Esta página foi traduzida pela API Cloud Translation.

Vista geral do Cloud Armor Enterprise

O Google Cloud Armor Enterprise é o serviço de proteção de aplicações que ajuda a proteger as suas aplicações e serviços Web contra ataques de negação de serviço distribuída (DDoS) e outras ameaças da Internet. O Cloud Armor Enterprise ajuda a proteger as aplicações implementadas no Google Cloud, localmente ou noutros fornecedores de infraestruturas.

Cloud Armor Standard versus Cloud Armor Enterprise

O Google Cloud Armor é oferecido em dois níveis de serviço: Standard e Cloud Armor Enterprise.

O Cloud Armor Standard inclui o seguinte:

Um modelo de preços de pagamento conforme o uso
Proteção sempre ativa contra ataques DDoS volumétricos e baseados em protocolos, com mitigações automáticas em linha em tempo real e sem impacto na latência nos seguintes tipos de infraestrutura:
- Balanceador de carga de aplicações externo global (HTTP/HTTPS)
- Balanceador de carga de aplicações clássico (HTTP/HTTPS)
- Balanceador de carga de aplicações externo regional (HTTP/HTTPS)
- Balanceador de carga de rede de passagem externo
- Balanceador de carga de rede de proxy externo global (TCP/SSL)
- Cloud CDN
- Media CDN
Integração com o Cloud CDN e o Media CDN
Acesso às capacidades de regras do firewall de aplicação Web (WAF) do Cloud Armor, incluindo regras do WAF pré-configuradas para proteção do OWASP Top 10

O Cloud Armor Enterprise inclui o seguinte:

Todas as funcionalidades do Cloud Armor Standard
Escolha de modelos de preços: Cloud Armor Enterprise anual ou Paygo
Utilização do WAF do Cloud Armor incluído, incluindo regras, políticas e pedidos
Listas de endereços IP nominados de terceiros
Google Threat Intelligence para o Cloud Armor
Proteção adaptável para pontos finais da camada 7
Proteção DDoS de rede avançada para pontos finais de passagem: balanceadores de carga de rede de passagem externos, encaminhamento de protocolos e endereços IP públicos para instâncias de máquinas virtuais (VM)
Acesso à visibilidade de ataques DDoS
Políticas de segurança hierárquicas
(Apenas para o Cloud Armor Enterprise anual): acesso à proteção de faturação contra DDoS e aos serviços da equipa de resposta a DDoS (aplicam-se condições adicionais, consulte a elegibilidade para a equipa de resposta a DDoS)

Todos os Google Cloud projetos que incluem um Application Load Balancer externo ou um Network Load Balancer de proxy externo são inscritos automaticamente no Cloud Armor Standard. Depois de subscrever o Cloud Armor Enterprise ao nível da conta de faturação, os utilizadores podem optar por inscrever projetos individuais anexados à conta de faturação no Cloud Armor Enterprise.

A tabela seguinte resume os dois níveis de serviço.

	Cloud Armor Standard	Cloud Armor Enterprise
	Cloud Armor Standard	Paygo	Anual
Método de faturação	Pay-as-you-go	Pay-as-you-go	Subscrição com compromisso de 12 meses
Preços	Por política, por regra, por pedido (consulte a secção Preços)	200 USD/mês por projeto 200 €/mês por recurso protegido após os 2 primeiros recursos	3000 USD/mês por conta de faturação 30 $/mês por recurso protegido após os primeiros 100 recursos
Proteção contra ataques DDoS	Balanceador de carga de aplicações externo Balanceador de carga de rede de proxy externo	Balanceador de carga de aplicações externo Balanceador de carga de rede de proxy externo Balanceador de carga de rede de passagem externo Encaminhamento de protocolos Endereços IP públicos (VMs)	Balanceador de carga de aplicações externo Balanceador de carga de rede de proxy externo Balanceador de carga de rede de passagem externo Encaminhamento de protocolos Endereços IP públicos (VMs)
WAF do Cloud Armor	Por política, por regra, por pedido (consulte a secção Preços)	Incluído com o Paygo	Incluído com o plano anual
Limites de recursos	Até ao limite de quota	Até ao limite de quota	Até ao limite de quota
Compromisso de tempo			Um ano
Proteção adaptável	Apenas alertas
Proteção avançada contra DDoS de rede
Políticas de segurança de limite de rede
Grupo de endereços
Google Threat Intelligence
Políticas de segurança hierárquicas
Visibilidade de ataques DDoS
Apoio técnico de resposta a DDoS			Requisitos de elegibilidade
Proteção de faturação contra DDoS

Subscreva o Cloud Armor Enterprise

A subscrição do Cloud Armor Enterprise anual requer um compromisso de um ano (12 meses). Apenas os utilizadores com a função e as autorizações da conta de faturação podem subscrever a faturação anual do Cloud Armor Enterprise. Em alternativa, pode inscrever-se no Cloud Armor Enterprise Paygo sem compromisso.

