Google Cloud Armor Enterprise 是一项应用保护服务,可帮助保护您的 Web 应用和服务免受分布式拒绝服务 (DDoS) 攻击和来自互联网的其他威胁。Cloud Armor Enterprise 可帮助保护部署在 Google Cloud、本地或其他基础设施提供商位置处的应用。
Cloud Armor Standard 与 Cloud Armor Enterprise
Google Cloud Armor 提供两种服务层级:Standard 和 Cloud Armor Enterprise。
Cloud Armor Standard 包含以下内容:
- 随用随附的定价模式
- 可在以下基础设施类型中通过实时自动执行内嵌缓解措施来提供始终有效的保护,以防范耗尽容量的 DDoS 攻击和基于协议的 DDoS 攻击,并且没有延迟时间影响:
- 全局外部应用负载均衡器 (HTTP/HTTPS)
- 传统应用负载均衡器 (HTTP/HTTPS)
- 区域级外部应用负载均衡器 (HTTP/HTTPS)
- 外部直通式网络负载均衡器
- 全球外部代理网络负载均衡器 (TCP/SSL)
- Cloud CDN
- 媒体 CDN
- 与 Cloud CDN 和媒体 CDN 的集成
- 可使用 Google Cloud Armor Web 应用防火墙 (WAF) 规则功能(包括适用于 OWASP 十大风险防护的预配置 WAF 规则)。
Cloud Armor Enterprise 包含以下内容:
- Cloud Armor Standard 的所有功能
- 多种定价模式可供选择:Cloud Armor Enterprise Annual 或 Paygo
- 捆绑式 Cloud Armor WAF 使用,包括规则、政策和请求
- 第三方已命名 IP 地址列表
- 适用于 Cloud Armor 的 Google Threat Intelligence
- 针对第 7 层端点的自动调节式保护
- 直通式端点的高级网络 DDoS 防护 - 外部直通式网络负载均衡器、协议转发和虚拟机 (VM) 实例的公共 IP 地址
- 对 DDoS 攻击可见性的访问权限
- 分层安全政策
- (仅限 Cloud Armor Enterprise Annual):可使用 DDoS 账单保护和 DDoS 响应团队服务(需满足其他条件,请参阅 DDoS 响应团队资格条件)
所有 Google Cloud 包含外部应用负载均衡器或外部代理网络负载均衡器的项目都会自动在 Cloud Armor Standard 中注册。在结算账号级订阅 Cloud Armor Enterprise 之后,用户可以选择在 Cloud Armor Enterprise 中注册关联到结算账号的各个项目。
下表汇总了两个服务层级。
| Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | 包年 | ||
| 结算方式 | Pay-as-you-go | Pay-as-you-go | 订阅(合约期为 12 个月) |
| 价格 | 按每个请求每项政策的每条规则(请参阅价格) |
|
|
| DDoS 攻击防护 |
|
|
|
| Cloud Armor WAF | 按每个请求每项政策的每条规则(请参阅价格) | 包含在 Paygo 中 | 包含在 Annual 中 |
| 资源限制 | 最高限额 | 最高限额 | 最高限额 |
| 承诺期 | 一年 | ||
| Adaptive Protection | 仅限提醒 | ||
| 高级网络 DDoS 攻击防护 | |||
| 网络边缘安全政策 | |||
| 地址组 | |||
| Google Threat Intelligence | |||
| 分层安全政策 | |||
| DDoS 攻击可见性 | |||
| DDoS 响应支持 | 资格要求 | ||
| DDoS 账单保护 | |||
订阅 Cloud Armor Enterprise
订阅 Cloud Armor Enterprise Annual 需要一年(12 个月)的合约期。只有拥有结算账号角色和权限的用户才能让结算账号订阅 Cloud Armor Enterprise Annual。或者,您也可以在没有合约期的 Cloud Armor Enterprise Paygo 中注册。
如需使用 Cloud Armor Enterprise 中的附加服务和功能,您必须先在 Cloud Armor Enterprise 中注册。您可以订阅 Cloud Armor Enterprise Annual 并注册各个项目,也可以直接在 Cloud Armor Enterprise Paygo 中注册项目。
我们建议您尽快在 Cloud Armor Enterprise 中注册项目,因为激活流程最多可能需要 1 小时才能完成。从 Cloud Armor Standard 升级到 Enterprise 通常不会中断应用的可用性。不过,在更改安全政策时,您必须仔细考虑结算方面的影响。
外部应用负载均衡器和外部代理网络负载均衡器
在 Cloud Armor Enterprise 中注册项目后,系统会将项目中的转发规则添加到注册中。此外,所有后端服务和后端存储桶都算作受保护资源,其用量计入 Cloud Armor Enterprise 受保护资源费用。Cloud Armor Enterprise Annual 中的后端服务和后端存储桶在结算账号下的所有已注册项目中进行汇总,而 Cloud Armor Enterprise Paygo 中的后端服务和后端存储桶是在项目内进行汇总。
