Google Cloud Armor Enterprise est le service de protection des applications qui contribue à protéger vos applications et services Web contre les attaques par déni de service distribué (DDoS) et d'autres menaces provenant d'Internet. Cloud Armor Enterprise contribue à protéger les applications déployées sur Google Cloud, sur site ou sur d'autres fournisseurs d'infrastructure.
Différence entre Google Cloud Armor Standard et Cloud Armor Enterprise
Google Cloud Armor est proposé en deux niveaux de service : Standard et Cloud Armor Enterprise.
Google Cloud Armor Standard inclut les éléments suivants :
- Un modèle de tarification à l'utilisation
- Protection permanente contre les attaques DDoS volumétriques et basées sur un protocole, avec des mesures d'atténuation automatiques en temps réel et sans impact sur la latence pour les types d'infrastructure suivants :
- Équilibreur de charge d'application externe global (HTTP/HTTPS)
- Équilibreur de charge d'application classique (HTTP/HTTPS)
- Équilibreur de charge d'application externe régional (HTTP/HTTPS)
- Équilibreur de charge réseau passthrough externe
- Équilibreur de charge réseau proxy externe global (TCP/SSL)
- Cloud CDN
- Media CDN
- Intégration avec Cloud CDN et Media CDN
- Accès aux fonctionnalités de règles de pare-feu d'application Web (WAF) Google Cloud Armor, y compris les règles WAF préconfigurées pour la protection OWASP Top 10
Cloud Armor Enterprise inclut les éléments suivants :
- Toutes les fonctionnalités de Google Cloud Armor Standard
- Choix du modèle de tarification : Cloud Armor Enterprise annuel ou Paygo
- Utilisation groupée de Google Cloud Armor WAF, y compris les règles, les stratégies et les requêtes
- Listes d'adresses IP tierces nommées
- Google Threat Intelligence pour Google Cloud Armor
- Adaptive Protection pour les points de terminaison de couche 7
- Protection DDoS réseau avancée pour les points de terminaison passthrough : équilibreurs de charge réseau passthrough externes, transfert de protocole et adresses IP publiques pour les instances de machines virtuelles (VM)
- Accès à la visibilité des attaques DDoS
- Règles de sécurité hiérarchiques
- (Cloud Armor Enterprise annuel uniquement) : accès à la protection des factures contre les attaques DDoS et aux services de l'équipe de réponse DDoS (des conditions supplémentaires s'appliquent, consultez Éligibilité à l'équipe de réponse DDoS)
Tous les projets Google Cloud qui incluent un équilibreur de charge d'application externe ou un équilibreur de charge réseau proxy externe sont automatiquement inscrits à Google Cloud Armor Standard. Une fois abonné à Cloud Armor Enterprise pour le compte de facturation, les utilisateurs peuvent choisir d'enregistrer des projets individuels associés au compte de facturation dans Cloud Armor Enterprise.
Le tableau suivant récapitule les deux niveaux de service .
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | Annuel | ||
| Mode de facturation | Paiement à l'usage | Paiement à l'usage | Abonnement avec engagement de 12 mois |
| Tarifs | Par stratégie, par règle, par requête (consultez la page Tarifs) |
|
|
| Protection contre les attaques DDoS |
|
|
|
| WAF Google Cloud Armor | Par stratégie, par règle, par requête (consultez la page Tarifs) | Inclus avec Paygo | Inclus avec l'abonnement annuel |
| Limites de ressources | Jusqu'à la limite de quota | Jusqu'à la limite de quota | Jusqu'à la limite de quota |
| Engagement de temps | Un an | ||
| Adaptive Protection | Alertes uniquement | ||
| Protection DDoS avancée du réseau | |||
| Règles de sécurité de périphérie de réseau | |||
| Groupe d'adresses | |||
| Google Threat Intelligence | |||
| Règles de sécurité hiérarchiques | |||
| Visibilité sur les attaques DDoS | |||
| Assistance de gestion des attaques DDoS | Critères d'éligibilité | ||
| Protection des factures contre les attaques DDoS | |||
S'abonner à Cloud Armor Enterprise
L'abonnement à Cloud Armor Enterprise annuel nécessite un engagement d'un an (12 mois). Seuls les utilisateurs disposant du rôle et des autorisations du compte de facturation peuvent abonner ce compte de facturation à Cloud Armor Enterprise annuel. Vous pouvez également vous inscrire à Cloud Armor Enterprise Paygo sans engagement.
Pour utiliser les services et les fonctionnalités supplémentaires de Cloud Armor Enterprise, vous devez d'abord vous y inscrire. Vous pouvez vous abonner à Cloud Armor Enterprise Annual et enregistrer des projets individuels, ou enregistrer un projet directement dans Cloud Armor Enterprise Paygo.