Para usar os serviços e as capacidades adicionais no Cloud Armor Enterprise, tem de se inscrever primeiro no Cloud Armor Enterprise. Pode subscrever o plano anual do Cloud Armor Enterprise e inscrever projetos individuais ou inscrever um projeto diretamente no Cloud Armor Enterprise Paygo.

Recomendamos que inscreva os seus projetos no Cloud Armor Enterprise assim que possível, porque a ativação pode demorar até uma hora. A atualização do Cloud Armor Standard para o Enterprise normalmente não interrompe a disponibilidade da sua aplicação. No entanto, quando faz alterações às suas políticas de segurança, tem de considerar cuidadosamente as implicações de faturação.

Balanceador de carga de aplicações externo e balanceador de carga de rede de proxy externo

Depois de um projeto ser inscrito no Cloud Armor Enterprise, as regras de encaminhamento no projeto são adicionadas à inscrição. Além disso, todos os serviços de back-end e contentores de back-end são contabilizados como recursos protegidos e são medidos para o custo dos recursos protegidos do Cloud Armor Enterprise. Os serviços de back-end e os contentores de back-end no Cloud Armor Enterprise anual são agregados em todos os projetos inscritos numa conta de faturação, enquanto os serviços de back-end e os contentores de back-end no Cloud Armor Enterprise Paygo são agregados no projeto.

Balanceador de carga de rede de passagem externo, encaminhamento de protocolos e endereços IP públicos (VMs)

O Cloud Armor oferece as seguintes opções para proteger estes pontos finais contra ataques DDoS:

Proteção DDoS de rede padrão: proteção básica sempre ativa para balanceadores de carga de rede de passagem externos, encaminhamento de protocolos ou VMs com endereços IP públicos. Isto inclui a aplicação de regras de encaminhamento e a limitação automática da taxa. Esta funcionalidade está coberta pelo Cloud Armor Standard e não requer subscrições adicionais.
Proteção avançada contra DDoS de rede: proteções adicionais para subscritores do Cloud Armor Enterprise. A proteção avançada contra DDoS ao nível da rede é configurada por região. Quando ativado para uma região específica, o Cloud Armor oferece deteção de ataques volumétricos sempre ativa e mitigação direcionada para balanceadores de carga de rede de passagem externos, encaminhamento de protocolos e VMs com endereços IP públicos nessa região.

Políticas de segurança hierárquicas

Quando anexa uma política de segurança hierárquica, cada um dos projetos que herdam a política de segurança hierárquica tem de estar inscrito no Cloud Armor Enterprise. Isto inclui todos os projetos numa organização ou numa pasta com uma política de segurança hierárquica que não sejam explicitamente excluídos, e todos os projetos com uma política de segurança hierárquica anexada diretamente ao projeto.

Os projetos associados a uma conta do Cloud Billing com uma subscrição anual do Cloud Armor Enterprise são automaticamente inscritos no Cloud Armor Enterprise anual, se ainda não estiverem inscritos.
Sem uma subscrição anual do Cloud Armor Enterprise, os projetos são inscritos automaticamente no Cloud Armor Enterprise Paygo quando herdam uma política de segurança hierárquica. Se subscrever a conta de faturação ao Cloud Armor Enterprise anual depois de o seu projeto ter sido inscrito automaticamente no Cloud Armor Enterprise Paygo, o projeto não é inscrito automaticamente no plano anual. Para mais informações sobre o Cloud Armor Enterprise Paygo, consulte o artigo Cloud Armor Standard versus Cloud Armor Enterprise.
Se atualizar uma política de segurança hierárquica para excluir um projeto depois de o projeto ter sido inscrito automaticamente no Cloud Armor Enterprise, o projeto não é anulado automaticamente. Para anular manualmente a inscrição do seu projeto, consulte o artigo Remova um projeto do Cloud Armor Enterprise.
Não pode remover um projeto do Cloud Armor Enterprise enquanto tiver políticas de segurança hierárquicas herdadas.

A inscrição automática pode demorar até uma semana a ser concluída. Durante este período, as suas políticas de segurança hierárquicas estão em vigor e não são incorridos custos do Cloud Armor Enterprise. Quando o seu projeto está inscrito, os registos de auditoria são atualizados para refletir o estado do Cloud Armor Enterprise do projeto, e vê o novo nível do projeto na Google Cloud consola.

Para mais informações acerca das políticas de segurança hierárquicas, consulte a vista geral das políticas de segurança hierárquicas.

