buckets de back-end no Managed Protection Plus Paygo são agregados no projeto.
Passagem externa do balanceador de carga de rede, encaminhamento de protocolo e endereços IP públicos (VMs)
O Google Cloud Armor oferece as opções a seguir para proteger esses endpoints contra ataques DDoS:
- Proteção padrão contra DDoS de rede: proteção básica sempre ativada para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos. Isso inclui a aplicação da regra de encaminhamento e a limitação de taxa automática. Ela é coberta pelo Google Cloud Armor Standard e não requer outras assinaturas.
- Proteção avançada contra DDoS de rede: proteções adicionais para assinantes do Managed Protection Plus. A proteção avançada contra DDoS da rede é configurada por região. Quando ativado para uma região específica, o Google Cloud Armor fornece detecção e mitigação direcionada de ataques volumétricos sempre ativadas para balanceadores de carga de rede, encaminhamento de protocolo e VMs com endereços IP públicos nessa região.
Compatibilidade com respostas DDoS
O suporte à resposta a negação de serviço (DDoS) distribuído pelo Google Cloud Armor exige que seu projeto esteja inscrito no Managed Protection Plus anual. O suporte de resposta oferece ajuda 24 horas e possíveis mitigações personalizadas de ataques DDoS da mesma equipe que protege todos os serviços do Google. É possível usar o suporte de resposta durante um ataque para ajudar a atenuá-lo ou entrar em contato proativamente para planejar um grande volume ou um evento potencialmente viral, que pode atrair uma quantidade excepcionalmente alta de visitantes.
Interaja com o suporte de resposta a DDoS
Os critérios a seguir qualificam você para abrir um caso e receber ajuda da equipe de suporte de resposta a DDoS do Google Cloud Armor:
- Sua conta de faturamento tem uma assinatura anual ativa do Managed Protection Plus.
- Sua conta de faturamento tem uma conta Premium para o Cloud Customer Care.
- O projeto do Google Cloud com a carga de trabalho que está sob ataque é
registrado no Managed Protection Plus anual.
- Se você usar a referência de serviços entre projetos, os projetos de serviço de front-end e back-end precisarão estar inscritos no Managed Protection Plus anual.
Para receber suporte de resposta a DDoS, consulte Abrir um caso de suporte de resposta a DDoS.
Proteção de faturamento para DDoS
A proteção de fatura contra DDoS do Google Cloud Armor exige que seu projeto esteja inscrito no Managed Protection Plus anual. Ele fornece créditos para uso futuro do Google Cloud para alguns aumentos nas faturas do Cloud Load Balancing, Google Cloud Armor e transferência de dados de rede de Internet, entre regiões e entre zonas como resultado de um ataque DDoS verificado. Se uma declaração for reconhecida e um crédito for fornecido, o crédito não poderá ser usado para compensar o uso existente; o crédito só poderá ser aplicado no futuro. A tabela a seguir demonstra quais recursos são cobertos pela proteção de faturamento de DDos:
Endpoint Type | Aumento do uso coberto | |
---|---|---|
|
Google Cloud Armor | Taxa de processamento de dados da Proteção gerenciada |
Rede | Transferência de dados de saída | |
Entre regiões | ||
Entre zonas | ||
Peering de operadora | ||
Balanceador de carga | Taxa de processamento de dados de entrada | |
Taxa de processamento de dados de saída | ||
|
Google Cloud Armor | Taxa de processamento de dados da Proteção gerenciada |
Rede | Transferência de dados de saída | |
Entre regiões | ||
Entre zonas | ||
Peering de operadora | ||
Balanceador de carga | Taxa de processamento de dados de entrada | |
Taxa de processamento de dados de saída |
Para envolver a proteção de conta de DDoS, consulte Como envolver a proteção de contas de DDoS.
Fazer downgrade do Managed Protection Plus
Quando você remove um projeto do Managed Protection Plus, todas as políticas de segurança que usam regras com recursos exclusivos do Managed Protection Plus (regras avançadas) são congeladas. As políticas de segurança congeladas têm as seguintes propriedades:
- O Google Cloud Armor continua avaliando o tráfego em relação às regras da política, incluindo regras avançadas.
- Não é possível anexar a política de segurança a novos destinos.
- Só é possível realizar as seguintes operações na política de segurança:
- Você pode excluir regras da política de segurança.
- Se você não mudar a prioridade da regra, será possível atualizar as regras avançadas para que elas não usem mais recursos exclusivos da proteção gerenciada Plus. Se você modificar todas as regras avançadas dessa maneira, sua política não será mais congelada. Para mais informações sobre como atualizar as regras da política de segurança, consulte Atualizar uma única regra em uma política de segurança.
Você também pode se inscrever novamente no Managed Protection Plus anual ou no Managed Protection Plus Paygo para restaurar o acesso às suas políticas de segurança congeladas.
Proteção avançada contra DDoS de rede
A proteção avançada contra DDoS de rede só está disponível para projetos inscritos no Managed Protection Plus. Quando você remove um projeto com uma política contra DDoS de rede avançada ativa do Managed Protection Plus, ainda é cobrado pelo recurso com base nos preços do Managed Protection Plus.
Recomendamos que você exclua todas as regras avançadas de proteção contra DDoS de rede antes de cancelar a inscrição do projeto no Managed Protection Plus. Também é possível excluir essas regras após o downgrade.
Termos e limitações
O Managed Protection Plus tem os seguintes termos e limitações:
- Geralmente: se um projeto inscrito no Managed Protection Plus sofrer um ataque de negação de serviço de terceiros em um endpoint protegido ("Ataque qualificado") e as condições descritas na próxima seção forem atendidas, o Google fornecerá um crédito equivalente às Tarifas cobertas, desde que as Taxas cobertas incorridas excedam o Limite mínimo. Os testes de carga e as avaliações de segurança realizadas pelo Cliente ou em nome dele não são ataques qualificados.
- Condições: o cliente precisa enviar uma solicitação ao Suporte do Faturamento do Cloud dentro de 30 dias após o fim do Ataque Qualificado. A solicitação precisa incluir evidências do ataque qualificado, como registros ou outra telemetria indicando o momento do ataque e os projetos e recursos que foram atacados, além de uma estimativa das Taxas Cobertas incorridas. O Google determinará razoavelmente se os créditos são devidos e o valor apropriado. Outras condições para recursos específicos do Google Cloud Armor estão incluídas na documentação.
- Créditos: todos os créditos fornecidos ao Cliente em relação a esta Seção não têm valor monetário e só podem ser aplicados para compensar Tarifas futuras pelos Serviços. Esses créditos expiram 12 meses após a emissão ou após a rescisão ou expiração do Contrato.
- Definições:
- Tarifas cobertas: qualquer taxa incorrida pelo Cliente como resultado direto do
ataque qualificado para o seguinte:
- Processamento de dados de entrada e saída para o serviço do balanceador de carga do Google Cloud.
- Processamento de dados Plus de proteção gerenciada do Google Cloud Armor para o serviço do Google Cloud Armor.
- Saída de rede, incluindo saída entre regiões, zonas, Internet e peering por operadora
- Limite mínimo: o valor mínimo das Tarifas Cobertas qualificadas para crédito de acordo com esta Seção, conforme determinado pelo Google periodicamente e divulgado ao Cliente mediante solicitação.
- Tarifas cobertas: qualquer taxa incorrida pelo Cliente como resultado direto do
ataque qualificado para o seguinte:
A seguir
- Inscrever-se e assinar projetos no Managed Protection Plus
- Resolver problemas
- Usar a referência de linguagem das regras personalizadas