Google Cloud Armor Enterprise es el servicio de protección de aplicaciones que ayuda a proteger tus aplicaciones y servicios web de ataques de denegación de servicio distribuido (DSD) y otras amenazas de Internet. Cloud Armor Enterprise ayuda a proteger las aplicaciones implementadas en Google Cloud, de forma local o en otros proveedores de infraestructura.
Google Cloud Armor Standard en comparación con Cloud Armor Enterprise
Google Cloud Armor se ofrece en dos niveles de servicio: Standard y Cloud Armor Enterprise.
Google Cloud Armor Standard incluye lo siguiente:
- Un modelo de precios de pago por uso
- Protección siempre encendida contra ataques DSD volumétricos y basados en protocolos, con mitigaciones intercaladas automatizadas en tiempo real y sin impacto en la latencia en los siguientes tipos de infraestructura:
- Balanceador de cargas de aplicaciones externo global (HTTP/HTTPS)
- Balanceador de cargas de aplicaciones clásico (HTTP/HTTPS)
- Balanceador de cargas de aplicaciones externo regional (HTTP/HTTPS)
- Balanceador de cargas de red de transferencia externo
- Balanceador de cargas de red del proxy externo global (TCP/SSL)
- Cloud CDN
- Media CDN
- Integración con Cloud CDN y Media CDN
- Acceso a las capacidades de las reglas del firewall de aplicación web (WAF) de Google Cloud Armor, incluidas las reglas de WAF preconfiguradas para la protección de los 10 principales riesgos de OWASP
Cloud Armor Enterprise incluye lo siguiente:
- Todas las funciones de Google Cloud Armor Standard
- Elección de modelos de precios: Cloud Armor Enterprise anual o con pago por uso
- Uso del WAF de Google Cloud Armor incluido, incluidas las reglas, la política y las solicitudes
- Listas de direcciones IP con nombre de terceros
- Google Threat Intelligence para Google Cloud Armor
- Protección adaptable para extremos de capa 7
- Protección avanzada contra DSD de red para extremos de transferencia: balanceadores de cargas de red externos de transferencia, reenvío de protocolos y direcciones IP públicas para instancias de máquina virtual (VM)
- Acceso a la visibilidad de los ataques DDoS
- Políticas de seguridad jerárquicas
- (Solo para Cloud Armor Enterprise anual): Acceso a la protección contra facturas de DSD y a los servicios del equipo de respuesta ante DSD (se aplican condiciones adicionales; consulta Elegibilidad para el equipo de respuesta ante DDoS)
Todos los Google Cloud proyectos que incluyen un balanceador de cargas de aplicaciones externo o un balanceador de cargas de red de proxy externo se inscriben automáticamente en Google Cloud Armor Standard. Después de suscribirte a Cloud Armor Enterprise a nivel de la cuenta de facturación, los usuarios pueden optar por inscribir proyectos individuales adjuntos a la cuenta de facturación en Cloud Armor Enterprise.
En la siguiente tabla, se resumen los dos niveles de servicio.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Anual | ||
| Método de facturación | Pago por uso | Pago por uso | Suscripción con compromiso de 12 meses |
| Precios | Por política, por regla y por solicitud (consulta Precios) |
|
|
| Protección contra ataques de DSD |
|
|
|
| WAF de Google Cloud Armor | Por política, por regla y por solicitud (consulta Precios) | Incluido con Paygo | Incluido con el plan anual |
| Límites de recursos | Hasta el límite de cuota | Hasta el límite de cuota | Hasta el límite de cuota |
| Compromiso de tiempo | Un año | ||
| Protección adaptable | Solo alertas | ||
| Protección avanzada contra DSD de red | |||
| Políticas de seguridad perimetral de red | |||
| Grupo de direcciones | |||
| Google Threat Intelligence | |||
| Políticas de seguridad jerárquicas | |||
| Visibilidad de ataques DSD | |||
| Compatibilidad con respuestas ante DSD | Requisitos de elegibilidad | ||
| Protección contra facturas DSD | |||
Suscríbete a Cloud Armor Enterprise
Para suscribirte a Cloud Armor Enterprise anual, debes tener un compromiso de un año (12 meses). Solo los usuarios con el rol y los permisos de la cuenta de facturación pueden suscribir la cuenta de facturación a Cloud Armor Enterprise anual. Como alternativa, puedes inscribirte en Cloud Armor Enterprise con pago por uso sin compromiso.
Para usar los servicios y las funciones adicionales de Cloud Armor Enterprise, primero debes inscribirte en Cloud Armor Enterprise. Puedes suscribirte a Cloud Armor Enterprise anual e inscribir proyectos individuales, o bien inscribir un proyecto directamente en Cloud Armor Enterprise con pago por uso.