Apoio técnico de resposta a DDoS

O apoio técnico de resposta a DDoS oferece ajuda 24 horas por dia, 7 dias por semana, e potenciais mitigações personalizadas de ataques DDoS da mesma equipa que protege todos os serviços Google. Pode interagir com o apoio técnico de resposta durante um ataque para ajudar a mitigar o ataque ou pode contactar-nos proativamente para planear um evento de volume elevado ou potencialmente viral (um evento que possa atrair uma quantidade invulgarmente elevada de visitantes).

O apoio técnico proativo está disponível para todos os clientes do Cloud Armor Enterprise, mesmo que não tenham concluído uma revisão da postura de DDoS. O apoio técnico proativo permite-nos aplicar regras pré-configuradas que segmentam tipos de ataques DDoS comuns antes de o ataque atingir o Cloud Armor. Para interagir com o apoio técnico de resposta a DDoS, consulte o artigo Receba apoio técnico para um registo de DDoS.

Revisão da postura de DDoS

O objetivo da revisão da postura de DDoS é melhorar a eficiência e a eficácia do processo de resposta a DDoS. Durante o processo de revisão, ficamos a saber mais sobre a sua arquitetura e exemplo de utilização únicos, e validamos se as suas políticas de segurança do Cloud Armor estão configuradas de acordo com as nossas práticas recomendadas. Isto ajuda a aumentar a sua resiliência preventiva a ataques DDoS.

A revisão da postura de DDoS é fornecida aos clientes que subscrevem o Cloud Armor Enterprise anual e têm uma conta Premium do Cloud Customer Care.

Elegibilidade para apoio técnico de resposta a DDoS

Os seguintes critérios permitem-lhe abrir um registo e receber ajuda da equipa de apoio técnico de resposta a DDoS do Cloud Armor:

A sua conta de faturação tem uma subscrição anual do Cloud Armor Enterprise ativa.
A sua conta de faturação tem uma conta do Premium para o apoio técnico ao cliente da Google Cloud.
O projeto Google Cloud com a carga de trabalho que está sob ataque está inscrito no Cloud Armor Enterprise anual.
- Se usar a referência de serviços entre projetos, os projetos de serviço de front-end e back-end têm de estar inscritos no Cloud Armor Enterprise anual.
Para clientes que subscreveram o Cloud Armor Enterprise anual após 3 de setembro de 2024: o projeto com a carga de trabalho que está sob ataque tem de ter sido submetido a uma revisão anual da postura de DDoS.

Mesmo quando os clientes não são elegíveis para apoio técnico, a nossa equipa do Cloud Customer Care presta assistência durante um ataque, ajudando na depuração de regras, no esclarecimento de comportamentos e em preocupações específicas com as políticas existentes.

Para interagir com o apoio técnico de resposta a DDoS, consulte o artigo Receba apoio técnico para um registo de DDoS.

Proteção de faturação contra DDoS

A proteção contra custos de DDoS do Cloud Armor requer que o seu projeto esteja inscrito no Cloud Armor Enterprise anual. Oferece créditos para utilização futura Google Cloud para alguns aumentos nas faturas do Cloud Load Balancing, do Cloud Armor e da Internet de rede, da transferência de dados de saída inter-regiões e interzonas como resultado de um ataque DDoS validado. Se uma reclamação for reconhecida e for concedido um crédito, este não pode ser usado para compensar a utilização existente. O crédito só pode ser aplicado à utilização futura. A tabela seguinte demonstra os recursos abrangidos pela proteção contra ataques DDoS:

Tipo de ponto final	Aumento da utilização coberta
Balanceador de carga de aplicações externo Balanceador de carga de rede de proxy externo	Cloud Armor	Taxa de processamento de dados do Cloud Armor Enterprise
	Rede	Transferência de dados de saída
		Entre regiões
		Entre zonas
		Intercâmbio por operadora
	Balanceador de carga	Taxa de processamento de dados de entrada
	Balanceador de carga	Taxa de processamento de dados de saída
	Media CDN	Taxa de saída da RFC de multimédia (apenas para o balanceador de carga de aplicações externo)
Balanceador de carga de rede de passagem externo Encaminhamento de protocolos Endereços IP públicos (VMs)	Cloud Armor	Taxa de processamento de dados do Cloud Armor Enterprise
	Rede	Transferência de dados de saída
		Entre regiões
		Entre zonas
		Intercâmbio por operadora
	Balanceador de carga	Taxa de processamento de dados de entrada
	Balanceador de carga	Taxa de processamento de dados de saída

Para ativar a proteção de faturação contra DDoS, consulte o artigo Ativar a proteção de faturação contra DDoS.

Migrar projetos entre contas de faturação

A partir de 3 de setembro de 2024, se migrar o seu projeto de uma conta de faturação para outra enquanto tiver uma subscrição anual do Cloud Armor Enterprise, mas a nova conta de faturação não tiver uma subscrição anual do Cloud Armor Enterprise, o seu projeto reverte para o Cloud Armor Standard após a conclusão da migração, a menos que o seu projeto tenha políticas de segurança hierárquicas eficazes. Nesse caso, o seu projeto é alterado para o Cloud Armor Enterprise Paygo. Por conseguinte, se quiser manter o seu projeto no Cloud Armor Enterprise anual sem tempo de inatividade, recomendamos que subscreva a sua nova conta de faturação no Cloud Armor Enterprise anual antes de iniciar o processo de migração. Também pode migrar a sua subscrição de uma conta de faturação para outra contactando o apoio técnico do Cloud Billing.

Os projetos inscritos no Cloud Armor Enterprise Paygo não são afetados pela migração da conta de faturação.

Alteração do Cloud Armor Enterprise para uma versão anterior

Quando remove um projeto do Cloud Armor Enterprise, todas as políticas de segurança que usam regras com funcionalidades exclusivas do Cloud Armor Enterprise (regras avançadas) ficam congeladas. As políticas de segurança congeladas têm as seguintes propriedades:

O Cloud Armor continua a avaliar o tráfego em função das regras na política, incluindo quaisquer regras avançadas.
Não pode anexar a política de segurança a novos destinos.
Só pode realizar as seguintes operações na política de segurança:
- Pode eliminar regras da política de segurança.
- Se não alterar a prioridade das regras, pode atualizar as regras avançadas para que deixem de usar funcionalidades exclusivas do Cloud Armor Enterprise. Se modificar todas as regras avançadas desta forma, a sua política deixa de estar congelada. Para mais informações sobre a atualização das regras da política de segurança, consulte o artigo Atualize uma única regra numa política de segurança.

Também pode voltar a inscrever-se no Cloud Armor Enterprise anual ou no Cloud Armor Enterprise Paygo para restaurar o acesso às suas políticas de segurança congeladas.

Proteção avançada contra DDoS de rede

A proteção DDoS de rede avançada só está disponível para projetos inscritos no Cloud Armor Enterprise. Quando remove um projeto com uma política de DDoS de rede avançada ativa do Cloud Armor Enterprise, continua a receber faturação pela funcionalidade com base nos preços do Cloud Armor Enterprise.

Recomendamos que elimine todas as regras de proteção avançada contra DDoS de rede antes de anular a inscrição do seu projeto no Cloud Armor Enterprise, mas também pode eliminar as regras de proteção avançada contra DDoS de rede após a desativação.

Termos e limitações

O Cloud Armor Enterprise tem os seguintes termos e limitações:

Geralmente: se um projeto inscrito no Cloud Armor Enterprise sofrer um ataque de negação de serviço de terceiros num ponto final protegido ("Ataque Qualificado") e as condições descritas na secção seguinte forem cumpridas, a Google fornece um crédito equivalente às Taxas Cobertas, desde que as Taxas Cobertas incorridas excedam o Limite Mínimo. Os testes de carga e as avaliações de segurança realizados pelo Cliente ou em seu nome não são ataques qualificados.
Condições: o cliente tem de enviar um pedido ao apoio técnico do Cloud Billing no prazo de 30 dias após o fim do ataque qualificado. A solicitação tem de incluir provas do ataque qualificado, como registos ou outra telemetria que indique o momento do ataque e os projetos e recursos que foram atacados, e uma estimativa das taxas cobertas incorridas. A Google determina razoavelmente se são devidos créditos e o valor adequado. Outras condições para funcionalidades específicas do Cloud Armor estão incluídas na documentação.
Créditos: quaisquer créditos fornecidos ao Cliente em relação a esta Secção não têm valor monetário e só podem ser aplicados para compensar Taxas futuras dos Serviços. Estes créditos expiram 12 meses após a emissão ou após a rescisão ou a expiração do Contrato.
Definições:
- Taxas cobertas: quaisquer taxas incorridas pelo cliente como resultado direto do ataque qualificado para o seguinte:
  - Processamento de dados de entrada e saída para o serviço de balanceamento de carga. Google Cloud
  - Processamento de dados do Google Cloud Armor Enterprise para o serviço Cloud Armor.
  - Saída da rede, incluindo saída inter-região, inter-zona, Internet e Carrier Peering.
- Limite Mínimo: o valor mínimo das Taxas Cobertas elegíveis para crédito ao abrigo da presente Secção, conforme determinado periodicamente pela Google e divulgado ao Cliente mediante pedido.