Google Cloud Armor Enterprise 是一项代管式应用保护服务,有助于保护您的 Web 应用和服务免受分布式拒绝服务 (DDoS 攻击) 攻击和来自互联网的其他威胁。Cloud Armor Enterprise 有助于保护部署在 Google Cloud、本地或其他基础架构提供商上的应用。
Google Cloud Armor Standard 与 Cloud Armor Enterprise
Google Cloud Armor 提供两个服务层级,即 Standard 和 Cloud Armor Enterprise:
Google Cloud Armor Standard 包含以下内容:
- 随用随附的定价模式
- 在全球和区域负载均衡基础架构中提供始终有效的保护,以防范耗尽容量的 DDoS 攻击和基于协议的 DDoS 攻击
- 使用 Google Cloud Armor Web 应用防火墙 (WAF) 规则功能(包括为 OWASP 排名前 10 项保护功能预配置的 WAF 规则)。
Cloud Armor Enterprise 包含以下内容:
- Google Cloud Armor Standard 的所有功能
- 价格模式选择:Cloud Armor Enterprise Annual 或 Paygo
- 捆绑的 Google Cloud Armor WAF 用量,包括规则、政策和请求
- 第三方已命名 IP 地址列表
- Google Cloud Armor 的威胁情报
- 针对第 7 层端点的自动调节式保护
- 直通式端点的高级网络 DDoS 防护 - 外部直通式网络负载均衡器、协议转发和虚拟机 (VM) 实例的公共 IP 地址
- (仅限 Cloud Armor Enterprise Annual):使用 DDoS 攻击账单保护和 DDoS 攻击响应团队服务(需遵守额外的条件,请参阅参与 DDoS 响应支持)
- 对 DDoS 攻击可见性的访问权限
所有包含外部应用负载平衡器或外部代理网络负载平衡器的 Google Cloud 项目都会自动注册 Google Cloud Armor Standard。在结算帐号级层订阅 Cloud Armor Enterprise 后,用户可以选择在 Cloud Armor Enterprise 中注册与该结算帐号关联的各个项目。
下表汇总了两个服务层级。
| Google Cloud Armor 标准版 | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | 包年 | ||
| 结算方式 | Pay-as-you-go | Pay-as-you-go | 订阅(包含 12 个月合约期) |
| 价格 | 按每个请求每项政策的每条规则(请参阅价格) |
|
|
| DDoS 攻击防护 |
|
|
|
| 高级网络 DDoS 攻击防护 | 否 | 是 | |
| 网络边缘安全政策 | 否 | 是 | |
| Google Cloud Armor WAF | 按每个请求每项政策的每条规则(请参阅价格) | Paygo 福利 | 包含在包年方案内 |
| 资源限制 | 最高限额 | 最高限额 | 最高限额 |
| 承诺期 | 不适用 | 不适用 | 一年 |
| 已命名的 IP 地址列表 | |||
| 威胁情报 | |||
| Adaptive Protection | 仅限提醒 | ||
| DDoS 攻击的可见性 | 不适用 | ||
| DDoS 响应支持 | 不适用 | (享有高级支持服务) | |
| DDoS 账单保护 | 不适用 | ||
订阅 Cloud Armor Enterprise
如需使用 Cloud Armor Enterprise 中的其他服务和功能,您必须先注册 Cloud Armor Enterprise。您可以订阅 Cloud Armor Enterprise Annual 并注册单个项目,也可以直接在 Cloud Armor Enterprise Paygo 中注册项目。
我们强烈建议您尽快在 Cloud Armor Enterprise 中注册您的项目,因为激活最多可能需要 24 小时。
外部应用负载均衡器和外部代理网络负载均衡器
在 Cloud Armor Enterprise 中注册项目后,该项目中的转发规则会添加到注册中。此外,所有后端服务和后端存储分区均计为受保护的资源,并按 Cloud Armor Enterprise 的受保护资源费用计量。Cloud Armor Enterprise Annual 中的后端服务和后端存储分区汇总到一个结算帐号内所有已注册的项目中,而 Cloud Armor Enterprise Paygo 中的后端服务和后端存储分区则在该项目中汇总。
外部直通式网络负载均衡器、协议转发和公共 IP 地址(虚拟机)
Google Cloud Armor 提供以下选项来保护这些端点免受 DDoS 攻击:
- 标准网络 DDoS 攻击防护:为外部直通式网络负载均衡器、协议转发或具有公共 IP 地址的虚拟机提供基本的始终开启防护。这包括强制执行转发规则和自动速率限制。 这些内容在 Google Cloud Armor 标准版下介绍,不需要任何额外订阅。
- 高级网络 DDoS 攻击防护:为 Cloud Armor Enterprise 订阅者提供的额外保护。高级网络 DDoS 攻击防护按区域配置。为特定区域启用后,Google Cloud Armor 为该区域中的外部直通式网络负载均衡器、协议转发和具有公共 IP 地址的虚拟机提供始终开启的卷攻击检测和有针对性的缓解功能。
DDoS 响应支持
如需使用 Google Cloud Armor Enterprise 分布式拒绝服务攻击 (DDoS 攻击) 响应支持,您的项目必须注册 Cloud Armor Enterprise Annual。响应支持为保护所有 Google 服务的同一团队提供全天候帮助和潜在的自定义缓解措施,以抵御 DDoS 攻击。您可以在攻击期间参与响应支持,以帮助缓解攻击,也可以主动联系,为即将发生的大量事件或潜在病毒事件(可能会吸引大量访问者)做好计划。
参与 DDoS 攻击响应支持
您只要满足以下条件,即可创建支持请求并获得 Google Cloud Armor DDoS 响应支持团队的帮助:
- 您的结算帐号具有有效的 Cloud Armor Enterprise 包年订阅。
- 您的结算帐号具有 Cloud Customer Care 的付费帐号。
- 工作负载遭攻击的 Google Cloud 项目已注册 Cloud Armor Enterprise Annual。
- 如果您使用跨项目服务引用,则前端和后端服务项目都必须在 Cloud Armor Enterprise Annual 中注册。
如需参与 DDoS 攻击响应支持,请参阅创建 DDoS 攻击响应支持请求。
DDoS 账单保护
如需使用 Google Cloud Armor DDoS 攻击账单保护,您的项目必须注册 Cloud Armor Enterprise Annual。它提供赠金,用于抵扣经验证的 DDoS 攻击后,Cloud Load Balancing、Google Cloud Armor 以及网络互联网、区域间和可用区间出站数据传输产生的账单费用增加。如果已确认申请且已提供赠金,则赠金不能用于抵扣现有用量;这笔赠金只能用于未来用量。下表演示了 DDos 账单保护涵盖的资源:
| 端点类型 | 涵盖的用量增长 | |
|---|---|---|
|
Google Cloud Armor | Cloud Armor Enterprise 数据处理费 |
| 网络 | 出站数据传输 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载均衡器 | 入站数据处理费用 | |
| 出站流量数据处理费用 | ||
|
Google Cloud Armor | Cloud Armor Enterprise 数据处理费 |
| 网络 | 出站数据传输 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载均衡器 | 入站数据处理费用 | |
| 出站流量数据处理费用 |
如需获得 DDoS 账单保护,请参阅获得 DDoS 账单保护。
从 Cloud Armor 企业版降级
当您从 Cloud Armor Enterprise 中移除项目时,所有使用规则以及 Cloud Armor Enterprise 专有功能(高级规则)的安全政策都会被冻结。冻结的安全政策具有以下属性:
- Google Cloud Armor 会继续根据政策中的规则(包括所有高级规则)评估流量。
- 您无法将安全政策附加到新目标。
- 您只能对安全政策执行以下操作:
- 您可以删除安全政策规则。
- 如果不更改规则优先级,则可以更新高级规则,使其不再使用 Cloud Armor Enterprise 专有功能。如果您以这种方式修改所有高级规则,您的政策将不再被冻结。如需详细了解如何更新安全政策规则,请参阅更新安全政策中的单条规则。
您还可以重新注册 Cloud Armor Enterprise Annual 或 Cloud Armor Enterprise Paygo,以恢复对冻结安全政策的访问权限。
高级网络 DDoS 攻击防护
高级网络 DDoS 攻击防护功能仅适用于在 Cloud Armor Enterprise 中注册的项目。从 Cloud Armor Enterprise 移除具有有效的高级网络 DDoS 攻击政策的项目后,您仍然需要按照 Cloud Armor Enterprise 价格为该功能付费。
我们建议您在从 Cloud Armor Enterprise 取消注册项目之前删除所有高级网络 DDoS 防护规则,但在降级后,您也可以删除高级网络 DDoS 攻击防护规则。
条款和限制
Cloud Armor Enterprise 具有以下条款和限制:
- 一般情况:如果在 Cloud Armor Enterprise 中注册的项目在受保护的端点上遭受第三方拒绝服务攻击(以下简称“符合条件的攻击”),并且满足下一部分中所述的条件,则只要产生的涵盖费用超过最低阈值,Google 就会提供与涵盖的费用等额的赠金。由客户或代表客户执行的负载测试和安全评估不属于符合条件的攻击。
- 条件:客户必须在符合条件的攻击结束后 30 天内向 Cloud Billing 支持团队提交申请。请求必须包含符合条件的攻击的证据,例如表明攻击时间、受攻击项目和资源的日志或其他遥测数据,以及所产生的涵盖费用的估算值。Google 会合理确定赠金是否到期以及相应的金额。文档中介绍了特定 Google Cloud Armor 功能的其他条件。
- 赠金:就本条规定提供给客户的任何赠金均不具有现金价值,只能用于抵消服务将来的费用。这些赠金将在发放 12 个月后、在协议终止或到期后过期。
- 定义:
- 涵盖的费用:客户因以下合格攻击直接产生的任何费用:
- Google Cloud Load Balancingr 服务的入站和出站数据处理。
- 适用于 Google Cloud Armor 服务的 Google Cloud Armor Enterprise 数据处理。
- 网络出站流量,包括区域间、可用区间、互联网和运营商对等互连出站流量。
- 最低起付金额:根据本条规定,符合返还条件的涵盖费用的最低金额,由 Google 不时确定,并按要求披露给客户。
- 涵盖的费用:客户因以下合格攻击直接产生的任何费用: