Panoramica di Cloud Armor Enterprise

Google Cloud Armor Enterprise è il servizio di protezione delle applicazioni che aiuta a proteggere le tue applicazioni e i tuoi servizi web da attacchi DDoS (Distributed Denial of Service) e altre minacce su internet. Cloud Armor Enterprise contribuisce a proteggere le applicazioni di cui è stato eseguito il deployment su Google Cloud, on-premise o su altri provider di infrastrutture.

Google Cloud Armor Standard e Cloud Armor Enterprise

Google Cloud Armor è offerto in due livelli di servizio: Standard e Cloud Armor Enterprise.

Google Cloud Armor Standard include quanto segue:

  • Un modello di prezzi con pagamento a consumo
  • Protezione sempre attiva da attacchi DDoS volumetrici e basati su protocollo, con mitigazioni inline automatizzate in tempo reale e senza impatto sulla latenza nei seguenti tipi di infrastruttura:
    • Bilanciatore del carico delle applicazioni esterno globale (HTTP/HTTPS)
    • Bilanciatore del carico delle applicazioni classico (HTTP/HTTPS)
    • Bilanciatore del carico delle applicazioni esterno regionale (HTTP/HTTPS)
    • Bilanciatore del carico di rete passthrough esterno
    • Bilanciatore del carico di rete proxy esterno globale (TCP/SSL)
    • Cloud CDN
    • Media CDN
  • Integrazione con Cloud CDN e Media CDN
  • Accesso alle funzionalità delle regole web application firewall (WAF) di Google Cloud Armor, incluse le regole WAF preconfigurate per la protezione OWASP Top 10

Cloud Armor Enterprise include quanto segue:

Tutti i Google Cloud progetti che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Google Cloud Armor Standard. Dopo aver effettuato l'abbonamento a Cloud Armor Enterprise a livello di account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.

La seguente tabella riepiloga i due livelli di servizio.

Google Cloud Armor Standard Cloud Armor Enterprise
Paygo Annuale
Metodo di fatturazione Pagamento a consumo Pagamento a consumo Abbonamento con impegno di 12 mesi
Prezzi Per criterio, per regola, per richiesta (vedi Prezzi)
  • 200 $ al mese per progetto
  • 200 $/mese per risorsa protetta dopo le prime 2 risorse
  • 3000 $ al mese per account di fatturazione
  • 30 $/mese per risorsa protetta dopo le prime 100 risorse
Protezione dagli attacchi DDoS
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
WAF Google Cloud Armor Per criterio, per regola, per richiesta (vedi Prezzi) Incluso in Paygo Incluso in Annuale
Limiti delle risorse Fino al limite di quota Fino al limite di quota Fino al limite di quota
Impegno in termini di tempo Un anno
Adaptive Protection Solo avvisi
Protezione DDoS di rete avanzata
Policy di sicurezza perimetrale della rete
Gruppo di indirizzi
Google Threat Intelligence
Policy di sicurezza gerarchiche
Visibilità degli attacchi DDoS
Supporto per la risposta agli attacchi DDoS Requisiti di idoneità
Protezione delle fatture DDoS

Abbonati a Cloud Armor Enterprise

L'abbonamento a Cloud Armor Enterprise annuale richiede un impegno di un anno (12 mesi). Solo gli utenti con il ruolo e le autorizzazioni dell'account di fatturazione possono abbonarsi a Cloud Armor Enterprise Annual. In alternativa, puoi registrarti a Cloud Armor Enterprise Paygo senza impegno.

Per utilizzare i servizi e le funzionalità aggiuntivi di Cloud Armor Enterprise, devi prima registrarti a Cloud Armor Enterprise. Puoi abbonarti a Cloud Armor Enterprise Annual e registrare singoli progetti oppure puoi registrare un progetto direttamente in Cloud Armor Enterprise Paygo.

Ti consigliamo di registrare i tuoi progetti a Cloud Armor Enterprise il prima possibile, perché l'attivazione può richiedere fino a un'ora. L'upgrade da Google Cloud Armor Standard a Enterprise in genere non interrompe la disponibilità dell'applicazione. Tuttavia, quando apporti modifiche ai criteri di sicurezza, devi valutare attentamente le implicazioni di fatturazione.

Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno

Una volta registrato un progetto in Cloud Armor Enterprise, le regole di forwarding all'interno del progetto vengono aggiunte alla registrazione. Inoltre, tutti i servizi di backend e i bucket di backend vengono conteggiati come risorse protette e vengono misurati per il costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise annuale vengono aggregati in tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.

Bilanciatore del carico di rete passthrough esterno, forwarding del protocollo e indirizzi IP pubblici (VM)

Google Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:

  • Protezione DDoS di rete standard: protezione di base sempre attiva per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Sono inclusi l'applicazione regola di forwarding e la limitazione automatica della frequenza. Questa funzionalità è inclusa in Google Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
  • Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata è configurata in base alla regione. Se abilitato per una determinata regione, Google Cloud Armor fornisce funzionalità sempre attive di rilevamento degli attacchi volumetrici e mitigazione mirata per i bilanciatori del carico di rete passthrough esterni, il forwarding del protocollo e le VM con indirizzi IP pubblici in quella regione.

Policy di sicurezza gerarchiche

Quando colleghi una policy di sicurezza gerarchica, ogni progetto che eredita la policy di sicurezza gerarchica deve essere registrato in Cloud Armor Enterprise. Sono inclusi tutti i progetti di un'organizzazione o di una cartella con una policy di sicurezza gerarchica che non sono esclusi esplicitamente e tutti i progetti con una policy di sicurezza gerarchica collegata direttamente al progetto.

  • I progetti collegati a un account di fatturazione Cloud con un abbonamento a Cloud Armor Enterprise annuale vengono registrati automaticamente a Cloud Armor Enterprise annuale se non sono già registrati.
  • Senza un abbonamento a Cloud Armor Enterprise annuale, i progetti vengono registrati automaticamente in Cloud Armor Enterprise Paygo quando ereditano una policy di sicurezza gerarchica. Se sottoscrivi un abbonamento dell'account di fatturazione a Cloud Armor Enterprise annuale dopo che il tuo progetto è stato registrato automaticamente in Cloud Armor Enterprise Paygo, il progetto non viene registrato automaticamente in Annuale. Per ulteriori informazioni su Cloud Armor Enterprise Paygo, vedi Google Cloud Armor Standard e Cloud Armor Enterprise.
  • Se aggiorni una policy di sicurezza gerarchica per escludere un progetto dopo che il progetto è stato registrato automaticamente in Cloud Armor Enterprise, il progetto non viene annullato automaticamente. Per annullare manualmente la registrazione del progetto, vedi Rimuovere un progetto da Cloud Armor Enterprise.
  • Non puoi rimuovere un progetto da Cloud Armor Enterprise se ha policy di sicurezza gerarchiche ereditate.

La registrazione automatica può richiedere fino a una settimana. Durante questo periodo, le tue norme di sicurezza gerarchiche sono efficaci e non vengono sostenuti costi di Cloud Armor Enterprise. Quando il progetto viene registrato, i log di controllo vengono aggiornati per riflettere lo stato di Cloud Armor Enterprise del progetto e viene visualizzato il nuovo livello del progetto nella console Google Cloud .

Per ulteriori informazioni sui criteri di sicurezza gerarchici, consulta la panoramica dei criteri di sicurezza gerarchici.

Supporto per la risposta agli attacchi DDoS

L'assistenza per la risposta agli attacchi DDoS fornisce aiuto 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate agli attacchi DDoS dallo stesso team che protegge tutti i servizi Google. Puoi richiedere assistenza per la risposta durante un attacco per contribuire a mitigarlo oppure puoi contattarci in modo proattivo per pianificare un evento imminente con un volume elevato o potenzialmente virale (uno che potrebbe attirare un numero insolitamente elevato di visitatori).

Il supporto proattivo è disponibile per tutti i clienti di Cloud Armor Enterprise, anche se non hanno completato una revisione della postura DDoS. Il supporto proattivo ci consente di applicare regole preconfigurate che prendono di mira i tipi di attacchi DDoS comuni prima che l'attacco raggiunga Google Cloud Armor. Per usufruire dell'assistenza per la risposta agli attacchi DDoS, consulta Richiedere assistenza per un caso DDoS.

Revisione della postura DDoS

L'obiettivo della revisione della postura DDoS è migliorare l'efficienza e l'efficacia del processo di risposta agli attacchi DDoS. Durante la procedura di revisione, esaminiamo il tuo caso d'uso e la tua architettura unici e verifichiamo che le tue norme di sicurezza di Google Cloud Armor siano configurate in base alle nostre best practice. In questo modo puoi aumentare la resilienza preventiva agli attacchi DDoS.

La revisione della postura DDoS viene fornita ai clienti che sottoscrivono un abbonamento a Cloud Armor Enterprise annuale e dispongono di un account Premium per l'assistenza clienti Google Cloud.

Idoneità per l'assistenza per la risposta DDoS

I seguenti criteri ti consentono di aprire una richiesta e ricevere assistenza dal team di assistenza per la risposta agli attacchi DDoS di Google Cloud Armor:

  • Il tuo account di fatturazione dispone di un abbonamento annuale a Cloud Armor Enterprise attivo.
  • Il tuo account di fatturazione ha un account Premium per assistenza clienti Google Cloude.
  • Il progetto Google Cloud con il carico di lavoro sotto attacco è registrato in Cloud Armor Enterprise annuale.
  • Per i clienti che hanno sottoscritto un abbonamento annuale a Cloud Armor Enterprise dopo il 3 settembre 2024: il progetto con il workload sotto attacco deve aver superato una revisione annuale della postura DDoS.

Anche quando i clienti non hanno diritto all'assistenza, il nostro team di assistenza clienti Google Cloud fornisce assistenza durante un attacco aiutando a eseguire il debug delle regole, a chiarire il comportamento e a risolvere problemi specifici relativi alle norme esistenti.

Per usufruire dell'assistenza per la risposta agli attacchi DDoS, consulta Richiedere assistenza per un caso DDoS.

Protezione delle fatture DDoS

La protezione della fattura DDoS di Google Cloud Armor richiede la registrazione del progetto in Cloud Armor Enterprise annuale. Fornisce crediti per l'utilizzo futuro diGoogle Cloud per alcuni aumenti delle fatture di Cloud Load Balancing, Google Cloud Armor e trasferimento di dati in uscita da internet, tra regioni e tra zone di rete a seguito di un attacco DDoS verificato. Se una richiesta viene riconosciuta e viene fornito un credito, quest'ultimo non può essere utilizzato per compensare l'utilizzo esistente, ma può essere applicato solo all'utilizzo futuro. La seguente tabella mostra le risorse coperte dalla protezione delle fatture in caso di attacchi DDoS:

Tipo di endpoint Aumento dell'utilizzo coperto
  • Application Load Balancer esterno
  • Bilanciatore del carico di rete proxy esterno
 Google Cloud Armor Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise
Rete Trasferimento di dati in uscita
Interregionale
Interzona
Peering con operatori
Bilanciatore del carico Tariffa per l'elaborazione dei dati in entrata
Tariffa per l'elaborazione dei dati in uscita
Media CDNTariffa di uscita di Media CDN (solo bilanciatore del carico delle applicazioni esterno)
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
 Google Cloud Armor Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise
Rete Trasferimento di dati in uscita
Interregionale
Interzona
Peering con operatori
Bilanciatore del carico Tariffa per l'elaborazione dei dati in entrata
Tariffa per l'elaborazione dei dati in uscita

Per attivare la protezione delle fatture in caso di attacchi DDoS, consulta Attivare la protezione delle fatture in caso di attacchi DDoS.

Migrazione dei progetti tra account di fatturazione

A partire dal 3 settembre 2024, se esegui la migrazione del tuo progetto da un account di fatturazione a un altro mentre hai sottoscritto un abbonamento a Cloud Armor Enterprise annuale, ma il tuo nuovo account di fatturazione non ha sottoscritto un abbonamento a Cloud Armor Enterprise annuale, il tuo progetto torna a Google Cloud Armor Standard al termine della migrazione, a meno che il tuo progetto non disponga di policy di sicurezza gerarchiche effettive, nel qual caso il tuo progetto viene eseguito il downgrade a Cloud Armor Enterprise Paygo. Pertanto, se vuoi mantenere il tuo progetto in Cloud Armor Enterprise annuale senza tempi di inattività, ti consigliamo di sottoscrivere un abbonamento a Cloud Armor Enterprise annuale per il tuo nuovo account di fatturazione prima di iniziare la procedura di migrazione. Puoi anche eseguire la migrazione dell'abbonamento da un account di fatturazione all'altro contattando l'assistenza di fatturazione Cloud.

I progetti registrati in Cloud Armor Enterprise Paygo non sono interessati dalla migrazione dell'account di fatturazione.

Downgrade da Cloud Armor Enterprise

Quando rimuovi un progetto da Cloud Armor Enterprise, tutte le policy di sicurezza che utilizzano regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) vengono bloccate. I criteri di sicurezza bloccati hanno le seguenti proprietà:

  • Google Cloud Armor continua a valutare il traffico in base alle regole dei criteri, incluse quelle avanzate.
  • Non puoi collegare il criterio di sicurezza a nuove destinazioni.
  • Puoi eseguire solo le seguenti operazioni sui criteri di sicurezza:

Puoi anche registrarti di nuovo a Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso alle tue policy di sicurezza congelate.

Protezione DDoS di rete avanzata

La protezione DDoS avanzata sulla rete è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi da Cloud Armor Enterprise un progetto con una policy DDoS di rete avanzata attiva, la funzionalità ti viene comunque fatturata in base ai prezzi di Cloud Armor Enterprise.

Ti consigliamo di eliminare tutte le regole di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto da Cloud Armor Enterprise, ma puoi anche eliminarle dopo il downgrade.

Termini e limitazioni

Cloud Armor Enterprise prevede i seguenti termini e limitazioni:

  • In generale: se un progetto registrato in Cloud Armor Enterprise subisce un attacco denial of service di terze parti a un endpoint protetto ("Attacco qualificato") e vengono soddisfatte le condizioni descritte nella sezione successiva, Google fornisce un credito equivalente alle Tariffe coperte, a condizione che le Tariffe coperte sostenute superino la Soglia minima. I test di carico e le valutazioni della sicurezza eseguiti dal Cliente o per suo conto non sono attacchi qualificati.
  • Condizioni: il cliente deve inviare una richiesta all'assistenza per la fatturazione Cloud entro 30 giorni dalla fine dell'attacco qualificato. La richiesta deve includere prove dell'attacco qualificato, come log o altri dati di telemetria che indicano la tempistica dell'attacco e i progetti e le risorse attaccati, e una stima delle commissioni coperte sostenute. Google determinerà ragionevolmente se i crediti sono dovuti e l'importo appropriato. Altre condizioni per funzionalità specifiche di Google Cloud Armor sono incluse nella documentazione.
  • Crediti: tutti i crediti forniti al Cliente in relazione a questa Sezione non hanno valore monetario e possono essere applicati solo per compensare le Tariffe future per i Servizi. Questi crediti scadono 12 mesi dopo l'emissione o alla risoluzione o scadenza del Contratto.
  • Definizioni:
    • Commissioni coperte: eventuali commissioni sostenute dal Cliente come risultato diretto dell'attacco qualificato per quanto segue:
      • Elaborazione dei dati in entrata e in uscita per il servizio di bilanciamento del carico Google Cloud .
      • Elaborazione dei dati di Google Cloud Armor Enterprise per il servizio Google Cloud Armor.
      • Traffico in uscita dalla rete, incluso il traffico in uscita tra regioni, tra zone, da internet e tramite peering con operatori.
    • Soglia minima: l'importo minimo delle Commissioni coperte che sono idonee per essere accreditate ai sensi di questa Sezione, come determinato da Google di tanto in tanto e comunicato al Cliente su richiesta.

Passaggi successivi