Google Cloud Armor Enterprise es el servicio de protección de aplicaciones que te ayuda a proteger tus aplicaciones y servicios web frente a los ataques de denegación de servicio distribuido (DDoS) y otras amenazas de Internet. Cloud Armor Enterprise ayuda a proteger las aplicaciones implementadas en Google Cloud, en entornos on-premise o en otros proveedores de infraestructura.
Comparación entre Cloud Armor Standard y Cloud Armor Enterprise
Google Cloud Armor se ofrece en dos niveles de servicio: Standard y Cloud Armor Enterprise.
Cloud Armor Standard incluye lo siguiente:
- Un modelo de precios de pago por uso
- Protección continua frente a ataques DDoS volumétricos y basados en protocolos, con mitigaciones automáticas en tiempo real y sin impacto en la latencia en los siguientes tipos de infraestructura:
- Balanceador de carga de aplicación externo global (HTTP/HTTPS)
- Balanceador de carga de aplicaciones clásico (HTTP/HTTPS)
- Balanceador de carga de aplicación externo regional (HTTP/HTTPS)
- Balanceador de carga de red de paso a través externo
- Balanceador de carga de red con proxy externo global (TCP/SSL)
- Cloud CDN
- Media CDN
- Integración con Cloud CDN y Media CDN
- Acceso a las funciones de las reglas del cortafuegos de aplicaciones web (WAF) de Cloud Armor, incluidas las reglas de WAF preconfiguradas para la protección de los 10 principales riesgos de OWASP
Cloud Armor Enterprise incluye lo siguiente:
- Todas las funciones de Cloud Armor Standard
- Elige entre los modelos de precios Cloud Armor Enterprise Annual o Paygo.
- Uso del WAF de Cloud Armor incluido, como reglas, políticas y solicitudes
- Listas de direcciones IP con nombre de terceros
- Inteligencia frente a amenazas de Google para Cloud Armor
- Adaptive Protection para endpoints de la capa 7
- Protección de red avanzada contra DDoS para endpoints de paso a través: balanceadores de carga de red de paso a través externos, reenvío de protocolos y direcciones IP públicas para instancias de máquinas virtuales (VM)
- Acceso a la visibilidad de los ataques DDoS
- Políticas de seguridad jerárquicas
- Solo para Cloud Armor Enterprise (anual): acceso a la protección de facturación frente a DDoS y a los servicios del equipo de respuesta frente a DDoS (se aplican condiciones adicionales, consulta Requisitos para acceder al equipo de respuesta frente a DDoS).
Todos los proyectos que incluyen un balanceador de carga de aplicaciones externo o un balanceador de carga de red de proxy externo se registran automáticamente en Cloud Armor Standard. Google Cloud Después de suscribirse a Cloud Armor Enterprise con su cuenta de facturación, los usuarios pueden registrar en Cloud Armor Enterprise proyectos concretos vinculados a esa cuenta de facturación.
En la siguiente tabla se resumen los dos niveles de servicio.
| Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| PayGo | Anual | ||
| Método de facturación | Pago por uso | Pago por uso | Suscripción con compromiso de 12 meses |
| Precios | Por política, por regla y por solicitud (consulta los precios) |
|
|
| Protección contra ataques DDoS |
|
|
|
| WAF de Cloud Armor | Por política, por regla y por solicitud (consulta los precios) | Incluido con Paygo | Incluido en la suscripción anual |
| Límites de recursos | Hasta el límite de cuota | Hasta el límite de cuota | Hasta el límite de cuota |
| Compromiso de tiempo | 1 año | ||
| Adaptive Protection | Solo alertas | ||
| Protección de red avanzada contra DDoS | |||
| Políticas de seguridad de perímetro de red | |||
| Grupo de direcciones | |||
| Google Threat Intelligence | |||
| Políticas de seguridad jerárquicas | |||
| Visibilidad de los ataques DDoS | |||
| Asistencia para responder a ataques DDoS | Requisitos | ||
| Protección de facturación contra DDoS | |||
Suscribirse a Cloud Armor Enterprise
Para suscribirte a Cloud Armor Enterprise Annual, debes comprometerte a un año (12 meses). Solo los usuarios con el rol y los permisos de la cuenta de facturación pueden suscribir la cuenta de facturación a Cloud Armor Enterprise anual. También puedes registrarte en Cloud Armor Enterprise Paygo sin compromiso.
Para usar los servicios y las funciones adicionales de Cloud Armor Enterprise, primero debes registrarte en Cloud Armor Enterprise. Puedes suscribirte a Cloud Armor Enterprise Annual y registrar proyectos concretos, o bien registrar un proyecto directamente en Cloud Armor Enterprise Paygo.
Te recomendamos que registres tus proyectos en Cloud Armor Enterprise lo antes posible, ya que la activación puede tardar hasta una hora. Al actualizar de Cloud Armor Standard a Enterprise, normalmente no se interrumpe la disponibilidad de tu aplicación. Sin embargo, cuando hagas cambios en tus políticas de seguridad, debes tener en cuenta las implicaciones en la facturación.
Balanceador de carga de aplicación externo y balanceador de carga de red de proxy externo
Una vez que se ha registrado un proyecto en Cloud Armor Enterprise, las reglas de reenvío del proyecto se añaden al registro. Además, todos los servicios de backend y los segmentos de backend se consideran recursos protegidos y se miden para calcular el coste de los recursos protegidos de Cloud Armor Enterprise. Los servicios de backend y los backend buckets de Cloud Armor Enterprise Annual se agregan en todos los proyectos registrados en una cuenta de facturación, mientras que los servicios de backend y los backend buckets de Cloud Armor Enterprise Paygo se agregan en el proyecto.
Balanceador de carga de red de paso a través externo, reenvío de protocolos y direcciones IP públicas (VMs)
Cloud Armor ofrece las siguientes opciones para proteger estos endpoints frente a ataques DDoS:
- Protección estándar contra DDoS de red: protección básica siempre activa para balanceadores de carga de red con paso a través externos, reenvío de protocolos o máquinas virtuales con direcciones IP públicas. Esto incluye la aplicación de reglas de reenvío y la limitación automática de la frecuencia. Esta función se incluye en Cloud Armor Standard y no requiere ninguna suscripción adicional.
- Protección de red avanzada contra DDoS: protecciones adicionales para los suscriptores de Cloud Armor Enterprise. La protección de red avanzada contra DDoS se configura por regiones. Cuando se habilita en una región concreta, Cloud Armor ofrece detección de ataques volumétricos siempre activa y mitigación específica para balanceadores de carga de red con paso a través externos, reenvío de protocolos y máquinas virtuales con direcciones IP públicas en esa región.
Políticas de seguridad jerárquicas
Cuando adjuntas una política de seguridad jerárquica, cada uno de los proyectos que hereda la política de seguridad jerárquica debe estar registrado en Cloud Armor Enterprise. Esto incluye todos los proyectos de una organización o una carpeta con una política de seguridad jerárquica que no se hayan excluido explícitamente, así como todos los proyectos con una política de seguridad jerárquica adjunta directamente al proyecto.
- Los proyectos vinculados a una cuenta de facturación de Cloud con una suscripción a Cloud Armor Enterprise Annual se registran automáticamente en Cloud Armor Enterprise Annual si aún no lo están.
- Si no tienes una suscripción a Cloud Armor Enterprise Annual, los proyectos se registran automáticamente en Cloud Armor Enterprise Paygo cuando heredan una política de seguridad jerárquica. Si suscribes la cuenta de facturación a Cloud Armor Enterprise Annual después de que tu proyecto se haya registrado automáticamente en Cloud Armor Enterprise Paygo, el proyecto no se registrará automáticamente en Annual. Para obtener más información sobre Cloud Armor Enterprise Paygo, consulta Cloud Armor Standard y Cloud Armor Enterprise.
- Si actualizas una política de seguridad jerárquica para excluir un proyecto después de que se haya registrado automáticamente en Cloud Armor Enterprise, el proyecto no se dará de baja automáticamente. Para dar de baja manualmente tu proyecto, consulta el artículo Quitar un proyecto de Cloud Armor Enterprise.
- No puedes quitar un proyecto de Cloud Armor Enterprise mientras tenga políticas de seguridad jerárquicas heredadas.
La inscripción automática puede tardar hasta una semana en completarse. Durante este periodo, tus políticas de seguridad jerárquicas estarán activas y no se te cobrará por Cloud Armor Enterprise. Cuando tu proyecto esté registrado, los registros de auditoría se actualizarán para reflejar el estado de Cloud Armor Enterprise del proyecto y verás el nuevo nivel del proyecto en la Google Cloud consola.
Para obtener más información sobre las políticas de seguridad jerárquicas, consulta la descripción general de las políticas de seguridad jerárquicas.
Asistencia para responder a ataques DDoS
La asistencia de respuesta ante ataques DDoS ofrece ayuda las 24 horas y posibles mitigaciones personalizadas contra ataques DDoS del mismo equipo que protege todos los servicios de Google. Puedes ponerte en contacto con el equipo de asistencia para que te ayude a mitigar un ataque o puedes hacerlo de forma proactiva para planificar un evento con un volumen alto o potencialmente viral (es decir, que podría atraer a una cantidad inusualmente alta de visitantes).
La asistencia proactiva está disponible para todos los clientes de Cloud Armor Enterprise, aunque no hayan completado una revisión de la postura ante DDoS. La asistencia proactiva nos permite aplicar reglas preconfiguradas que se dirigen a tipos de ataques DDoS comunes antes de que el ataque llegue a Cloud Armor. Para recibir asistencia en caso de DDoS, consulta el artículo Obtener asistencia en caso de DDoS.
Revisión de la postura ante ataques DDoS
El objetivo de la revisión de la postura ante ataques DDoS es mejorar la eficiencia y la eficacia del proceso de respuesta ante ataques DDoS. Durante el proceso de revisión, analizamos tu caso práctico y tu arquitectura únicos, y verificamos que tus políticas de seguridad de Cloud Armor estén configuradas de acuerdo con nuestras prácticas recomendadas. Esto te ayuda a aumentar tu resiliencia preventiva frente a los ataques DDoS.
La revisión de la postura ante DDoS se ofrece a los clientes que tienen una suscripción anual a Cloud Armor Enterprise y una cuenta Premium de Customer Care de Cloud.
Requisitos para recibir asistencia en caso de ataques DDoS
Si cumples los siguientes criterios, puedes abrir un caso y recibir ayuda del equipo de asistencia de respuesta ante ataques DDoS de Cloud Armor:
- Tu cuenta de facturación tiene una suscripción anual activa a Cloud Armor Enterprise.
- Tu cuenta de facturación tiene una cuenta Premium de asistencia de Cloud para clientes.
- El proyecto Google Cloud con la carga de trabajo que está sufriendo el ataque está registrado en Cloud Armor Enterprise Annual.
- Si usas la referencia de servicios entre proyectos, tanto el proyecto de servicios de frontend como el de backend deben estar registrados en Cloud Armor Enterprise Annual.
- En el caso de los clientes que se suscribieron a Cloud Armor Enterprise Annual después del 3 de septiembre del 2024, el proyecto con la carga de trabajo que está sufriendo el ataque debe haber pasado una revisión anual de la postura ante DDoS.
Aunque los clientes no cumplan los requisitos para recibir asistencia, nuestro equipo de Cloud Customer Care les ayuda durante un ataque depurando reglas, aclarando comportamientos y resolviendo problemas específicos con las políticas vigentes.
Para recibir asistencia en caso de DDoS, consulta Obtener asistencia en caso de DDoS.
Protección de facturación contra DDoS
Para poder disfrutar de la protección de facturación contra ataques DDoS de Cloud Armor, tu proyecto debe estar registrado en Cloud Armor Enterprise Annual. Proporciona créditos para elGoogle Cloud uso futuro de algunos aumentos en las facturas de Cloud Load Balancing, Cloud Armor y la transferencia de datos saliente de Internet, entre regiones y entre zonas de la red como resultado de un ataque DDoS verificado. Si se reconoce una reclamación y se proporciona un crédito, este no se puede usar para compensar el uso actual, sino que solo se puede aplicar al uso futuro. En la siguiente tabla se muestran los recursos que cubre la protección de facturación contra DDoS:
| Tipo de endpoint | Aumento del uso cubierto | |
|---|---|---|
|
Cloud Armor | Tarifa por tratamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos salientes | |
| Entre regiones | ||
| Entre zonas | ||
| Emparejamiento mediante operador | ||
| Balanceador de carga | Tarifa por procesamiento de datos entrantes | |
| Tarifa por tratamiento de datos salientes | ||
| Media CDN | Tarifa de salida de Media CDN (solo para balanceadores de carga de aplicación externos) | |
|
Cloud Armor | Tarifa por tratamiento de datos de Cloud Armor Enterprise |
| Red | Transferencia de datos salientes | |
| Entre regiones | ||
| Entre zonas | ||
| Emparejamiento mediante operador | ||
| Balanceador de carga | Tarifa por procesamiento de datos entrantes | |
| Tarifa por tratamiento de datos salientes |
Para activar la protección de facturación contra ataques DDoS, consulta Activar la protección de facturación contra ataques DDoS.
Migrar proyectos entre cuentas de facturación
A partir del 3 de septiembre del 2024, si migras tu proyecto de una cuenta de facturación a otra mientras tienes una suscripción a Cloud Armor Enterprise Annual, pero tu nueva cuenta de facturación no tiene una suscripción a Cloud Armor Enterprise Annual, tu proyecto volverá a Cloud Armor Standard una vez que se complete la migración, a menos que tu proyecto tenga políticas de seguridad jerárquicas efectivas, en cuyo caso se cambiará a Cloud Armor Enterprise de pago por uso. Por lo tanto, si quieres mantener tu proyecto en Cloud Armor Enterprise Annual sin tiempo de inactividad, te recomendamos que suscribas tu nueva cuenta de facturación a Cloud Armor Enterprise Annual antes de iniciar el proceso de migración. También puedes migrar tu suscripción de una cuenta de facturación a otra poniéndote en contacto con el equipo de Asistencia de Facturación de Cloud.
La migración de cuentas de facturación no afecta a los proyectos registrados en Cloud Armor Enterprise Paygo.
Cambiar de Cloud Armor Enterprise a una edición inferior
Cuando quitas un proyecto de Cloud Armor Enterprise, las políticas de seguridad que usen reglas con funciones exclusivas de Cloud Armor Enterprise (reglas avanzadas) se congelan. Las políticas de seguridad inmovilizadas tienen las siguientes propiedades:
- Cloud Armor sigue evaluando el tráfico en función de las reglas de la política, incluidas las reglas avanzadas.
- No puedes adjuntar la política de seguridad a nuevos destinos.
- Solo puedes realizar las siguientes operaciones en la política de seguridad:
- Puedes eliminar reglas de políticas de seguridad.
- Si no cambia la prioridad de la regla, puede actualizar las reglas avanzadas para que dejen de usar funciones exclusivas de Cloud Armor Enterprise. Si modifica todas las reglas avanzadas de esta forma, su política dejará de estar inactiva. Para obtener más información sobre cómo actualizar las reglas de la política de seguridad, consulta el artículo Actualizar una regla de una política de seguridad.
También puedes volver a registrarte en Cloud Armor Enterprise Annual o Cloud Armor Enterprise Paygo para restaurar el acceso a tus políticas de seguridad congeladas.
Protección de red avanzada contra DDoS
La protección de red avanzada contra DDoS solo está disponible para los proyectos registrados en Cloud Armor Enterprise. Cuando quitas de Cloud Armor Enterprise un proyecto con una política avanzada de DDoS de red activa, se te sigue facturando por la función según los precios de Cloud Armor Enterprise.
Te recomendamos que elimines las reglas de protección de red avanzada contra DDoS antes de dar de baja tu proyecto de Cloud Armor Enterprise, pero también puedes hacerlo después de cambiar a un nivel inferior.
Términos y limitaciones
Cloud Armor Enterprise tiene los siguientes términos y limitaciones:
- General: Si un proyecto registrado en Cloud Armor Enterprise sufre un ataque de denegación de servicio de terceros en un endpoint protegido ("Ataque Cualificado") y se cumplen las condiciones descritas en la siguiente sección, Google proporciona un crédito equivalente a las Tarifas Cubiertas, siempre que las Tarifas Cubiertas incurridas superen el Umbral Mínimo. Las pruebas de carga y las evaluaciones de seguridad realizadas por el Cliente o en su nombre no son Ataques Cualificados.
- Condiciones: El cliente debe enviar una solicitud al equipo de Asistencia de Facturación de Cloud en un plazo de 30 días después de que finalice el Ataque Cualificado. La solicitud debe incluir pruebas del Ataque Cualificado, como registros u otra telemetría que indique el momento del ataque y los Proyectos y recursos que se atacaron, así como una estimación de las Tarifas Cubiertas incurridas. Google determinará de forma razonable si los créditos deben abonarse y el importe adecuado. Otras condiciones de las funciones concretas de Cloud Armor se incluyen en la documentación.
- Créditos: Los créditos proporcionados al Cliente en relación con esta Sección no tienen valor en efectivo y solo se pueden aplicar para compensar las Tarifas futuras de los Servicios. Estos créditos caducan 12 meses después de su emisión o cuando se resuelve o vence el Contrato.
- Definiciones:
- Tarifas cubiertas: cualquier tarifa en la que incurra el Cliente como resultado directo del Ataque Cualificado por lo siguiente:
- Procesamiento de datos de entrada y salida del servicio Google Cloud Load Balancer.
- Tratamiento de datos de Google Cloud Armor Enterprise para el servicio Cloud Armor.
- Salida de red, incluida la salida entre regiones, entre zonas, a Internet y mediante emparejamiento con operador.
- Umbral mínimo: importe mínimo de las cuotas cubiertas que se pueden abonar en virtud de esta sección, según lo determine Google ocasionalmente y se lo comunique al Cliente si lo solicita.
- Tarifas cubiertas: cualquier tarifa en la que incurra el Cliente como resultado directo del Ataque Cualificado por lo siguiente:
Siguientes pasos
- Suscribirse y registrar proyectos en Cloud Armor Enterprise
- Solucionar problemas
- Usar la referencia de lenguaje de reglas personalizadas