Te recomendamos que inscribas tus proyectos en Cloud Armor Enterprise lo antes posible, ya que la activación puede tardar hasta una hora. Por lo general, la actualización de Google Cloud Armor Standard a Enterprise no interrumpe la disponibilidad de tu aplicación. Sin embargo, cuando realices cambios en tus políticas de seguridad, debes considerar cuidadosamente las implicaciones de facturación.
Balanceador de cargas de aplicaciones externo y balanceador de cargas de red de proxy externo
Después de que se inscribe un proyecto en Cloud Armor Enterprise, se agregan a la inscripción las reglas de reenvío del proyecto. Además, todos los servicios y los buckets de backend se cuentan como recursos protegidos y se miden para el costo de los recursos protegidos de Cloud Armor Enterprise. Los servicios y los buckets de backend de Cloud Armor Enterprise anual se agregan en todos los proyectos inscritos en una cuenta de facturación, mientras que los servicios y los buckets de backend de Cloud Armor Enterprise de pago por uso se agregan dentro del proyecto.
Balanceador de cargas de red de transferencia externo, reenvío de protocolos y direcciones IP públicas (VMs)
Google Cloud Armor ofrece las siguientes opciones para proteger estos extremos contra ataques de DSD:
- Protección estándar contra DSD de red: Protección básica siempre activa para balanceadores de cargas de red externos de transferencia, reenvío de protocolos o VMs con direcciones IP públicas. Esto incluye la aplicación de reglas de reenvío y la limitación automática de la frecuencia. Esta protección se incluye en Google Cloud Armor Standard y no requiere suscripciones adicionales.
- Protección avanzada contra DSD de red: Protecciones adicionales para los suscriptores de Cloud Armor Enterprise. La protección avanzada contra DSD de red se configura por región. Cuando se habilita en una región en particular, Google Cloud Armor proporciona detección de ataques volumétricos siempre activa y mitigación segmentada para balanceadores de cargas de red de transferencia externos, reenvío de protocolos y VMs con direcciones IP públicas en esa región.
Políticas de seguridad jerárquicas
Cuando adjuntas una política de seguridad jerárquica, cada uno de los proyectos que heredan la política de seguridad jerárquica debe estar inscrito en Cloud Armor Enterprise. Esto incluye todos los proyectos de una organización o carpeta con una política de seguridad jerárquica que no se excluyen de forma explícita, y todos los proyectos con una política de seguridad jerárquica adjunta directamente al proyecto.
- Los proyectos vinculados a una cuenta de facturación de Cloud con una suscripción anual a Cloud Armor Enterprise se inscriben automáticamente en Cloud Armor Enterprise anual si aún no están inscritos.
- Sin una suscripción anual a Cloud Armor Enterprise, los proyectos se inscriben automáticamente en Cloud Armor Enterprise con pago por uso cuando heredan una política de seguridad jerárquica. Si suscribes la cuenta de facturación a Cloud Armor Enterprise anual después de que tu proyecto se inscribió automáticamente en Cloud Armor Enterprise Paygo, el proyecto no se inscribirá automáticamente en la opción anual. Para obtener más información sobre Cloud Armor Enterprise con pago por uso, consulta Comparación entre Google Cloud Armor Standard y Cloud Armor Enterprise.
- Si actualizas una política de seguridad jerárquica para excluir un proyecto después de que se haya inscrito automáticamente en Cloud Armor Enterprise, el proyecto no se anulará automáticamente. Para anular la inscripción de tu proyecto de forma manual, consulta Cómo quitar un proyecto de Cloud Armor Enterprise.
- No puedes quitar un proyecto de Cloud Armor Enterprise si tiene políticas de seguridad jerárquicas heredadas.
La inscripción automática puede tardar hasta una semana en completarse. Durante este período, tus políticas de seguridad jerárquicas son efectivas y no se incurre en costos de Cloud Armor Enterprise. Cuando tu proyecto se inscribe, los registros de auditoría se actualizan para reflejar el estado de Cloud Armor Enterprise del proyecto, y verás el nuevo nivel del proyecto en la consola de Google Cloud .
Para obtener más información sobre las políticas de seguridad jerárquicas, consulta la descripción general de las políticas de seguridad jerárquicas.
Compatibilidad con respuestas ante DSD
La asistencia para respuestas a ataques DDoS brinda ayuda las 24 horas, todos los días, y posibles mitigaciones personalizadas contra ataques DSD por parte del mismo equipo que protege todos los servicios de Google. Puedes comunicarte con el equipo de asistencia para la respuesta durante un ataque para mitigarlo o comunicarte de forma proactiva a fin de planificar un próximo evento de gran volumen o potencialmente viral (un evento que pueda atraer una gran cantidad de visitantes inusual).