外部直通式网络负载均衡器、协议转发和公共 IP 地址(虚拟机)
Cloud Armor 提供以下选项来保护这些端点免受 DDoS 攻击:
- 标准网络 DDoS 攻击防护:为外部直通式网络负载均衡器、协议转发或具有公共 IP 地址的虚拟机提供基本的始终开启防护。这包括强制执行转发规则和自动速率限制。 此功能包含在 Cloud Armor Standard 中,不需要任何额外订阅。
- 高级网络 DDoS 攻击防护:为 Cloud Armor Enterprise 订阅方提供额外的防护。高级网络 DDoS 攻击防护按区域配置。为特定区域启用后,Cloud Armor 为该区域中的外部直通式网络负载均衡器、协议转发和具有公共 IP 地址的虚拟机提供始终开启的容量耗尽攻击检测和有针对性的缓解功能。
分层安全政策
附加分层安全政策时,继承分层安全政策的每个项目都必须在 Cloud Armor Enterprise 中注册。这包括具有分层安全政策的组织或文件夹中的所有项目(明确排除的项目除外),以及直接附加了分层安全政策的所有项目。
- 如果项目关联的 Cloud Billing 账号订阅了 Cloud Armor Enterprise Annual,则这些项目会自动在 Cloud Armor Enterprise Annual 中注册(如果尚未注册)。
- 如果没有 Cloud Armor Enterprise Annual 订阅,项目在继承分层安全政策时会自动在 Cloud Armor Enterprise Paygo 中注册。如果您的项目已自动在 Cloud Armor Enterprise Paygo 中注册,但您之后又让结算账号订阅了 Cloud Armor Enterprise Annual,则相应项目不会自动注册到 Annual。如需详细了解 Cloud Armor Enterprise Paygo,请参阅 Cloud Armor Standard 与 Cloud Armor Enterprise。
- 如果您在某个项目自动在 Cloud Armor Enterprise 中注册之后更新分层安全政策以排除该项目,则该项目不会自动取消注册。如需手动取消注册项目,请参阅从 Cloud Armor Enterprise 中移除项目。
- 如果项目具有任何继承的分层安全政策,您无法从 Cloud Armor Enterprise 中移除项目。
自动注册最多可能需要一周时间才能完成。在此期间,您的分层安全政策有效,并且不会产生 Cloud Armor Enterprise 费用。项目注册后,审核日志会更新以反映项目的 Cloud Armor Enterprise 状态,并且您会在 Google Cloud 控制台中看到新的项目层级。
如需详细了解分层安全政策,请参阅分层安全政策概览。
DDoS 响应支持
DDoS 响应支持可让您获享保护所有 Google 服务的同一团队所提供的 DDoS 攻击全天候帮助和潜在自定义缓解措施。您可以在攻击期间获得响应支持来帮助减少攻击,也可主动联系来规划应对即将到来的大量或潜在病毒式事件(该事件可能会攻击异常大量的访问者)。
所有 Cloud Armor Enterprise 客户都可以获得主动支持,即使他们尚未完成 DDoS 安全状况审核。借助主动支持,我们可以在攻击到达 Cloud Armor 之前应用针对常见 DDoS 攻击类型的预配置规则。如需获得 DDoS 响应支持,请参阅获取针对 DDoS 请求的支持。
DDoS 安全状况审核
DDoS 安全状况审核的目标是提高 DDoS 响应流程的效率和效果。在审核过程中,我们会了解您的独特应用场景和架构,并验证您的 Cloud Armor 安全政策是否按照我们的最佳实践进行配置。这有助于您增强对 DDoS 攻击的预防性抵御能力。
DDoS 安全状况审核服务面向订阅了 Cloud Armor Enterprise Annual 且拥有 Cloud Customer Care 付费账号的客户提供。
获得 DDoS 响应支持的资格条件
您需要满足以下资格条件,才能创建支持请求并从 Cloud Armor DDoS 响应支持团队获取帮助:
- 您的结算账号已具有有效的 Cloud Armor Enterprise Annual 订阅。
- 您的结算账号拥有 Cloud Customer Care 付费账号。
- 工作负载遭到攻击的 Google Cloud 项目已在 Cloud Armor Enterprise Annual 中注册。
- 如果您使用跨项目服务引用,则前端和后端服务项目必须在 Cloud Armor Enterprise Annual 中注册。
- 对于在 2024 年 9 月 3 日之后订阅 Cloud Armor Enterprise Annual 的客户:工作负载遭到攻击的项目必须已完成年度 DDoS 安全状况审核。
即使客户不符合支持资格条件,我们的 Cloud Customer Care 团队也会在攻击期间提供协助,包括帮助进行规则调试、澄清行为以及解决现有政策方面的特定问题。
如需获得 DDoS 响应支持,请参阅获取针对 DDoS 请求的支持。
DDoS 账单保护
如需使用 Cloud Armor DDoS 账单保护,您的项目必须在 Cloud Armor Enterprise Annual 中注册。它提供赠金,用于补偿因已证实的 DDoS 攻击而导致账单中来自 Cloud Load Balancing、Cloud Armor 和网络互联网、区域间和可用区间出站数据传输的未来Google Cloud 用量有所增加的情况。如果已确认申请且已提供赠金,则赠金不能用于抵扣现有用量;这笔赠金只能用于未来用量。下表演示了 DDos 账单保护涵盖的资源:
| 端点类型 | 涵盖的用量增长 | |
|---|---|---|
|
Cloud Armor | Cloud Armor Enterprise 数据处理费 |
| 网络 | 出站数据传输 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载均衡器 | 入站流量数据处理费 | |
| 出站流量数据处理费用 | ||
| 媒体 CDN | 媒体 CDN 出站费用(仅限外部应用负载均衡器) | |
|
Cloud Armor | Cloud Armor Enterprise 数据处理费 |
| 网络 | 出站数据传输 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载均衡器 | 入站流量数据处理费 | |
| 出站流量数据处理费用 |
如需获得 DDoS 账单保护,请参阅获得 DDoS 账单保护。
在结算账号之间迁移项目
自 2024 年 9 月 3 日起,如果您在订阅 Cloud Armor Enterprise Annual 的情况下将项目从一个结算账号迁移到另一个结算账号,但您的新结算账号未订阅 Cloud Armor Enterprise Annual,则项目在迁移完成后会恢复为 Cloud Armor Standard,除非您的项目具有有效的分层安全政策,在这种情况下,您的项目会降级为 Cloud Armor Enterprise Paygo。因此,如果您想在不停机的情况下将项目保留在 Cloud Armor Enterprise Annual 中,建议您先让新结算账号订阅 Cloud Armor Enterprise Annual,然后再开始迁移流程。您也可以与 Cloud Billing 支持团队联系,将订阅从一个结算账号迁移到另一个结算账号。
已在 Cloud Armor Enterprise Paygo 中注册的项目不受结算账号迁移影响。
从 Cloud Armor Enterprise 降级
当您从 Cloud Armor Enterprise 中移除项目时,任何使用包含 Cloud Armor Enterprise 专属功能的规则(高级规则)的安全政策都会处于冻结状态。冻结的安全政策具有以下属性:
- Cloud Armor 会继续根据政策中的规则(包括任何高级规则)评估流量。
- 您无法将安全政策附加到新目标。
- 您只能对安全政策执行以下操作:
- 您可以删除安全政策规则。
- 如果您不更改规则优先级,则可以更新高级规则,以便这些规则不再使用 Cloud Armor Enterprise 专属功能。如果您以这种方式修改所有高级规则,您的政策将不再处于冻结状态。如需详细了解如何更新安全政策规则,请参阅更新安全政策中的单个规则。
您还可以在 Cloud Armor Enterprise Annual 或 Cloud Armor Enterprise Paygo 中重新注册,以恢复对冻结的安全政策的访问权限。
高级网络 DDoS 攻击防护
只有在 Cloud Armor Enterprise 中注册的项目才能使用高级网络 DDoS 防护。从 Cloud Armor Enterprise 中移除具有有效高级网络 DDoS 政策的项目之后,您仍需根据 Cloud Armor Enterprise 价格为相应功能付费。
我们建议您在从 Cloud Armor Enterprise 中取消注册项目之前删除所有高级网络 DDoS 防护规则,不过您也可以在降级后删除高级网络 DDoS 防护规则。
条款和限制
Cloud Armor Enterprise 具有以下条款和限制:
- 一般情况:如果已在 Cloud Armor Enterprise 中注册的项目在受保护的端点上遭受第三方拒绝服务攻击(以下简称“符合条件的攻击”),并且满足下一部分中所述的条件,则 Google 会提供相当于涵盖费用的赠金,前提是产生的涵盖费用超过最低阈值。客户或代表客户执行的负载测试和安全评估不属于符合条件的攻击。
- 条件:客户必须在符合条件的攻击结束后的 30 天内向 Cloud Billing 支持团队提交请求。请求必须包含符合条件的攻击的证据,例如日志或其他指示攻击时间以及受到攻击的项目和资源的遥测数据,另外必须包含产生的涵盖费用估算额。Google 会以合理方式判断是否应付赠金以及相应的金额。有关特定 Cloud Armor 功能的其他条件已纳入文档中。
- 补偿:与本部分相关的提供给客户的任何赠金均不具有现金价值,只能用于抵扣服务的未来费用。这些赠金将在发放之日起 12 个月后或是本协议终止或到期时失效。
- 定义:
- 涵盖费用:客户因符合条件的攻击直接产生的所有费用,包括:
- Google Cloud 负载均衡器服务的入站和出站数据处理。
- Cloud Armor 服务的 Google Cloud Armor Enterprise 数据处理。
- 网络出站流量,包括区域间、可用区间、互联网和运营商对等互连出站流量。
- 最低阈值:按照本部分内容符合赠金资格条件的涵盖费用的最低金额(Google 会不时确定并根据要求披露给客户)。
- 涵盖费用:客户因符合条件的攻击直接产生的所有费用,包括: