Google Cloud Armor Enterprise ist ein Dienst zum Schutz von Anwendungen, der Ihre Webanwendungen und Dienste vor DDoS-Angriffen (Distributed Denial-of-Service) und anderen Bedrohungen aus dem Internet schützt. Mit Cloud Armor Enterprise können Anwendungen, die in Google Cloud, lokal oder von anderen Infrastrukturanbietern bereitgestellt werden, geschützt werden.
Google Cloud Armor Standard im Vergleich zu Cloud Armor Enterprise
Google Cloud Armor wird in zwei Dienststufen angeboten: Standard und Cloud Armor Enterprise.
Google Cloud Armor Standard umfasst Folgendes:
- Ein „Pay as you go“-Preismodell
- Always-On-Schutz vor volumetrischen und protokollbasierten DDoS-Angriffen mit automatisierter Inline-Abwehr in Echtzeit und ohne Auswirkungen auf die Latenz bei den folgenden Infrastrukturtypen:
- Globaler externer Application Load Balancer (HTTP/HTTPS)
- Klassischer Application Load Balancer (HTTP/HTTPS)
- Regionaler externer Application Load Balancer (HTTP/HTTPS)
- Externer Passthrough-Network Load Balancer
- Globaler externer Proxy-Network Load Balancer (TCP/SSL)
- Cloud CDN
- Media CDN
- Integration mit Cloud CDN und Media CDN
- Zugriff auf die WAF-Regelfunktionen (Web Application Firewall) von Google Cloud Armor, einschließlich vorkonfigurierter WAF-Regeln für den OWASP-Top-10-Schutz
Cloud Armor Enterprise umfasst Folgendes:
- Alle Funktionen von Google Cloud Armor Standard
- Auswahl von Preismodellen: Cloud Armor Enterprise jährlich oder Paygo
- Gebündelte Google Cloud Armor WAF-Nutzung, einschließlich Regeln, Richtlinien und Anfragen
- Benannte IP-Adresslisten von Drittanbietern
- Google Threat Intelligence für Google Cloud Armor
- Adaptiver Schutz für Layer 7-Endpunkte
- Erweiterter DDoS-Netzwerkschutz für Passthrough-Endpunkte: externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen für VM-Instanzen
- Zugriff auf die Sichtbarkeit von DDoS-Angriffen
- Hierarchische Sicherheitsrichtlinien
- (Nur Cloud Armor Enterprise Annual): Zugriff auf DDoS-Rechnungsschutz und DDoS-Antwortteam-Dienste (es gelten zusätzliche Bedingungen, siehe Voraussetzungen für das DDoS-Antwortteam)
Alle Google Cloud Projekte mit einem externen Application Load Balancer oder einem externen Proxy-Network-Load-Balancer werden automatisch für Google Cloud Armor Standard registriert. Nachdem Sie Cloud Armor Enterprise auf Rechnungskonto-Ebene abonniert haben, können Nutzer einzelne Projekte auswählen, die mit dem Rechnungskonto in Cloud Armor Enterprise verknüpft sind.
In der folgenden Tabelle erhalten Sie eine Übersicht zu den beiden Dienststufen.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| PayGo | Jährlich | ||
| Abrechnungsmethode | Pay as you go | Pay as you go | Abo mit 12-monatiger Mindestlaufzeit |
| Preise | Pro Richtlinie, Regel und Anfrage (siehe Preise) |
|
|
| Schutz vor DDoS-Angriffen |
|
|
|
| Google Cloud Armor-WAF | Pro Richtlinie, Regel und Anfrage (siehe Preise) | In Paygo enthalten | In „Jährlich“ enthalten |
| Ressourcenlimits | Bis zum Kontingentlimit | Bis zum Kontingentlimit | Bis zum Kontingentlimit |
| Zeitaufwand | Ein Jahr | ||
| Adaptive Protection | Nur Benachrichtigungen | ||
| Erweiterter DDoS-Netzwerkschutz | |||
| Sicherheitsrichtlinien für Netzwerk-Edge | |||
| Adressgruppe | |||
| Google Threat Intelligence | |||
| Hierarchische Sicherheitsrichtlinien | |||
| Sichtbarkeit von DDoS-Angriffen | |||
| Support für DDoS-Antworten | Teilnahmevoraussetzungen | ||
| DDoS-Rechnungsschutz | |||
Cloud Armor Enterprise abonnieren
Für das Abo der Cloud Armor-Dienststufe „Enterprise jährlich“ ist eine Laufzeit von einem Jahr (12 Monate) erforderlich. Nur Nutzer mit der Rechnungskonto-Rolle und den Berechtigungen können das Rechnungskonto für Cloud Armor Enterprise Annual abonnieren. Alternativ können Sie sich ohne Verpflichtung für Cloud Armor Enterprise Paygo registrieren.
Wenn Sie die zusätzlichen Dienste und Funktionen in Cloud Armor Enterprise verwenden möchten, müssen Sie sich zuerst für Cloud Armor Enterprise registrieren. Sie können Cloud Armor Enterprise Annual abonnieren und einzelne Projekte registrieren oder ein Projekt direkt für Cloud Armor Enterprise Paygo registrieren.
Wir empfehlen, Ihre Projekte so bald wie möglich für Cloud Armor Enterprise zu registrieren, da die Aktivierung bis zu einer Stunde dauern kann. Ein Upgrade von Google Cloud Armor Standard auf Enterprise beeinträchtigt die Verfügbarkeit Ihrer Anwendung in der Regel nicht. Wenn Sie jedoch Änderungen an Ihren Sicherheitsrichtlinien vornehmen, müssen Sie die Auswirkungen auf die Abrechnung sorgfältig abwägen.
Externer Application Load Balancer und externer Proxy-Network Load Balancer
Nachdem ein Projekt für Cloud Armor Enterprise registriert wurde, werden die Weiterleitungsregeln im Projekt der Registrierung hinzugefügt. Außerdem werden alle Backend-Dienste und Backend-Buckets als geschützte Ressourcen gezählt und nach den Kosten für geschützte Ressourcen von Cloud Armor Enterprise abgerechnet. Die Backend-Dienste und Backend-Buckets in Cloud Armor Enterprise Annual werden für alle registrierten Projekte in einem Rechnungskonto aggregiert, während die Backend-Dienste und Backend-Buckets in Cloud Armor Enterprise Paygo innerhalb des Projekts aggregiert werden.
Externe Passthrough-Network Load Balancer, Protokollweiterleitung und öffentliche IP-Adressen (VMs)
Google Cloud Armor bietet die folgenden Optionen, um diese Endpunkte vor DDoS-Angriffen zu schützen:
- DDoS-Standardschutz für Netzwerke: Einfacher immer aktivierter Schutz für externe Passthrough-Network Load Balancer, Protokollweiterleitung oder VMs mit öffentlichen IP-Adressen. Dazu gehören die Durchsetzung von Weiterleitungsregeln und die automatische Ratenbegrenzung. Dies ist in Google Cloud Armor Standard enthalten und erfordert keine zusätzlichen Abos.
- Erweiterter DDoS-Netzwerkschutz: Zusätzliche Schutzmaßnahmen für Cloud Armor Enterprise-Abonnenten. Der erweiterte DDoS-Schutz für Netzwerke wird pro Region konfiguriert. Wenn Google Cloud Armor für eine bestimmte Region aktiviert ist, bietet sie immer eine Erkennung volumetrischer Angriffe und eine gezielte Minderung für externe Passthrough-Network Load Balancer, Protokollweiterleitung und VMs mit öffentlichen IP-Adressen in dieser Region.
Hierarchische Sicherheitsrichtlinien
Wenn Sie eine hierarchische Sicherheitsrichtlinie anhängen, muss jedes der Projekte, das die hierarchische Sicherheitsrichtlinie übernimmt, bei Cloud Armor Enterprise registriert sein. Dazu gehören alle Projekte in einer Organisation oder einem Ordner mit einer hierarchischen Sicherheitsrichtlinie, die nicht explizit ausgeschlossen sind, sowie alle Projekte, an die eine hierarchische Sicherheitsrichtlinie direkt angehängt ist.
- Projekte, die mit einem Cloud-Rechnungskonto mit einem Jahresabo für Cloud Armor Enterprise verknüpft sind, werden automatisch für Cloud Armor Enterprise Annual registriert, sofern sie nicht bereits registriert sind.
- Ohne ein Cloud Armor Enterprise-Jahresabo werden Projekte automatisch für Cloud Armor Enterprise Paygo registriert, wenn sie eine hierarchische Sicherheitsrichtlinie übernehmen. Wenn Sie das Rechnungskonto für Cloud Armor Enterprise Annual abonnieren, nachdem Ihr Projekt automatisch für Cloud Armor Enterprise Paygo registriert wurde, wird das Projekt nicht automatisch für Annual registriert. Weitere Informationen zu Cloud Armor Enterprise Paygo finden Sie unter Google Cloud Armor Standard im Vergleich zu Cloud Armor Enterprise.
- Wenn Sie eine hierarchische Sicherheitsrichtlinie aktualisieren, um ein Projekt nach der automatischen Registrierung des Projekts bei Cloud Armor Enterprise auszuschließen, wird die Registrierung des Projekts nicht automatisch aufgehoben. Informationen zum manuellen Abmelden Ihres Projekts finden Sie unter Projekt aus Cloud Armor Enterprise entfernen.
- Sie können ein Projekt nicht aus Cloud Armor Enterprise entfernen, solange es geerbte hierarchische Sicherheitsrichtlinien hat.
Die automatische Registrierung kann bis zu einer Woche dauern. Während dieser Zeit sind Ihre hierarchischen Sicherheitsrichtlinien wirksam und es fallen keine Cloud Armor Enterprise-Kosten an. Wenn Ihr Projekt registriert ist, werden die Audit-Logs aktualisiert, um den Cloud Armor Enterprise-Status des Projekts widerzuspiegeln. Der neue Projekttarif wird in der Google Cloud Console angezeigt.
Weitere Informationen zu hierarchischen Sicherheitsrichtlinien finden Sie in der Übersicht über hierarchische Sicherheitsrichtlinien.
Support für DDoS-Antworten
Mit dem DDoS-Antwortsupport erhalten Sie rund um die Uhr Hilfe und potenzielle benutzerdefinierte Abwehrmaßnahmen von DDoS-Angriffen vom selben Team, das auch alle Google-Dienste schützt. Sie können den Reaktionssupport bei einem Angriff unterstützen, um den Angriff zu entschärfen. Alternativ haben Sie die Möglichkeit, sich auf ein hohes Volumen oder potenziell virales Ereignis vorzubereiten, von dem eine ungewöhnlich hohe Anzahl an Besucher anziehen könnte.
Proaktiver Support ist für alle Cloud Armor Enterprise-Kunden verfügbar, auch wenn sie noch keine Überprüfung der DDoS-Sicherheitslage durchgeführt haben. Durch den proaktiven Support können wir vorkonfigurierte Regeln anwenden, die auf gängige DDoS-Angriffstypen ausgerichtet sind, bevor der Angriff Google Cloud Armor erreicht. Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für DDoS-Fälle.
Überprüfung des DDoS-Status
Ziel der Überprüfung der DDoS-Abwehr ist es, die Effizienz und Wirksamkeit des DDoS-Reaktionsprozesses zu verbessern. Während des Überprüfungsprozesses erfahren wir mehr über Ihren individuellen Anwendungsfall und Ihre Architektur und prüfen, ob Ihre Google Cloud Armor-Sicherheitsrichtlinien gemäß unseren Best Practices konfiguriert sind. So können Sie Ihre präventive Resilienz gegen DDoS-Angriffe erhöhen.
Die Überprüfung der DDoS-Sicherheitslage wird Kunden angeboten, die Cloud Armor Enterprise Annual abonnieren und ein Premium-Konto für Cloud Customer Care haben.
Voraussetzungen für den Support für DDoS-Antworten
Die folgenden Kriterien berechtigen Sie, eine Anfrage zu stellen und Hilfe vom Google Cloud Armor-DDoS-Supportteam zu erhalten:
- Für Ihr Rechnungskonto ist ein aktives Jahresabo für Cloud Armor Enterprise vorhanden.
- Ihr Rechnungskonto hat ein Premium-Konto für Cloud Customer Care.
- Das Google Cloud Projekt mit der Arbeitslast, die manipuliert werden soll, ist für Cloud Armor Enterprise Annual registriert.
- Wenn Sie projektübergreifende Dienstverweise verwenden, müssen sowohl das Front-End- als auch das Backend-Dienstprojekt für Cloud Armor Enterprise Annual registriert sein.
- Für Kunden, die Cloud Armor Enterprise Annual nach dem 3. September 2024 abonniert haben: Für das Projekt mit der angegriffenen Arbeitslast muss eine jährliche Überprüfung der DDoS-Sicherheitslage durchgeführt worden sein.
Auch wenn Kunden nicht für den Support infrage kommen, unterstützt unser Cloud Customer Care-Team sie bei einem Angriff. Es hilft beim Debuggen von Regeln, bei der Klärung von Verhaltensweisen und bei spezifischen Bedenken hinsichtlich bestehender Richtlinien.
Informationen zum Einbinden der DDoS-Antwortunterstützung finden Sie unter Support für einen DDoS-Fall erhalten.
DDoS-Rechnungsschutz
Für den DDoS-Rechnungsschutz von Google Cloud Armor muss Ihr Projekt für Cloud Armor Enterprise Annual registriert sein. Er bietet Gutschriften für die künftige Nutzung vonGoogle Cloud für einige Erhöhungen der Rechnungen von Cloud Load Balancing, Google Cloud Armor und Netzwerk-Internet, ausgehenden interregionalen und interzonalen Traffic als Ergebnis eines verifizierten DDoS-Angriffs. Wenn eine Anforderung anerkannt und ein Guthaben bereitgestellt wird, kann die Gutschrift nicht für die bestehende Nutzung sondern nur für zukünftige Vorgänge genutzt werden. In der folgenden Tabelle sehen Sie, welche Ressourcen vom DDos-Rechnungsschutz abgedeckt sind:
| Endpunkttyp | Erhöhung der abgedeckten Nutzung | |
|---|---|---|
|
Google Cloud Armor | Datenverarbeitungsgebühr für Cloud Armor Enterprise |
| Netzwerk | Ausgehende Datenübertragung | |
| Regionenübergreifend | ||
| Interzonal | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Verarbeitung eingehender Daten | |
| Gebühr für die Verarbeitung ausgehender Daten | ||
| Media CDN | Media CDN-Ausgangsgebühr (nur externer Application Load Balancer) | |
|
Google Cloud Armor | Datenverarbeitungsgebühr für Cloud Armor Enterprise |
| Netzwerk | Ausgehende Datenübertragung | |
| Regionenübergreifend | ||
| Interzonal | ||
| Carrier Peering | ||
| Load-Balancer | Gebühr für die Verarbeitung eingehender Daten | |
| Gebühr für die Verarbeitung ausgehender Daten |
Informationen zum Einbinden des DDoS-Rechnungsschutzes finden Sie unter Rechnungsschutz mit DDoS-Angriffen.
Projekte zwischen Rechnungskonten migrieren
Wenn Sie Ihr Projekt ab dem 3. September 2024 von einem Rechnungskonto zu einem anderen migrieren, während Sie Cloud Armor Enterprise Annual abonniert haben, Ihr neues Rechnungskonto jedoch nicht, wird Ihr Projekt nach Abschluss der Migration auf Google Cloud Armor Standard zurückgesetzt, es sei denn, für Ihr Projekt sind effektive hierarchische Sicherheitsrichtlinien vorhanden. In diesem Fall wird Ihr Projekt auf Cloud Armor Enterprise Paygo herabgestuft. Wenn Sie Ihr Projekt also ohne Ausfallzeiten in Cloud Armor Enterprise Annual behalten möchten, empfehlen wir, dass Sie Ihr neues Rechnungskonto vor Beginn der Migration für Cloud Armor Enterprise Annual abonnieren. Sie können Ihr Abo auch von einem Abrechnungskonto zum anderen migrieren, indem Sie sich an den Cloud Billing-Support wenden.
Projekte, die für Cloud Armor Enterprise Paygo registriert sind, sind von der Migration des Rechnungskontos nicht betroffen.
Downgrade von Cloud Armor Enterprise
Wenn Sie ein Projekt aus Cloud Armor Enterprise entfernen, werden alle Sicherheitsrichtlinien, in denen Regeln mit Cloud Armor Enterprise-exklusiven Funktionen (erweiterte Regeln) verwendet werden, eingefroren. Eingefrorene Sicherheitsrichtlinien haben die folgenden Eigenschaften:
- Google Cloud Armor wertet den Traffic weiterhin anhand der Regeln in der Richtlinie aus, einschließlich aller erweiterten Regeln.
- Sie können die Sicherheitsrichtlinie nicht an neue Ziele anhängen.
- Sie können nur die folgenden Vorgänge für die Sicherheitsrichtlinie ausführen:
- Sie können Sicherheitsrichtlinienregeln löschen.
- Wenn Sie die Priorität der Regel nicht ändern, können Sie erweiterte Regeln so aktualisieren, dass sie keine Cloud Armor Enterprise-exklusiven Funktionen mehr verwenden. Wenn Sie alle erweiterten Regeln auf diese Weise ändern, wird die Richtlinie nicht mehr eingefroren. Weitere Informationen zum Aktualisieren von Regeln in Sicherheitsrichtlinien finden Sie unter Einzelne Regel in einer Sicherheitsrichtlinie aktualisieren.
Sie können sich auch wieder für Cloud Armor Enterprise Annual oder Cloud Armor Enterprise Paygo registrieren, um den Zugriff auf Ihre eingefrorenen Sicherheitsrichtlinien wiederherzustellen.
Erweiterter DDoS-Netzwerkschutz
Der erweiterte DDoS-Schutz für Netzwerke ist nur für Projekte verfügbar, die bei Cloud Armor Enterprise registriert sind. Wenn Sie ein Projekt mit einer aktiven erweiterten DDoS-Richtlinie für Netzwerke aus Cloud Armor Enterprise entfernen, wird die Funktion weiterhin gemäß den Cloud Armor Enterprise-Preisen abgerechnet.
Wir empfehlen, alle Regeln für den erweiterten DDoS-Schutz für Netzwerke zu löschen, bevor Sie die Registrierung Ihres Projekts für Cloud Armor Enterprise aufheben. Sie können die Regeln für den erweiterten DDoS-Schutz für Netzwerke aber auch nach dem Downgrade löschen.
Nutzungsbedingungen und Einschränkungen
Für Cloud Armor Enterprise gelten die folgenden Bedingungen und Einschränkungen:
- Allgemein: Wenn in einem Projekt, das für Cloud Armor Enterprise registriert ist, ein Denial-of-Service-Angriff von Drittanbietern auf einen geschützten Endpunkt erfolgt („Qualifizierter Angriff“) und die im nächsten Abschnitt beschriebenen Bedingungen erfüllt sind, gewährt Google eine Gutschrift in Höhe der abgedeckten Gebühren, sofern die angefallenen abgedeckten Gebühren den Mindestbetrag überschreiten. Lasttests und Sicherheitsbewertungen, die vom oder im Auftrag des Kunden durchgeführt werden, sind keine qualifizierten Angriffe.
- Bedingungen: Der Kunde muss innerhalb von 30 Tagen nach dem Ende des qualifizierten Angriffs eine Anfrage an den Cloud Billing Support senden. Die Anfrage muss Nachweise für den qualifizierten Angriff enthalten, z. B. Logs oder andere Telemetriedaten, die den Zeitpunkt des Angriffs sowie die betroffenen Projekte und Ressourcen angeben, und eine Schätzung der angefallenen Gebühren. Google wird angemessene Maßnahmen ergreifen, um festzustellen, ob Gutschriften fällig sind, sowie den entsprechenden Betrag festlegen. Andere Bedingungen für bestimmte Google Cloud Armor-Funktionen sind in der Dokumentation enthalten.
- Guthaben: Guthaben, die der Kunde in Verbindung mit diesem Abschnitt erhält, können keinen Barwert haben und nur für die zukünftigen Gebühren für die Dienste verwendet werden. Diese Gutschriften verfallen 12 Monate nach ihrer Ausstellung oder bei Kündigung oder Ablauf der Vereinbarung.
- Definitionen:
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden als direktes Ergebnis des qualifizierten Angriffs berechnet werden:
- Verarbeitung eingehender und ausgehender Daten für den Google Cloud LoadBalancer-Dienst.
- Google Cloud Armor Enterprise-Datenverarbeitung für den Google Cloud Armor-Dienst.
- Ausgehender Netzwerktraffic einschließlich interregionaler, interzonaler, Internet- und Carrier Peering-Traffic.
- Mindestgrenzwert: Der Mindestbetrag der abgedeckten Gebühren, der gemäß diesem Abschnitt von Google gegebenenfalls ggf. gutgeschrieben werden kann und dem Kunden auf Anfrage zur Verfügung gestellt wird.
- Abgedeckte Gebühren: Alle Gebühren, die dem Kunden als direktes Ergebnis des qualifizierten Angriffs berechnet werden:
Nächste Schritte
- Cloud Armor Enterprise abonnieren und Projekte registrieren
- Fehlerbehebung
- Referenz der Sprache für benutzerdefinierte Regeln verwenden