La asistencia proactiva está disponible para todos los clientes de Cloud Armor Enterprise, incluso si no completaron una revisión de la postura ante ataques DSD. El soporte proactivo nos permite aplicar reglas preconfiguradas que se dirigen a los tipos de ataques DSD comunes antes de que el ataque llegue a Google Cloud Armor. Para habilitar la compatibilidad con respuestas de DSD, consulta Cómo obtener asistencia para un caso de DSD.
Revisión de la postura DSD
El objetivo de la revisión de la postura ante DSD es mejorar la eficiencia y la eficacia del proceso de respuesta ante DSD. Durante el proceso de revisión, conocemos tu caso de uso y arquitectura únicos, y verificamos que tus políticas de seguridad de Google Cloud Armor estén configuradas según nuestras prácticas recomendadas. Esto te ayuda a aumentar tu resiliencia preventiva ante los ataques DSD.
La revisión de la postura ante ataques DDoS se proporciona a los clientes que se suscriben a Cloud Armor Enterprise anual y tienen una cuenta Premium de Atención al cliente de Cloud.
Elegibilidad para la asistencia de respuesta ante DSD
Los siguientes criterios te permiten abrir un caso y recibir ayuda del equipo de asistencia de respuesta de DSD de Google Cloud Armor:
- Tu cuenta de facturación tiene una suscripción anual activa a Cloud Armor Enterprise.
- Tu cuenta de facturación tiene una cuenta Premium para la atención al cliente de Cloud.
- El proyecto Google Cloud con la carga de trabajo que está en ataque está inscrito en Cloud Armor Enterprise anual.
- Si usas la referencia del servicio entre proyectos, tanto el proyecto de servicio de frontend como el de backend deben estar inscritos en Cloud Armor Enterprise anual.
- Para los clientes que se suscribieron a Cloud Armor Enterprise anual después del 3 de septiembre de 2024: El proyecto con la carga de trabajo que está bajo ataque debe haber pasado por una revisión anual de la postura ante DSD.
Incluso cuando los clientes no cumplen con los requisitos para recibir asistencia, nuestro equipo de Atención al cliente de Cloud brinda asistencia durante un ataque, ya que ayuda con la depuración de reglas, la aclaración del comportamiento y las inquietudes específicas sobre las políticas existentes.
Para habilitar la compatibilidad con respuestas de DSD, consulta Cómo obtener asistencia para un caso de DSD.
Protección contra facturas DSD
La protección contra facturas de DDoS de Google Cloud Armor requiere que tu proyecto esté inscrito en Cloud Armor Enterprise anual. Proporciona créditos para el uso futuro deGoogle Cloud por algunos aumentos en las facturas de Cloud Load Balancing, Google Cloud Armor y la transferencia de datos salientes de Internet de la red, interregional e interzonal como resultado de un ataque DSD verificado. Si se reconoce un reclamo y se proporciona un crédito, no se puede usar el crédito para compensar el uso existente. El crédito solo puede aplicarse al uso futuro. En la siguiente tabla, se muestra qué recursos cubre la protección contra facturas DSD:
| Endpoint Type | Aumento de uso cubierto | |
|---|---|---|
|
Google Cloud Armor | Tarifa de procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Interregional | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa por procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos salientes | ||
| Media CDN | Tarifa de salida de Media CDN (solo para balanceadores de cargas de aplicaciones externos) | |
|
Google Cloud Armor | Tarifa de procesamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos saliente | |
| Interregional | ||
| Entre zonas | ||
| Intercambio de tráfico por proveedores | ||
| Balanceador de cargas | Tarifa por procesamiento de datos entrantes | |
| Tarifa por procesamiento de datos salientes |
Para usar la protección contra facturas DSD, consulta Genera protección contra facturas DSD.
Migra proyectos entre cuentas de facturación
A partir del 3 de septiembre de 2024, si migras tu proyecto de una cuenta de facturación a otra mientras estás suscrito a Cloud Armor Enterprise anual, pero tu nueva cuenta de facturación no está suscrita a Cloud Armor Enterprise anual, tu proyecto volverá a Google Cloud Armor Standard después de que se complete la migración, a menos que tu proyecto tenga políticas de seguridad jerárquicas vigentes, en cuyo caso se cambiará a Cloud Armor Enterprise paygo. Por lo tanto, si deseas mantener tu proyecto en Cloud Armor Enterprise anual sin tiempo de inactividad, te recomendamos que suscribas tu nueva cuenta de facturación a Cloud Armor Enterprise anual antes de comenzar el proceso de migración. También puedes migrar tu suscripción de una cuenta de facturación a otra comunicándote con el equipo de asistencia de Facturación de Cloud.
La migración de la cuenta de facturación no afecta a los proyectos inscritos en Cloud Armor Enterprise con pago por uso.
Cambio a una versión inferior de Cloud Armor Enterprise
Cuando quitas un proyecto de Cloud Armor Enterprise, se suspenden todas las políticas de seguridad que usan reglas con funciones exclusivas de Cloud Armor Enterprise (reglas avanzadas). Las políticas de seguridad inmutables tienen las siguientes propiedades:
- Google Cloud Armor sigue evaluando el tráfico en función de las reglas de la política, incluidas las reglas avanzadas.
- No puedes adjuntar la política de seguridad a destinos nuevos.
- Solo puedes realizar las siguientes operaciones en la política de seguridad:
- Puedes borrar reglas de la política de seguridad.
- Si no cambias la prioridad de la regla, puedes actualizar las reglas avanzadas para que ya no usen funciones exclusivas de Cloud Armor Enterprise. Si modificas todas las reglas avanzadas de esta manera, tu política ya no estará inmovilizada. Para obtener más información sobre cómo actualizar las reglas de la política de seguridad, consulta Actualiza una sola regla en una política de seguridad.
También puedes volver a inscribirte en Cloud Armor Enterprise anual o Cloud Armor Enterprise paygo para restablecer el acceso a tus políticas de seguridad inhabilitadas.
Protección avanzada contra DSD de red
La protección avanzada contra DSD de red solo está disponible para los proyectos inscritos en Cloud Armor Enterprise. Cuando quitas de Cloud Armor Enterprise un proyecto con una política avanzada activa contra DSD de red, se te sigue facturando la función según los precios de Cloud Armor Enterprise.
Te recomendamos que borres todas las reglas de protección avanzada contra DSD de red antes de anular la inscripción de tu proyecto en Cloud Armor Enterprise, pero también puedes borrarlas después de cambiar a una versión inferior.
Condiciones y limitaciones
Cloud Armor Enterprise tiene las siguientes condiciones y limitaciones:
- Generalmente: Si un proyecto inscrito en Cloud Armor Enterprise sufre un ataque de denegación de servicio de terceros en un extremo protegido ("Ataque Calificado") y se cumplen las condiciones descritas en la siguiente sección, Google proporciona un crédito equivalente a las Tarifas Cubiertas, siempre que las Tarifas Cubiertas incurridas superen el Umbral Mínimo. Las pruebas de carga y las evaluaciones de seguridad que realiza el Cliente o que se realizan en su nombre no son Ataques Calificados.
- Condiciones: El cliente debe enviar una solicitud al equipo de asistencia de Cloud Billing en un plazo de 30 días después del final del Ataque Calificado. La solicitud debe incluir evidencia del Ataque Calificado, como registros o telemetría que indiquen el momento del ataque y los Proyectos y recursos que se vieron afectados, así como una estimación de las Tarifas Cubiertas incurridas. Google determinará de forma razonable si los créditos están vencidos y la cantidad adecuada. En la Documentación, se incluyen otras condiciones para funciones específicas de Google Cloud Armor.
- Créditos: Los créditos proporcionados al Cliente en relación con este Artículo no tienen valor en efectivo y solo se pueden aplicar para compensar las Tarifas futuras de los Servicios. Estos créditos vencen 12 meses después de su emisión o tras la rescisión o el vencimiento del Acuerdo.
- Definiciones:
- Cargos Cubiertos: Son los Cargos en los que incurre el Cliente como resultado directo del Ataque Calificado por lo siguiente:
- Procesamiento de datos entrantes y salientes para el Service Google Cloud LoadBalancer.
- Es el procesamiento de datos de Google Cloud Armor Enterprise para el servicio de Google Cloud Armor.
- Salida de red, incluida la salida interregional, interzonal, de Internet y de Carrier Peering
- Umbral Mínimo: Es el importe mínimo de las Cargos Cubiertos que son aptos para recibir un crédito en virtud de este Artículo, según lo determine Google periódicamente y se divulgue al Cliente a solicitud.
- Cargos Cubiertos: Son los Cargos en los que incurre el Cliente como resultado directo del Ataque Calificado por lo siguiente:
¿Qué sigue?
- Suscríbete e inscribe proyectos en Cloud Armor Enterprise
- Soluciona problemas
- Usa la referencia del lenguaje de reglas personalizadas