Nous vous recommandons d'enregistrer vos projets dans Cloud Armor Enterprise dès que possible, car l'activation peut prendre jusqu'à une heure. La mise à niveau de Google Cloud Armor Standard vers Enterprise n'a généralement pas d'incidence sur la disponibilité de votre application. Toutefois, lorsque vous modifiez vos règles de sécurité, vous devez tenir compte des implications en termes de facturation.
Équilibreur de charge d'application externe et équilibreur de charge réseau proxy externe
Une fois qu'un projet est enregistré dans Cloud Armor Enterprise, les règles de transfert du projet sont ajoutées à l'enregistrement. En outre, tous les services de backend et les buckets de backend sont considérés comme des ressources protégées et mesurés pour le coût des ressources protégées de Cloud Armor Enterprise. Les services de backend et les buckets backend dans Cloud Armor Enterprise Annual sont agrégés dans tous les projets enregistrés d'un compte de facturation, tandis que les services de backend et les buckets backend dans Cloud Armor Enterprise Paygo sont agrégés dans le projet.
Équilibreur de charge réseau passthrough externe, transfert de protocole et adresses IP publiques (VM)
Google Cloud Armor propose les options suivantes pour protéger ces points de terminaison contre les attaques DDoS :
- Protection DDoS standard du réseau : protection de base permanente pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole ou les VM ayant des adresses IP publiques. Cela inclut l'application des règles de transfert et la limitation automatique du débit. Cette fonctionnalité est incluse dans Google Cloud Armor Standard et ne nécessite aucun abonnement supplémentaire.
- Protection DDoS avancée du réseau : protections supplémentaires pour les abonnés à Cloud Armor Enterprise. La protection DDoS avancée du réseau est configurée par région. Lorsqu'il est activé pour une région particulière, Google Cloud Armor fournit une détection et une atténuation constantes des attaques volumétriques ciblées pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole et les VM avec adresses IP publiques dans cette région.
Règles de sécurité hiérarchiques
Lorsque vous associez une stratégie de sécurité hiérarchique, chacun des projets qui en héritent doit être enregistré dans Cloud Armor Enterprise. Cela inclut tous les projets d'une organisation ou d'un dossier avec une stratégie de sécurité hiérarchique qui ne sont pas explicitement exclus, ainsi que tous les projets avec une stratégie de sécurité hiérarchique directement associée au projet.
- Les projets associés à un compte de facturation Cloud avec un abonnement annuel Cloud Armor Enterprise sont automatiquement inscrits à Cloud Armor Enterprise Annual s'ils ne le sont pas déjà.
- Sans abonnement Cloud Armor Enterprise Annual, les projets sont automatiquement enregistrés dans Cloud Armor Enterprise Paygo lorsqu'ils héritent d'une stratégie de sécurité hiérarchique. Si vous abonnez le compte de facturation à Cloud Armor Enterprise annuel après l'enregistrement automatique de votre projet dans Cloud Armor Enterprise au paiement à l'utilisation, le projet n'est pas automatiquement enregistré dans le forfait annuel. Pour en savoir plus sur Cloud Armor Enterprise Paygo, consultez Google Cloud Armor Standard et Cloud Armor Enterprise.
- Si vous mettez à jour une stratégie de sécurité hiérarchique pour exclure un projet après son inscription automatique à Cloud Armor Enterprise, le projet n'est pas automatiquement désinscrit. Pour désinscrire manuellement votre projet, consultez Supprimer un projet de Cloud Armor Enterprise.
- Vous ne pouvez pas supprimer un projet de Cloud Armor Enterprise s'il comporte des stratégies de sécurité hiérarchiques héritées.
L'inscription automatique peut prendre jusqu'à une semaine. Pendant cette période, vos règles de sécurité hiérarchiques sont efficaces et vous n'encourez aucun frais Cloud Armor Enterprise. Lorsque votre projet est enregistré, les journaux d'audit sont mis à jour pour refléter l'état Cloud Armor Enterprise du projet. Le nouveau niveau du projet s'affiche dans la console Google Cloud .
Pour en savoir plus sur les stratégies de sécurité hiérarchiques, consultez la présentation des stratégies de sécurité hiérarchiques.
Assistance de gestion des attaques DDoS
L'assistance de gestion des attaques par déni de service distribué (DDoS) vous permet de bénéficier d'une assistance 24h/24, 7j/7 et d'atténuations personnalisées potentielles d'attaques DDoS de la même équipe qui protège tous les services Google. Vous pouvez impliquer l'assistance pour la réponse lors d'une attaque afin de réduire l'attaque, ou bien la contacter de manière proactive pour planifier un volume important ou un événement potentiellement viral (un risque pouvant attirer un nombre anormalement élevé de visiteurs).
L'assistance proactive est disponible pour tous les clients Cloud Armor Enterprise, même s'ils n'ont pas effectué d'examen de leur posture DDoS. L'assistance proactive nous permet d'appliquer des règles préconfigurées ciblant les types d'attaques DDoS courants avant que l'attaque n'atteigne Google Cloud Armor. Pour activer l'assistance de gestion des attaques DDoS, consultez Obtenir de l'aide pour une attaque DDoS.
Examen de la stratégie DDoS
L'objectif de l'examen de la posture DDoS est d'améliorer l'efficacité du processus de réponse aux attaques DDoS. Au cours du processus d'examen, nous en apprenons davantage sur votre cas d'utilisation et votre architecture uniques, et nous vérifions que vos stratégies de sécurité Google Cloud Armor sont configurées conformément à nos bonnes pratiques. Cela vous permet d'accroître votre résilience préventive aux attaques DDoS.
L'examen de la posture DDoS est proposé aux clients qui s'abonnent à Cloud Armor Enterprise annuel et qui disposent d'un compte Premium pour Cloud Customer Care.
Éligibilité à l'assistance de gestion des attaques DDoS
Voici les critères qui vous permettent d'ouvrir une demande et de recevoir de l'aide de l'équipe d'assistance de gestion des attaques DDoS de Google Cloud Armor :
- Votre compte de facturation dispose d'un abonnement annuel Cloud Armor Enterprise actif.
- Votre compte de facturation dispose d'un compte Premium pour Cloud Customer Care.
- Le projet Google Cloud avec la charge de travail qui est victime d'une attaque est enregistré dans Cloud Armor Enterprise Annual.
- Si vous utilisez le référencement de service interprojet, les projets de service de frontend et de backend doivent être enregistrés dans Cloud Armor Enterprise Annual.
- Pour les clients qui se sont abonnés à Cloud Armor Enterprise Annual après le 3 septembre 2024 : le projet avec la charge de travail attaquée doit avoir fait l'objet d'un examen annuel de la posture DDoS.
Même lorsque les clients ne sont pas éligibles à l'assistance, notre équipe Cloud Customer Care leur fournit de l'aide en cas d'attaque. Elle les aide à déboguer les règles, à clarifier les comportements et à résoudre les problèmes spécifiques liés aux règles existantes.
Pour activer l'assistance de gestion des attaques DDoS, consultez Obtenir de l'aide pour une attaque DDoS.
Protection des factures contre les attaques DDoS
La protection des factures contre les attaques DDoS de Google Cloud Armor nécessite que votre projet soit enregistré dans Cloud Armor Enterprise annuel. Elle accorde des crédits à utiliser dans le cadre de l'utilisation future deGoogle Cloud , pour certaines augmentations des factures liées à Cloud Load Balancing, à Google Cloud Armor et aux transferts de données sortants interzones, interrégionaux et de l'Internet réseau à la suite d'une attaque DDoS validée. Si une demande est reconnue et qu'un crédit est fourni, celui-ci ne peut pas être utilisé pour compenser l'utilisation existante. Le crédit ne peut être appliqué qu'à une utilisation future. Le tableau suivant montre les ressources couvertes par la protection des factures contre les attaques DDoS :
| Endpoint Type (Type de point de terminaison) | Augmentation de l'utilisation couverte | |
|---|---|---|
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes | ||
| Media CDN | Frais de sortie Media CDN (équilibreur de charge d'application externe uniquement) | |
|
Google Cloud Armor | Frais de traitement des données Cloud Armor Enterprise |
| Réseau | Transfert de données sortant | |
| Interrégional | ||
| Interzone | ||
| Appairage opérateur | ||
| Équilibreur de charge | Frais de traitement des données entrantes | |
| Frais de traitement des données sortantes |
Pour en savoir plus sur la protection des factures contre les attaques DDoS, consultez la page Impliquer la protection des factures contre les attaques DDoS.
Migrer des projets entre des comptes de facturation
À partir du 3 septembre 2024, si vous migrez votre projet d'un compte de facturation vers un autre alors que vous êtes abonné à Cloud Armor Enterprise Annual, mais que votre nouveau compte de facturation n'est pas abonné à Cloud Armor Enterprise Annual, votre projet repassera à Google Cloud Armor Standard une fois la migration terminée, sauf s'il dispose de règles de sécurité hiérarchiques effectives. Dans ce cas, il passera à Cloud Armor Enterprise Paygo. Par conséquent, si vous souhaitez conserver votre projet dans Cloud Armor Enterprise annuel sans temps d'arrêt, nous vous recommandons d'abonner votre nouveau compte de facturation à Cloud Armor Enterprise annuel avant de commencer le processus de migration. Vous pouvez également migrer votre abonnement d'un compte de facturation à l'autre en contactant l'assistance Cloud Billing.
La migration du compte de facturation n'a aucune incidence sur les projets enregistrés dans Cloud Armor Enterprise Paygo.
Passer à une édition inférieure depuis Cloud Armor Enterprise
Lorsque vous supprimez un projet de Cloud Armor Enterprise, toutes les stratégies de sécurité qui utilisent des règles avec des fonctionnalités exclusives à Cloud Armor Enterprise (règles avancées) sont bloquées. Les stratégies de sécurité figées présentent les propriétés suivantes :
- Google Cloud Armor continue d'évaluer le trafic par rapport aux règles de la stratégie, y compris les règles avancées.
- Vous ne pouvez pas associer la règle de sécurité à de nouvelles cibles.
- Vous ne pouvez effectuer que les opérations suivantes sur la stratégie de sécurité :
- Vous pouvez supprimer des règles de stratégie de sécurité.
- Si vous ne modifiez pas la priorité de la règle, vous pouvez mettre à jour les règles avancées afin qu'elles n'utilisent plus les fonctionnalités exclusives à Cloud Armor Enterprise. Si vous modifiez toutes les règles avancées de cette manière, votre stratégie ne sera plus figée. Pour en savoir plus sur la mise à jour des règles des stratégies de sécurité, consultez Mettre à jour une seule règle dans une stratégie de sécurité.
Vous pouvez également vous réinscrire à Cloud Armor Enterprise annuel ou Cloud Armor Enterprise Paygo pour restaurer l'accès à vos stratégies de sécurité figées.
Protection DDoS avancée du réseau
La protection DDoS avancée du réseau n'est disponible que pour les projets enregistrés dans Cloud Armor Enterprise. Lorsque vous supprimez un projet avec une stratégie de protection DDoS avancée du réseau active de Cloud Armor Enterprise, la fonctionnalité vous est toujours facturée en fonction des tarifs Cloud Armor Enterprise.
Nous vous recommandons de supprimer toutes les règles de protection DDoS avancée du réseau avant de désinscrire votre projet de Cloud Armor Enterprise. Toutefois, vous pouvez également supprimer ces règles après le passage à un forfait inférieur.
Conditions et limites
Cloud Armor Enterprise est soumis aux conditions et limites suivantes :
- Généralement : si un projet inscrit à Cloud Armor Enterprise subit une attaque par déni de service tierce sur un point de terminaison protégé ("Attaque éligible") et que les conditions décrites dans la section suivante sont remplies, Google fournit un avoir équivalent aux Frais couverts, à condition que les Frais couverts encourus dépassent le Seuil minimal. Les tests de charge et les évaluations de sécurité effectués par ou pour le compte du Client ne sont pas des Attaques qualifiées.
- Conditions : Le client doit envoyer une demande à l'assistance Cloud Billing dans les 30 jours suivant la fin de l'Attaque qualifiée. La demande doit inclure des preuves de l'Attaque qualifiée, telles que des journaux ou d'autres données de télémétrie indiquant la date et l'heure de l'attaque, les Projets et ressources qui ont été attaqués, ainsi qu'une estimation des Frais encourus. Google déterminera raisonnablement si des crédits sont dus et le montant approprié. D'autres conditions pour des fonctionnalités Google Cloud Armor spécifiques sont incluses dans la Documentation.
- Crédits : les crédits fournis au Client en lien avec cette section n'ont aucune valeur monétaire et ne peuvent être appliqués qu'à compenser des Frais futurs pour les Services. Ces crédits expirent 12 mois après leur émission, ou à la résiliation ou à l'expiration du Contrat.
- Définitions :
- Frais couverts : tous les Frais encourus par le Client en tant que résultat direct de l'Attaque qualifiée pour les éléments suivants :
- le traitement des données Ingress et sortantes pour le service d'équilibreur de charge Google Cloud .
- le traitement des données Google Cloud Armor Enterprise pour le service Google Cloud Armor.
- les sorties réseau, y compris les sorties interrégionales, interzones, Internet et d'appairage opérateur.
- Seuil minimal : montant minimal des Frais couverts pouvant être recrédités dans le cadre de cette Section, tel que déterminé par Google de temps en temps et communiqué au Client sur demande.
- Frais couverts : tous les Frais encourus par le Client en tant que résultat direct de l'Attaque qualifiée pour les éléments suivants :
Étapes suivantes
- S'abonner et enregistrer des projets dans Cloud Armor Enterprise
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées