Google Cloud Armor Enterprise 是應用程式防護服務,可保護網頁應用程式和服務,防範分散式阻斷服務 (DDoS) 攻擊與其他網際網路威脅。Cloud Armor Enterprise 可保護部署在 Google Cloud、地端或在其他基礎架構供應商服務中的應用程式。
Google Cloud Armor Standard 與 Cloud Armor Enterprise 的比較
Google Cloud Armor 提供兩種服務級別:「Standard」和「Cloud Armor Enterprise」。
Google Cloud Armor Standard 包含下列項目:
- 即付即用計價模式
- 全天候防範巨流量和通訊協定型 DDoS 攻擊,並在下列基礎架構類型中,即時自動進行內嵌式緩解措施,不會造成延遲:
- 全域外部應用程式負載平衡器 (HTTP/HTTPS)
- 傳統版應用程式負載平衡器 (HTTP/HTTPS)
- 區域型外部應用程式負載平衡器 (HTTP/HTTPS)
- 外部直通式網路負載平衡器
- 全域外部 Proxy 網路負載平衡器 (TCP/SSL)
- Cloud CDN
- Media CDN
- 與 Cloud CDN 和 Media CDN 整合
- 存取 Google Cloud Armor 網頁應用程式防火牆 (WAF) 規則功能,包括 OWASP 十大資安風險防護的預先設定 WAF 規則
Cloud Armor Enterprise 包含下列項目:
- Google Cloud Armor Standard 的所有功能
- 可選擇的定價模式:Cloud Armor Enterprise Annual 或 Paygo
- 隨附的 Google Cloud Armor 網路應用程式防火牆用量,包括規則、政策和要求
- 第三方已命名 IP 位址清單
- Google Threat Intelligence for Google Cloud Armor
- 第 7 層端點的自動調整式防護機制
- 為直通端點提供進階網路 DDoS 防護功能,包括外部直通式網路負載平衡器、通訊協定轉送,以及虛擬機器 (VM) 執行個體的公開 IP 位址
- 存取 DDoS 攻擊瀏覽權限
- 階層式安全性政策
- (僅限 Cloud Armor Enterprise 年約):可使用 DDoS 帳單防護和 DDoS 應變團隊服務 (適用額外條件,請參閱「DDoS 應變團隊資格」)
凡是設有外部應用程式負載平衡器或外部 Proxy 網路負載平衡器的專案,都會自動註冊 Google Cloud Armor Standard。 Google Cloud 在帳單帳戶層級訂閱 Cloud Armor Enterprise 後,使用者可以選擇為連結至該帳單帳戶的個別專案註冊這項服務。
下表大致列出這兩種服務層級。
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| PayGo | 年約 | ||
| 計費方式 | 即付即用 | 即付即用 | 訂閱方案 (綁約 12 個月) |
| 定價 | 按照政策、規則和要求數量計費 (請參閱「定價」) |
|
|
| DDoS 攻擊防護 |
|
|
|
| Google Cloud Armor WAF | 按照政策、規則和要求數量計費 (請參閱「定價」) | 隨附於即付即用方案 | 隨附於年費方案 |
| 資源限制 | 不得超過配額上限 | 不得超過配額上限 | 不得超過配額上限 |
| 約期 | 一年 | ||
| Adaptive Protection | 僅限快訊 | ||
| 進階的網路分散式阻斷服務防護功能 | |||
| 網路邊緣安全性政策 | |||
| 位址群組 | |||
| Google Threat Intelligence | |||
| 階層式安全性政策 | |||
| DDoS 攻擊可視性 | |||
| DDoS 攻擊回應支援 | 資格規定 | ||
| 分散式阻斷服務攻擊帳單保護 | |||
訂閱 Cloud Armor Enterprise
訂閱 Cloud Armor Enterprise Annual 方案時,必須綁約一年 (12 個月)。只有具備帳單帳戶角色和權限的使用者,才能為帳單帳戶訂閱 Cloud Armor Enterprise 年度方案。或者,您也可以註冊 Cloud Armor Enterprise Paygo,無需承諾用量。
如要使用 Cloud Armor Enterprise 的額外服務和功能,請先註冊 Cloud Armor Enterprise。您可以訂閱 Cloud Armor Enterprise Annual 並註冊個別專案,也可以直接在 Cloud Armor Enterprise Paygo 中註冊專案。
建議您盡快為專案註冊 Cloud Armor Enterprise,因為啟用程序最多可能需要一小時。從 Google Cloud Armor Standard 升級至 Enterprise 時,通常不會影響應用程式的可用性。不過,變更安全性政策時,請務必仔細考量對帳單的影響。
外部應用程式負載平衡器和外部 Proxy 網路負載平衡器
專案註冊 Cloud Armor Enterprise 後,專案中的轉送規則會加入註冊程序。此外,所有後端服務和後端值區都會計為受保護的資源,並計入 Cloud Armor Enterprise 受保護資源的費用。在 Cloud Armor Enterprise Annual 中,後端服務和後端儲存空間會匯總帳單帳戶中所有已註冊的專案,而在 Cloud Armor Enterprise Paygo 中,後端服務和後端儲存空間則會匯總專案內的資源。
外部直通式網路負載平衡器、通訊協定轉送和公開 IP 位址 (VM)
Google Cloud Armor 提供下列選項,保護這些端點免受 DDoS 攻擊:
- 標準網路 DDoS 防護:為外部直通式網路負載平衡器、通訊協定轉送或使用公開 IP 位址的 VM 提供基本防護,且一律啟用。包括強制執行轉送規則和自動限制速率。這項功能屬於 Google Cloud Armor Standard 的一部分,不需要額外訂閱。
- 進階網路 DDoS 防護:為 Cloud Armor Enterprise 訂閱者提供額外防護。進階網路 DDoS 防護功能是依區域設定。為特定區域啟用這項功能後,Google Cloud Armor 就會提供全天候的巨流量攻擊偵測與針對性緩解服務,保護該區域中的外部直通式網路負載平衡器、通訊協定轉送作業和使用公開 IP 位址的 VM。
階層式安全性政策
附加階層式安全性政策時,繼承該政策的每個專案都必須註冊 Cloud Armor Enterprise。這包括組織或資料夾中所有未明確排除的專案,以及直接附加階層式安全性政策的所有專案。
- 如果專案連結至已訂閱 Cloud Armor Enterprise Annual 的 Cloud Billing 帳戶,系統會自動註冊 Cloud Armor Enterprise Annual (如果尚未註冊)。
- 如果專案繼承階層式安全性政策,但未訂閱 Cloud Armor Enterprise Annual,系統會自動為專案註冊 Cloud Armor Enterprise Paygo。如果專案自動註冊 Cloud Armor Enterprise Paygo 後,您才為帳單帳戶訂閱 Cloud Armor Enterprise Annual,專案不會自動註冊 Annual。如要進一步瞭解 Cloud Armor Enterprise Paygo,請參閱「Google Cloud Armor Standard 與 Cloud Armor Enterprise 比較」。
- 如果專案自動註冊 Cloud Armor Enterprise 後,您更新階層式安全性政策來排除該專案,專案不會自動取消註冊。如要手動取消註冊專案,請參閱「從 Cloud Armor Enterprise 移除專案」。
- 如果專案有任何繼承的階層式安全性政策,就無法從 Cloud Armor Enterprise 移除。
如要進一步瞭解階層式安全性政策,請參閱「階層式安全性政策總覽」。
DDoS 攻擊回應支援
DDoS 攻擊應變支援服務由負責保護所有 Google 服務的團隊提供,可全天候協助您應對 DDoS 攻擊,並提供潛在的自訂緩解措施。您可以在攻擊期間尋求回應支援,協助減輕攻擊影響,也可以主動聯絡我們,為即將到來的大量或可能爆紅的事件 (可能吸引異常大量訪客) 做好準備。
即使 Cloud Armor Enterprise 客戶尚未完成 DDoS 防護機制檢查,也能享有主動式支援服務。主動支援服務可讓我們在攻擊抵達 Google Cloud Armor 之前,套用預先設定的規則,防範常見的 DDoS 攻擊類型。如要尋求 DDoS 應對支援,請參閱「取得 DDoS 案件支援」。
DDoS 防護機制審查
DDoS 狀態審查的目標是提升 DDoS 回應程序的效率和效力。在審查過程中,我們會瞭解您的獨特用途和架構,並確認您的 Google Cloud Armor 安全性政策是否按照最佳做法設定。這有助於提高您對分散式阻斷服務攻擊的預防性復原能力。
DDoS 防護機制檢查服務適用於訂閱 Cloud Armor Enterprise Annual,且擁有 Cloud Customer Care 進階帳戶的客戶。
分散式阻斷服務攻擊回應支援服務的適用資格
符合下列條件即可建立支援記錄,並取得 Google Cloud Armor DDoS 應變支援團隊的協助:
- 您的帳單帳戶正在訂閱 Cloud Armor Enterprise 年約方案。
- 您的帳單帳戶有 Cloud 客戶服務的進階帳戶。
- 受攻擊的工作負載所在的專案已註冊 Cloud Armor Enterprise Annual。 Google Cloud
- 如果您使用跨專案服務參照,前端和後端服務專案都必須註冊 Cloud Armor Enterprise Annual。
- 如果客戶在 2024 年 9 月 3 日後訂閱 Cloud Armor Enterprise 年約,則受到攻擊的工作負載所在專案必須完成年度 DDoS 防護機制檢查。
即使客戶不符合支援資格,我們的 Cloud 客戶服務團隊也會在攻擊期間提供協助,例如協助偵錯規則、釐清行為,以及解決現有政策的特定問題。
如要尋求 DDoS 應變支援,請參閱「取得 DDoS 案件支援」。
分散式阻斷服務攻擊帳單保護
如要使用 Google Cloud Armor DDoS 帳單防護功能,專案必須註冊 Cloud Armor Enterprise Annual。如果帳單中因經過驗證的 DDoS 攻擊,導致 Cloud Load Balancing、Google Cloud Armor,以及網路網際網路、跨區域和跨可用區的出站資料移轉費用增加,我們將提供抵免額,供您日後使用。Google Cloud 如果我們確認你的要求成立並提供抵免額,該抵免額無法用於抵銷現有用量,只能用於日後用量。下表說明分散式阻斷服務攻擊帳單保護機制涵蓋的資源:
| 端點類型 | 涵蓋的用量增加 | |
|---|---|---|
|
Google Cloud Armor | Cloud Armor Enterprise 資料處理費用 |
| 網路 | 傳出資料移轉 | |
| 跨區域 | ||
| 區域間 | ||
| 電信業者對等互連 | ||
| 負載平衡器 | 傳入資料處理費用 | |
| 輸出資料處理費用 | ||
| Media CDN | Media CDN 輸出費用 (僅限外部應用程式負載平衡器) | |
|
Google Cloud Armor | Cloud Armor Enterprise 資料處理費用 |
| 網路 | 傳出資料移轉 | |
| 跨區域 | ||
| 區域間 | ||
| 電信業者對等互連 | ||
| 負載平衡器 | 傳入資料處理費用 | |
| 輸出資料處理費用 |
如要啟用分散式阻斷服務攻擊帳單保護機制,請參閱「啟用分散式阻斷服務攻擊帳單保護機制」。
在帳單帳戶之間遷移專案
自 2024 年 9 月 3 日起,如果您在訂閱 Cloud Armor Enterprise Annual 方案期間,將專案從一個帳單帳戶遷移至另一個帳單帳戶,但新的帳單帳戶未訂閱 Cloud Armor Enterprise Annual 方案,專案會在遷移完成後還原為 Google Cloud Armor Standard 方案。不過,如果專案有生效的階層式安全政策,則會降級為 Cloud Armor Enterprise Paygo 方案。因此,如要讓專案繼續使用 Cloud Armor Enterprise Annual,且不希望發生停機情形,建議您先為新帳單帳戶訂閱 Cloud Armor Enterprise Annual,再開始遷移程序。你也可以與 Cloud 帳單支援團隊聯絡,將訂閱項目從一個帳單帳戶遷移至另一個帳戶。
已註冊 Cloud Armor Enterprise Paygo 的專案不受帳單帳戶遷移影響。
從 Cloud Armor Enterprise 降級
從 Cloud Armor Enterprise 移除專案後,如果安全性政策使用的規則包含 Cloud Armor Enterprise 專屬功能 (進階規則),就會遭到凍結。凍結的安全政策具有下列屬性:
- Google Cloud Armor 會繼續根據政策中的規則 (包括任何進階規則) 評估流量。
- 您無法將安全性政策附加至新目標。
- 您只能對安全性政策執行下列作業:
- 您可以刪除安全性政策規則。
- 如果不想變更規則優先順序,可以更新進階規則,使其不再使用 Cloud Armor Enterprise 專屬功能。如果以這種方式修改所有進階規則,政策就不會再凍結。如要進一步瞭解如何更新安全性政策規則,請參閱「更新安全性政策中的單一規則」。
您也可以重新註冊 Cloud Armor Enterprise Annual 或 Cloud Armor Enterprise Paygo,恢復存取遭凍結的安全性政策。
進階的網路分散式阻斷服務防護功能
進階網路 DDoS 防護功能僅適用於註冊 Cloud Armor Enterprise 的專案。從 Cloud Armor Enterprise 移除含有有效進階網路 DDoS 政策的專案後,系統仍會根據 Cloud Armor Enterprise 定價,向您收取這項功能的費用。
建議您在取消專案註冊 Cloud Armor Enterprise 前,先刪除所有進階網路 DDoS 防護規則,但您也可以在降級後刪除進階網路 DDoS 防護規則。
條款與限制
Cloud Armor Enterprise 具有下列條款和限制:
- 一般情況:如果已註冊 Cloud Armor Enterprise 的專案在受保護的端點上遭受第三方阻斷服務攻擊 (下稱「符合資格的攻擊」),且符合下一節所述條件,Google 會提供等同於涵蓋費用的抵免額,前提是產生的涵蓋費用超過最低門檻。由「客戶」或代表「客戶」執行的負載測試和安全評估,不屬於「合格攻擊」。
- 條件:客戶必須在符合資格的攻擊結束後 30 天內,向 Cloud 帳單支援團隊提出要求。要求中必須包含合格攻擊事件的證據,例如記錄或其他遙測資料,指出攻擊時間,以及遭到攻擊的專案和資源,並估算所產生的涵蓋費用。Google 將合理判斷是否應支付抵免額,以及適當的金額。如要瞭解特定 Google Cloud Armor 功能的其他條件,請參閱說明文件。
- 抵免額:根據本節提供給「客戶」的任何抵免額均不具現金價值,僅可用於抵銷日後「服務」的「費用」。這些抵免額會在核發的 12 個月後失效,或是在協議終止或到期時失效。
- 定義:
- 涵蓋費用:因符合資格的攻擊事件直接導致客戶產生下列費用:
- Google Cloud LoadBalancer 服務的輸入和輸出資料處理。
- Google Cloud Armor 服務的 Google Cloud Armor Enterprise 資料處理。
- 網路輸出,包括跨區域、跨可用區、網際網路和電信業者對等互連輸出。
- 最低門檻:根據本節規定,符合資格的最低金額。Google 會不時決定最低門檻,並在客戶要求時告知。
- 涵蓋費用:因符合資格的攻擊事件直接導致客戶產生下列費用: