Google Cloud Armor Enterprise adalah layanan perlindungan aplikasi yang membantu melindungi layanan dan aplikasi web Anda dari serangan distributed denial-of-service (DDoS) dan ancaman lainnya dari internet. Cloud Armor Enterprise membantu melindungi aplikasi yang di-deploy di Google Cloud, infrastruktur lokal, atau penyedia infrastruktur lainnya.
Google Cloud Armor Standard versus Cloud Armor Enterprise
Google Cloud Armor ditawarkan dalam dua paket layanan, Standard dan Cloud Armor Enterprise.
Google Cloud Armor Standard mencakup hal berikut:
- Model harga bayar sesuai penggunaan
- Perlindungan yang selalu aktif dari serangan DDoS volumetrik dan berbasis protokol, dengan mitigasi inline otomatis secara real time dan tanpa dampak latensi di seluruh jenis infrastruktur berikut:
- Load Balancer Aplikasi eksternal global (HTTP/HTTPS)
- Load Balancer Aplikasi Klasik (HTTP/HTTPS)
- Load Balancer Aplikasi eksternal regional (HTTP/HTTPS)
- Load Balancer Jaringan passthrough eksternal
- Load Balancer Jaringan proxy eksternal global (TCP/SSL)
- Cloud CDN
- Media CDN
- Integrasi dengan Cloud CDN dan Media CDN
- Akses ke kemampuan aturan firewall aplikasi web (WAF) Google Cloud Armor, termasuk aturan WAF yang telah dikonfigurasi sebelumnya untuk perlindungan 10 teratas OWASP
Cloud Armor Enterprise mencakup hal berikut:
- Semua fitur Google Cloud Armor Standard
- Pilihan model harga: Cloud Armor Enterprise Tahunan atau Paygo
- Penggunaan WAF Google Cloud Armor yang dipaketkan, termasuk aturan, kebijakan, dan permintaan
- Daftar alamat IP bernama pihak ketiga
- Google Threat Intelligence untuk Google Cloud Armor
- Perlindungan Adaptif untuk endpoint Layer 7
- Perlindungan DDoS jaringan tingkat lanjut untuk endpoint passthrough—Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan alamat IP publik untuk instance mesin virtual (VM)
- Akses ke visibilitas serangan DDoS
- Kebijakan keamanan hierarkis
- (Khusus Cloud Armor Enterprise Tahunan): Akses ke perlindungan tagihan DDoS dan layanan tim respons DDoS (berlaku ketentuan tambahan, lihat Kelayakan untuk tim respons DDoS)
Semua Google Cloud project yang mencakup Load Balancer Aplikasi eksternal atau Load Balancer Jaringan proxy eksternal secara otomatis didaftarkan ke Google Cloud Armor Standard. Setelah berlangganan Cloud Armor Enterprise di level akun penagihan, pengguna dapat memilih untuk mendaftarkan masing-masing project yang terkait dengan akun penagihan tersebut di Cloud Armor Enterprise.
Tabel berikut merangkum kedua tingkat layanan.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Tahunan | ||
| Metode penagihan | Bayar sesuai penggunaan | Bayar sesuai penggunaan | Langganan dengan komitmen 12 bulan |
| Harga | Per kebijakan, per aturan, per permintaan (lihat Harga) |
|
|
| Perlindungan terhadap serangan DDoS |
|
|
|
| WAF Google Cloud Armor | Per kebijakan, per aturan, per permintaan (lihat Harga) | Termasuk dalam Paygo | Disertakan dengan Paket Tahunan |
| Batas resource | Hingga batas kuota | Hingga batas kuota | Hingga batas kuota |
| Komitmen waktu | Satu tahun | ||
| Perlindungan Adaptif | Hanya pemberitahuan | ||
| Perlindungan DDoS jaringan tingkat lanjut | |||
| Kebijakan keamanan edge jaringan | |||
| Grup Alamat | |||
| Google Threat Intelligence | |||
| Kebijakan keamanan hierarkis | |||
| Visibilitas serangan DDoS | |||
| Dukungan respons DDoS | Persyaratan kelayakan | ||
| Perlindungan tagihan DDoS | |||
Berlangganan Cloud Armor Enterprise
Berlangganan Cloud Armor Enterprise Annual memerlukan komitmen satu tahun (12 bulan). Hanya pengguna dengan peran dan izin akun penagihan yang dapat mendaftarkan akun penagihan ke Cloud Armor Enterprise Tahunan. Atau, Anda dapat mendaftar ke Cloud Armor Enterprise Paygo tanpa komitmen.
Untuk menggunakan layanan dan kemampuan tambahan di Cloud Armor Enterprise, Anda harus mendaftar ke Cloud Armor Enterprise terlebih dahulu. Anda dapat berlangganan Cloud Armor Enterprise Annual dan mendaftarkan project satu per satu, atau Anda dapat mendaftarkan project langsung di Cloud Armor Enterprise Paygo.
Sebaiknya daftarkan project Anda ke Cloud Armor Enterprise sesegera mungkin karena aktivasi dapat memakan waktu hingga satu jam. Mengupgrade dari Google Cloud Armor Standard ke Enterprise biasanya tidak akan mengganggu ketersediaan aplikasi Anda. Namun, saat Anda membuat perubahan pada kebijakan keamanan, Anda harus mempertimbangkan implikasi penagihan dengan cermat.
Load Balancer Aplikasi eksternal dan Load Balancer Jaringan proxy eksternal
Setelah project didaftarkan di Cloud Armor Enterprise, aturan penerusan dalam project akan ditambahkan ke pendaftaran. Selain itu, semua layanan backend dan bucket backend dihitung sebagai resource yang dilindungi dan diukur untuk biaya resource yang dilindungi Cloud Armor Enterprise. Layanan backend dan bucket backend di Cloud Armor Enterprise Annual digabungkan di semua project yang terdaftar dalam akun penagihan, sedangkan layanan backend dan bucket backend di Cloud Armor Enterprise Paygo digabungkan dalam project.
Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan alamat IP publik (VM)
Google Cloud Armor menawarkan opsi berikut untuk melindungi endpoint ini dari serangan DDoS:
- Perlindungan DDoS jaringan standar: perlindungan dasar yang selalu aktif untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, atau VM dengan alamat IP publik. Hal ini mencakup penerapan aturan penerusan dan pembatasan frekuensi otomatis. Fitur ini tercakup dalam Google Cloud Armor Standard dan tidak memerlukan langganan tambahan.
- Perlindungan DDoS jaringan tingkat lanjut: perlindungan tambahan untuk pelanggan Cloud Armor Enterprise. Perlindungan DDoS jaringan lanjutan dikonfigurasi berdasarkan per region. Jika diaktifkan untuk region tertentu, Google Cloud Armor menyediakan deteksi serangan volumetrik yang selalu aktif dan mitigasi yang ditargetkan untuk Load Balancer Jaringan passthrough eksternal, penerusan protokol, dan VM dengan alamat IP publik di region tersebut.
Kebijakan keamanan hierarkis
Saat Anda melampirkan kebijakan keamanan hierarkis, setiap project yang mewarisi kebijakan keamanan hierarkis harus didaftarkan ke Cloud Armor Enterprise. Hal ini mencakup semua project dalam organisasi atau folder dengan kebijakan keamanan hierarkis yang tidak dikecualikan secara eksplisit, dan semua project dengan kebijakan keamanan hierarkis yang dilampirkan langsung ke project.
- Project yang ditautkan ke akun Penagihan Cloud dengan langganan Cloud Armor Enterprise Annual akan otomatis didaftarkan ke Cloud Armor Enterprise Annual jika belum terdaftar.
- Tanpa langganan Cloud Armor Enterprise Annual, project akan otomatis terdaftar di Cloud Armor Enterprise Paygo saat project tersebut mewarisi kebijakan keamanan hierarkis. Jika Anda mendaftarkan akun penagihan ke Cloud Armor Enterprise Annual setelah project Anda otomatis terdaftar di Cloud Armor Enterprise Paygo, project tersebut tidak akan otomatis terdaftar ke Annual. Untuk mengetahui informasi selengkapnya tentang Cloud Armor Enterprise Paygo, lihat Google Cloud Armor Standard versus Cloud Armor Enterprise.
- Jika Anda memperbarui kebijakan keamanan hierarkis untuk mengecualikan project setelah project didaftarkan secara otomatis ke Cloud Armor Enterprise, project tersebut tidak akan otomatis dibatalkan pendaftarannya. Untuk membatalkan pendaftaran project Anda secara manual, lihat Menghapus project dari Cloud Armor Enterprise.
- Anda tidak dapat menghapus project dari Cloud Armor Enterprise jika project tersebut memiliki kebijakan keamanan hierarkis yang diwariskan.
Pendaftaran otomatis dapat memerlukan waktu hingga satu minggu. Selama periode ini, kebijakan keamanan hierarkis Anda berlaku dan tidak ada biaya Cloud Armor Enterprise yang dikenakan. Saat project Anda terdaftar, log audit akan diperbarui untuk mencerminkan status Cloud Armor Enterprise project dan Anda akan melihat tingkat project baru di konsol Google Cloud .
Untuk mengetahui informasi selengkapnya tentang kebijakan keamanan hierarkis, lihat ringkasan kebijakan keamanan hierarkis.
Dukungan respons DDoS
Dukungan Respons DDoS memberikan bantuan 24/7 dan potensi mitigasi kustom dari serangan DDoS dari tim yang sama yang melindungi semua layanan Google. Anda dapat menghubungi dukungan respons selama serangan untuk membantu mengurangi serangan, atau Anda dapat menghubungi secara proaktif untuk merencanakan acara dengan volume tinggi atau berpotensi viral yang akan datang (yang mungkin menarik jumlah pengunjung yang sangat tinggi).
Dukungan proaktif tersedia untuk semua pelanggan Cloud Armor Enterprise, meskipun mereka belum menyelesaikan peninjauan postur DDoS. Dukungan proaktif memungkinkan kami menerapkan aturan yang telah dikonfigurasi sebelumnya yang menargetkan jenis serangan DDoS umum sebelum serangan mencapai Google Cloud Armor. Untuk mendapatkan dukungan respons DDoS, lihat Mendapatkan dukungan untuk kasus DDoS.
Peninjauan postur DDoS
Tujuan peninjauan postur DDoS adalah untuk meningkatkan efisiensi dan efektivitas proses respons DDoS. Selama proses peninjauan, kami mempelajari kasus penggunaan dan arsitektur unik Anda, serta memverifikasi bahwa kebijakan keamanan Google Cloud Armor Anda dikonfigurasi sesuai dengan praktik terbaik kami. Hal ini membantu Anda meningkatkan ketahanan preventif terhadap serangan DDoS.
Peninjauan postur DDoS diberikan kepada pelanggan yang berlangganan Cloud Armor Enterprise Annual dan memiliki akun Premium untuk Layanan Pelanggan Cloud.
Kelayakan untuk dukungan respons DDoS
Kriteria berikut membuat Anda memenuhi syarat untuk membuka kasus dan menerima bantuan dari tim dukungan respons DDoS Google Cloud Armor:
- Akun penagihan Anda memiliki langganan tahunan Cloud Armor Enterprise yang aktif.
- Akun penagihan Anda memiliki akun Premium untuk Dukungan Pelanggan Cloud.
- Project Google Cloud dengan workload yang sedang diserang terdaftar di Cloud Armor Enterprise Annual.
- Jika Anda menggunakan referensi layanan lintas project, project layanan frontend dan backend harus terdaftar di Cloud Armor Enterprise Annual.
- Untuk pelanggan yang berlangganan Cloud Armor Enterprise Tahunan setelah 3 September 2024: Project dengan workload yang sedang diserang harus telah menjalani peninjauan postur DDoS tahunan.
Meskipun pelanggan tidak memenuhi syarat untuk mendapatkan dukungan, tim Cloud Customer Care kami memberikan bantuan selama serangan dengan membantu proses debug aturan, klarifikasi perilaku, dan masalah spesifik terkait kebijakan yang ada.
Untuk menggunakan dukungan respons DDoS, lihat Mendapatkan dukungan untuk kasus DDoS.
Perlindungan tagihan DDoS
Perlindungan tagihan DDoS Google Cloud Armor mengharuskan project Anda terdaftar di Cloud Armor Enterprise Annual. Hal ini memberikan kredit untuk penggunaanGoogle Cloud di masa mendatang untuk beberapa peningkatan tagihan dari Cloud Load Balancing, Google Cloud Armor, dan transfer data keluar jaringan internet, antar-region, dan antar-zona sebagai akibat dari serangan DDoS yang terverifikasi. Jika klaim diakui dan kredit diberikan, kredit tidak dapat digunakan untuk mengimbangi penggunaan yang ada; kredit hanya dapat berlaku untuk penggunaan di masa mendatang. Tabel berikut menunjukkan resource yang tercakup dalam perlindungan tagihan DDoS:
| Jenis Endpoint | Peningkatan Penggunaan yang Tercakup | |
|---|---|---|
|
Google Cloud Armor | Biaya pemrosesan data Cloud Armor Enterprise |
| Jaringan | Transfer data keluar | |
| Antar-region | ||
| Antarzona | ||
| Peering Operator | ||
| Load balancer | Biaya pemrosesan data masuk | |
| Biaya pemrosesan data keluar | ||
| Media CDN | Biaya traffic keluar Media CDN (khusus Load Balancer Aplikasi eksternal) | |
|
Google Cloud Armor | Biaya pemrosesan data Cloud Armor Enterprise |
| Jaringan | Transfer data keluar | |
| Antar-region | ||
| Antarzona | ||
| Peering Operator | ||
| Load balancer | Biaya pemrosesan data masuk | |
| Biaya pemrosesan data keluar |
Untuk mengaktifkan perlindungan tagihan DDoS, lihat Mengaktifkan perlindungan tagihan DDoS.
Memigrasikan project antar-akun penagihan
Mulai 3 September 2024, jika Anda memigrasikan project dari satu akun penagihan ke akun penagihan lain saat berlangganan Cloud Armor Enterprise Annual, tetapi akun penagihan baru Anda tidak berlangganan Cloud Armor Enterprise Annual, project Anda akan dikembalikan ke Google Cloud Armor Standard setelah migrasi selesai—kecuali jika project Anda memiliki kebijakan keamanan hierarkis yang efektif, dalam hal ini project Anda akan di-downgrade ke Cloud Armor Enterprise Paygo. Oleh karena itu, jika Anda ingin mempertahankan project Anda di Cloud Armor Enterprise Tahunan tanpa periode nonaktif, sebaiknya Anda mendaftarkan akun penagihan baru ke Cloud Armor Enterprise Tahunan sebelum memulai proses migrasi. Anda juga dapat memigrasikan langganan dari satu akun penagihan ke akun penagihan lainnya dengan menghubungi dukungan Penagihan Cloud.
Project yang terdaftar dalam Cloud Armor Enterprise Paygo tidak terpengaruh oleh migrasi akun penagihan.
Mendowngrade dari Cloud Armor Enterprise
Saat Anda menghapus project dari Cloud Armor Enterprise, semua kebijakan keamanan yang menggunakan aturan dengan fitur eksklusif Cloud Armor Enterprise (aturan lanjutan) akan dibekukan. Kebijakan keamanan yang dibekukan memiliki properti berikut:
- Google Cloud Armor akan terus mengevaluasi traffic berdasarkan aturan dalam kebijakan, termasuk aturan lanjutan.
- Anda tidak dapat melampirkan kebijakan keamanan ke target baru.
- Anda hanya dapat melakukan operasi berikut pada kebijakan keamanan:
- Anda dapat menghapus aturan kebijakan keamanan.
- Jika tidak mengubah prioritas aturan, Anda dapat memperbarui aturan lanjutan sehingga tidak lagi menggunakan fitur eksklusif Cloud Armor Enterprise. Jika Anda mengubah semua aturan lanjutan dengan cara ini, kebijakan Anda tidak lagi dibekukan. Untuk mengetahui informasi selengkapnya tentang cara memperbarui aturan kebijakan keamanan, lihat Memperbarui satu aturan dalam kebijakan keamanan.
Anda juga dapat mendaftar ulang ke Cloud Armor Enterprise Annual atau Cloud Armor Enterprise Paygo untuk memulihkan akses ke kebijakan keamanan yang dibekukan.
Perlindungan DDoS jaringan tingkat lanjut
Perlindungan DDoS jaringan tingkat lanjut hanya tersedia untuk project yang terdaftar di Cloud Armor Enterprise. Saat Anda menghapus project dengan kebijakan DDoS jaringan lanjutan yang aktif dari Cloud Armor Enterprise, Anda tetap ditagih untuk fitur tersebut berdasarkan harga Cloud Armor Enterprise.
Sebaiknya hapus semua aturan perlindungan DDoS jaringan tingkat lanjut sebelum membatalkan pendaftaran project Anda dari Cloud Armor Enterprise, tetapi Anda juga dapat menghapus aturan perlindungan DDoS jaringan tingkat lanjut setelah melakukan downgrade.
Persyaratan dan batasan
Cloud Armor Enterprise memiliki persyaratan dan batasan berikut:
- Umumnya: Jika Project yang terdaftar di Cloud Armor Enterprise mengalami serangan penolakan layanan pihak ketiga pada endpoint yang dilindungi ("Serangan yang Memenuhi Syarat") dan kondisi yang dijelaskan di bagian berikutnya terpenuhi, Google akan memberikan kredit yang setara dengan Biaya yang Tercakup, asalkan Biaya yang Tercakup yang dikeluarkan melebihi Nilai Minimum. Uji beban dan penilaian keamanan yang dilakukan oleh atau atas nama Pelanggan bukan Serangan yang Memenuhi Syarat.
- Kondisi: Pelanggan harus mengirimkan permintaan ke Dukungan Penagihan Cloud dalam waktu 30 hari setelah berakhirnya Serangan yang Memenuhi Syarat. Permintaan harus menyertakan bukti Serangan yang Memenuhi Syarat, seperti log atau telemetri lain yang menunjukkan waktu serangan dan Project serta resource yang diserang, dan perkiraan Biaya yang Tercakup yang dikeluarkan. Google akan menentukan secara wajar apakah kredit akan diberikan dan jumlah yang sesuai. Kondisi lain untuk fitur Google Cloud Armor tertentu disertakan dalam Dokumentasi.
- Kredit: Kredit apa pun yang diberikan kepada Pelanggan sehubungan dengan Pasal ini tidak memiliki nilai tunai dan hanya dapat diterapkan untuk mengimbangi Biaya mendatang untuk Layanan. Masa berlaku kredit ini akan berakhir 12 bulan setelah diberikan atau setelah penghentian atau habis masa berlaku Perjanjian.
- Definisi:
- Biaya yang Tercakup: Biaya apa pun yang ditanggung Pelanggan sebagai akibat langsung dari Serangan yang Memenuhi Syarat untuk hal berikut:
- Pemrosesan data masuk dan keluar untuk Layanan Load Balancer. Google Cloud
- Pemrosesan data Google Cloud Armor Enterprise untuk Layanan Google Cloud Armor.
- Traffic keluar jaringan, termasuk traffic keluar antar-region, antar-zona, internet, dan Carrier Peering.
- Nilai Minimum: Jumlah minimum Biaya yang Tercakup yang memenuhi syarat untuk dikreditkan berdasarkan Pasal ini sebagaimana ditentukan oleh Google dari waktu ke waktu dan diungkapkan kepada Pelanggan atas permintaan.
- Biaya yang Tercakup: Biaya apa pun yang ditanggung Pelanggan sebagai akibat langsung dari Serangan yang Memenuhi Syarat untuk hal berikut:
Langkah berikutnya
- Berlangganan dan mendaftarkan project di Cloud Armor Enterprise
- Memecahkan masalah
- Menggunakan referensi bahasa aturan kustom