Google Cloud Armor Enterprise est le service de protection des applications qui contribue à protéger vos applications et services Web contre les attaques par déni de service distribué (DDoS) et d'autres menaces provenant d'Internet. Cloud Armor Enterprise contribue à protéger les applications déployées sur Google Cloud, sur site ou sur d'autres fournisseurs d'infrastructure.
Différence entre Google Cloud Armor Standard et Cloud Armor Enterprise
Google Cloud Armor est proposé en deux niveaux de service : Standard et Cloud Armor Enterprise.
Google Cloud Armor Standard inclut les éléments suivants:
- Un modèle de paiement à l'usage
- Protection permanente contre les attaques DDoS volumétriques et basées sur un protocole, avec des atténuations intégrées automatiques en temps réel et sans impact sur la latence pour les types d'infrastructures suivants :
- Équilibreur de charge d'application (HTTP/HTTPS) externe global
- Équilibreur de charge d'application classique (HTTP/HTTPS)
- Équilibreur de charge d'application (HTTP/HTTPS) externe régional
- Équilibreur de charge réseau proxy externe global (TCP/SSL)
- Cloud CDN
- Media CDN
- Intégration avec Cloud CDN et Media CDN
- Accès aux fonctionnalités de règles de pare-feu d'application Web (WAF) de Google Cloud Armor, y compris aux règles WAF préconfigurées pour la protection contre les dix risques OWASP les plus importants
Cloud Armor Enterprise inclut les éléments suivants:
- Toutes les fonctionnalités de Google Cloud Armor Standard
- Choix de modèles de tarification: Cloud Armor Enterprise annuel ou Paygo
- Utilisation du WAF Google Cloud Armor groupée, y compris les règles, la stratégie et les requêtes
- Listes d'adresses IP nommées tierces
- Intelligence sur les menaces pour Google Cloud Armor
- Adaptive Protection pour les points de terminaison de couche 7
- Protection DDoS réseau avancée pour les points de terminaison passthrough : équilibreurs de charge réseau passthrough externes, transfert de protocole et adresses IP publiques pour les instances de machine virtuelle (VM)
- (Cloud Armor Enterprise annuel uniquement): accès à la protection des factures contre les attaques DDoS et aux services de l'équipe de réponse DDoS (conditions supplémentaires applicables, consultez la section Éligibilité à l'équipe de réponse DDoS)
- Accès à la visibilité des attaques DDoS
Tous les projets Google Cloud qui incluent un équilibreur de charge d'application externe ou un équilibreur de charge réseau proxy externe sont automatiquement abonnés à Google Cloud Armor Standard. Une fois abonné à Cloud Armor Enterprise au niveau du compte de facturation, les utilisateurs peuvent choisir d'enregistrer des projets individuels associés au compte de facturation dans Cloud Armor Enterprise.
Le tableau suivant récapitule les deux niveaux de service .
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuel | ||
| Mode de facturation | Paiement à l'usage | Paiement à l'usage | Abonnement avec engagement de 12 mois |
| Tarifs | Par stratégie, par règle, par requête (consultez la page Tarifs) |
|
|
| Protection contre les attaques DDoS |
|
|
|
| Protection DDoS avancée du réseau | Non | Oui | Oui |
| Stratégies de sécurité de périphérie de réseau | Non | Oui | Oui |
| WAF Google Cloud Armor | Par stratégie, par règle, par requête (consultez la page Tarifs) | Inclus avec Paygo | Inclus avec l'abonnement annuel |
| Limites de ressources | Jusqu'à la limite de quota | Jusqu'à la limite de quota | Jusqu'à la limite de quota |
| Engagement de temps | N/A | N/A | Un an |
| Groupe d'adresses | |||
| Threat Intelligence | |||
| Adaptive Protection | Alertes uniquement | ||
| Visibilité des attaques DDoS | N/A | ||
| Assistance de gestion des attaques DDoS | N/A | Critères d'éligibilité | |
| Protection des factures contre les attaques DDoS | N/A | ||
S'abonner à Cloud Armor Enterprise
Pour utiliser les services et fonctionnalités supplémentaires de Cloud Armor Enterprise, vous devez d'abord vous inscrire à Cloud Armor Enterprise. Vous pouvez vous abonner à Cloud Armor Enterprise annuel et enregistrer des projets individuels, ou enregistrer un projet directement dans Cloud Armor Enterprise Paygo.
Nous vous recommandons vivement d'enregistrer vos projets dans Cloud Armor Enterprise dès que possible, car l'activation peut prendre jusqu'à 24 heures.
Équilibreur de charge d'application externe et équilibreur de charge réseau proxy externe
Une fois qu'un projet est enregistré dans Cloud Armor Enterprise, les règles de transfert au sein du projet sont ajoutées à l'enregistrement. En outre, tous les services de backend et les buckets backend sont considérés comme des ressources protégées et mesurés pour le coût des ressources protégées de Cloud Armor Enterprise. Les services de backend et les buckets de backend dans Cloud Armor Enterprise Annual sont agrégés dans tous les projets enregistrés d'un compte de facturation, tandis que les services de backend et les buckets de backend dans Cloud Armor Enterprise Paygo sont agrégés dans le projet.
Équilibreur de charge réseau passthrough externe, transfert de protocole et adresses IP publiques (VM)
Google Cloud Armor propose les options suivantes pour protéger ces points de terminaison contre les attaques DDoS:
- Protection DDoS standard du réseau: protection de base permanente pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole ou les VM ayant des adresses IP publiques. Cela inclut l'application des règles de transfert et la limitation automatique du débit. Cette fonctionnalité est incluse dans Google Cloud Armor Standard et ne nécessite aucun abonnement supplémentaire.
- Protection DDoS avancée du réseau: protections supplémentaires pour les abonnés à Cloud Armor Enterprise. La protection DDoS avancée du réseau est configurée par région. Lorsqu'il est activé pour une région particulière, Google Cloud Armor fournit une détection et une atténuation constamment activées des attaques volumétriques ciblées pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole et les VM avec adresses IP publiques au sein de cette région.
Assistance de gestion des attaques DDoS
L'assistance DDoS Response fournit une assistance 24h/24, 7j/7 et des atténuations personnalisées potentielles d'attaques DDoS de la même équipe qui protège tous les services Google. Vous pouvez solliciter l'assistance de l'équipe de réponse lors d'une attaque pour l'atténuer, ou la contacter de manière proactive pour planifier un volume important ou un événement potentiellement viral (un risque pouvant attirer un nombre anormalement élevé de visiteurs).
L'assistance proactive est disponible pour tous les clients Google Cloud Armor, même s'ils n'ont pas effectué d'évaluation de leur posture DDoS. L'assistance proactive nous permet d'appliquer des règles préconfigurées qui ciblent les types d'attaques DDoS courants avant qu'elles n'atteignent Google Cloud Armor. Pour activer l'assistance de gestion des attaques DDoS, consultez la section Obtenir de l'aide pour une demande de gestion des attaques DDoS.
Examen de la posture DDoS
L'objectif de l'examen de la posture DDoS est d'améliorer l'efficacité et l'efficacité du processus de réponse aux attaques DDoS. Au cours du processus d'examen, nous nous familiarisons avec votre cas d'utilisation et votre architecture uniques, et nous vérifions que vos stratégies de sécurité Google Cloud Armor sont configurées conformément à nos bonnes pratiques. Cela vous permet d'améliorer votre résilience préventive aux attaques DDoS.
L'examen de la posture DDoS est fourni aux clients qui s'abonnent à Cloud Armor Enterprise annuel et disposent d'un compte Premium pour le Cloud Customer Care.
Éligibilité à l'assistance de gestion des attaques DDoS
Vous remplissez les critères suivants pour pouvoir ouvrir une demande et recevoir de l'aide de l'équipe d'assistance de gestion des attaques DDoS de Google Cloud Armor:
- Votre compte de facturation dispose d'un abonnement annuel Cloud Armor Enterprise actif.
- Votre compte de facturation dispose d'un compte Premium pour l'Cloud Customer Care.
- Le projet Google Cloud avec la charge de travail qui est victime d'une attaque est enregistré dans Cloud Armor Enterprise Annual.
- Si vous utilisez le référencement de service interprojet, les projets de service de frontend et de backend doivent tous deux être enregistrés dans Cloud Armor Enterprise Annual.
- (Pour les clients qui se sont abonnés à Cloud Armor Enterprise annuel après le 3 septembre 2024): le projet associé à la charge de travail attaquée doit avoir fait l'objet d'un examen annuel de la posture DDoS.
Pour activer l'assistance de gestion des attaques DDoS, consultez la section Obtenir de l'aide pour une demande de gestion des attaques DDoS.
Protection des factures contre les attaques DDoS
La protection des factures contre les attaques DDoS de Google Cloud Armor nécessite que votre projet soit enregistré dans Cloud Armor Enterprise annuel. Elle accorde des crédits à utiliser dans le cadre de l'utilisation future de Google Cloud, pour certaines augmentations des factures liées à Cloud Load Balancing, à Google Cloud Armor et aux transferts de données sortants interzones, interrégionaux et de l'Internet réseau à la suite d'une attaque DDoS validée. Si une demande est reconnue et qu'un crédit est fourni, celui-ci ne peut pas être utilisé pour compenser l'utilisation existante. Le crédit ne peut être appliqué qu'à une utilisation future. Le tableau suivant montre les ressources couvertes par la protection des factures contre les attaques DDoS :
| Endpoint Type (Type de point de terminaison) | Augmentation de l'utilisation couverte | |
|---|---|---|
|
Google Cloud Armor | Frais de traitement des données de Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrants | |
| Frais de traitement des données sortantes | ||
| Media CDN | Frais de sortie du CDN multimédia (équilibreur de charge d'application externe uniquement) | |
|
Google Cloud Armor | Frais de traitement des données de Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrants | |
| Frais de traitement des données sortantes |
Pour en savoir plus sur la protection des factures contre les attaques DDoS, consultez la page Impliquer la protection des factures contre les attaques DDoS.
Migrer des projets entre des comptes de facturation
À compter du 3 septembre 2024, si vous migrez votre projet d'un compte de facturation vers un autre alors que vous êtes abonné à Cloud Armor Enterprise annuel, mais que votre nouveau compte de facturation n'est pas abonné à Cloud Armor Enterprise annuel, votre projet revient à Google Cloud Armor Standard une fois la migration terminée. Par conséquent, si vous souhaitez conserver votre projet dans Cloud Armor Enterprise annuel sans temps d'arrêt, nous vous recommandons d'abonner votre nouveau compte de facturation à Cloud Armor Enterprise annuel avant de commencer le processus de migration. Vous pouvez également migrer votre abonnement d'un compte de facturation à un autre en contactant l'assistance de facturation Cloud.
Les projets enregistrés dans Cloud Armor Enterprise Paygo ne sont pas affectés par la migration du compte de facturation.
Passer à une édition inférieure depuis Cloud Armor Enterprise
Lorsque vous supprimez un projet de Cloud Armor Enterprise, toutes les stratégies de sécurité qui utilisent des règles avec des fonctionnalités exclusives à Cloud Armor Enterprise (règles avancées) sont bloquées. Les stratégies de sécurité congelées présentent les propriétés suivantes:
- Google Cloud Armor continue d'évaluer le trafic par rapport aux règles de la stratégie, y compris les règles avancées.
- Vous ne pouvez pas associer la règle de sécurité à de nouvelles cibles.
- Vous ne pouvez effectuer que les opérations suivantes sur la stratégie de sécurité :
- Vous pouvez supprimer des règles de stratégie de sécurité.
- Si vous ne modifiez pas la priorité des règles, vous pouvez mettre à jour les règles avancées afin qu'elles n'utilisent plus les fonctionnalités exclusives à Cloud Armor Enterprise. Si vous modifiez toutes les règles avancées de cette manière, votre stratégie n'est plus figée. Pour en savoir plus sur la mise à jour des règles de stratégie de sécurité, consultez la section Mettre à jour une seule règle dans une stratégie de sécurité.
Vous pouvez également vous réinscrire à Cloud Armor Enterprise annuel ou à Cloud Armor Enterprise Paygo pour restaurer l'accès à vos stratégies de sécurité congelées.
Protection DDoS avancée du réseau
La protection DDoS avancée du réseau n'est disponible que pour les projets enregistrés dans Cloud Armor Enterprise. Lorsque vous supprimez un projet avec une stratégie de protection DDoS avancée du réseau active de Cloud Armor Enterprise, la fonctionnalité vous est toujours facturée en fonction des tarifs de Cloud Armor Enterprise.
Nous vous recommandons de supprimer toutes les règles de protection DDoS avancée du réseau avant de désinscrire votre projet de Cloud Armor Enterprise, mais vous pouvez également supprimer les règles de protection DDoS avancée du réseau après la rétrogradation.
Conditions et limites
Cloud Armor Enterprise est soumis aux conditions et limites suivantes:
- En général: Si un projet enregistré dans Cloud Armor Enterprise fait l'objet d'une attaque par déni de service tierce sur un point de terminaison protégé ("Attaque qualifiée") et que les conditions décrites dans la section suivante sont remplies, Google fournit un crédit équivalent aux frais couverts, à condition que les frais couverts encourus dépassent le seuil minimal. Les tests de charge et les évaluations de sécurité effectués par ou pour le compte du Client ne sont pas des Attaques qualifiées.
- Conditions: Le client doit envoyer une demande à l'assistance Cloud Billing dans les 30 jours suivant la fin de l'Attaque qualifiée. La demande doit inclure des preuves de l'Attaque qualifiée, telles que des journaux ou d'autres données de télémétrie indiquant la date et l'heure de l'attaque, les Projets et ressources qui ont été attaqués, ainsi qu'une estimation des Frais encourus. Google déterminera raisonnablement si des crédits sont à régler ainsi que le montant approprié. D'autres conditions s'appliquent à certaines fonctionnalités de Google Cloud Armor. Vous les trouverez dans la documentation.
- Crédits: les crédits fournis au Client en lien avec cette section n'ont aucune valeur monétaire et ne peuvent être appliqués qu'à compenser des Frais futurs pour les Services. Ces crédits expirent 12 mois après leur émission, ou à la résiliation ou à l'expiration du Contrat.
- Définitions :
- Frais couverts: frais encourus par le Client en tant que résultat direct de l'Attaque qualifiée pour les éléments suivants :
- Traitement des données Ingress et sortantes pour le service d'équilibreur de charge Google Cloud.
- Traitement des données Google Cloud Armor Enterprise pour le service Google Cloud Armor.
- les sorties réseau, y compris les sorties interrégionales, interzones, Internet et d'appairage opérateur.
- Seuil minimal: montant minimal de Frais couverts qui peuvent être recrédités dans le cadre de cette Section tels que déterminés par Google de temps en temps et communiqués au Client sur demande.
- Frais couverts: frais encourus par le Client en tant que résultat direct de l'Attaque qualifiée pour les éléments suivants :
Étape suivante
- S'abonner et enregistrer des projets dans Cloud Armor Enterprise
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées