Google Cloud Armor Enterprise הוא שירות להגנה על אפליקציות, שעוזר להגן על אפליקציות ושירותים באינטרנט מפני מתקפות מניעת שירות (DDoS) מבוזרות ומאיומים אחרים באינטרנט. Cloud Armor Enterprise עוזר להגן על אפליקציות שפרוסות ב- Google Cloud, במקום או אצל ספקי תשתית אחרים.
ההבדלים בין Cloud Armor Standard לבין Cloud Armor Enterprise
שירות Google Cloud Armor מוצע בשתי רמות שירות: Standard ו-Cloud Armor Enterprise.
Cloud Armor Standard כולל את האפשרויות הבאות:
- מודל תמחור של תשלום לפי שימוש
- הגנה שפועלת תמיד מפני התקפות DDoS נפחיות ומבוססות פרוטוקול רשת בשכבה 3 ובשכבה 4 (L3 ו-L4).
יישום אוטומטי של מדיניות האבטחה שלכם על כל בקשה, בזמן אמת וללא השפעה על זמן האחזור, בסוגי התשתית הבאים:
- מאזן עומסים גלובלי חיצוני של אפליקציות (HTTP/HTTPS)
- מאזן עומסים קלאסי של אפליקציות (HTTP/HTTPS)
- מאזן עומסים חיצוני אזורי של אפליקציות (HTTP/HTTPS)
- מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
- מאזן עומסי רשת גלובלי חיצוני בשרת proxy (TCP/SSL)
- Cloud CDN
- Media CDN
אינטגרציה עם Cloud CDN ו-Media CDN
גישה ליכולות של כללי חומת האש ליישומי אינטרנט (WAF) ב-Cloud Armor, כולל כללי WAF שהוגדרו מראש להגנה על עשרת הסיכונים המובילים של OWASP
Cloud Armor Enterprise כולל את האפשרויות הבאות:
- כל התכונות של Cloud Armor Standard
- אפשרות בחירה בין מודלים של תמחור: Cloud Armor Enterprise Annual או Paygo
- שימוש ב-WAF של Cloud Armor בחבילה, כולל כללים, מדיניות ובקשות
- רשימות של כתובות IP עם שמות מצד שלישי
- Google Threat Intelligence for Cloud Armor
- הגנה דינמית לנקודות קצה (endpoints) בשכבה 7
- הגנה מתקדמת מפני DDoS ברשת לנקודות קצה להעברת סיגנל ללא שינוי – מאזני עומסים חיצוניים של רשת להעברת סיגנל ללא שינוי, העברת פרוטוקולים וכתובות IP ציבוריות למכונות וירטואליות (VM)
- גישה לנתוני חשיפה להתקפות DDoS
- מדיניות אבטחה היררכית
- (רק ב-Cloud Armor Enterprise Annual): גישה להגנה על החשבון מפני חיובים בעקבות מתקפות DDoS ולשירותים של צוות המענה למתקפות DDoS (חלים תנאים נוספים, ראו זכאות לצוות המענה למתקפות DDoS)
כל Google Cloud הפרויקטים שכוללים מאזן עומסים חיצוני של אפליקציות (ALB) או מאזן עומסי רשת חיצוני בשרת proxy נרשמים אוטומטית ל-Cloud Armor Standard. אחרי שנרשמים ל-Cloud Armor Enterprise ברמת החשבון לחיוב, המשתמשים יכולים לבחור לרשום ל-Cloud Armor Enterprise פרויקטים ספציפיים שמצורפים לחשבון לחיוב.
בטבלה הבאה מפורטים שני מסלולי השירות.
| Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| Paygo | תוכנית שנתית | ||
| אמצעי חיוב | Pay-as-you-go | Pay-as-you-go | מינוי עם התחייבות ל-12 חודשים |
| תמחור | לפי מדיניות, לפי כלל, לפי בקשה (ראו תמחור) |
|
|
| הגנה מפני מתקפות DDoS |
|
|
|
| Cloud Armor WAF | לפי מדיניות, לפי כלל, לפי בקשה (ראו תמחור) | כלול ב-Paygo | כלול בתוכנית השנתית |
| מגבלות על משאבים | עד למגבלת המכסה | עד למגבלת המכסה | עד למגבלת המכסה |
| התחייבות לזמן | שנה אחת | ||
| הגנה דינמית | התראות בלבד | ||
| הגנה מתקדמת מפני התקפות DDoS ברשת | |||
| מדיניות אבטחה של קצה הרשת | |||
| קבוצת כתובות | |||
| Google Threat Intelligence | |||
| מדיניות אבטחה היררכית | |||
| רמת החשיפה של התקפות DDoS | |||
| תמיכה בתגובה להתקפות DDoS | דרישות הסף | ||
| הגנה על חיובי DDoS | |||
הרשמה ל-Cloud Armor Enterprise
כשנרשמים למינוי שנתי של Cloud Armor Enterprise, נדרשת התחייבות לשנה אחת (12 חודשים). רק משתמשים עם תפקיד והרשאות בחשבון לחיוב יכולים לרשום את החשבון לחיוב למינוי שנתי של Cloud Armor Enterprise. אפשר גם להירשם ל-Cloud Armor Enterprise Paygo בלי התחייבות.
כדי להשתמש בשירותים וביכולות הנוספים ב-Cloud Armor Enterprise, צריך להירשם קודם ל-Cloud Armor Enterprise. אפשר להירשם למינוי שנתי של Cloud Armor Enterprise ולהוסיף פרויקטים בודדים, או להירשם ישירות ל-Cloud Armor Enterprise Paygo.
מומלץ לרשום את הפרויקטים ל-Cloud Armor Enterprise בהקדם האפשרי, כי ההפעלה יכולה להימשך עד שעה. שדרוג מ-Cloud Armor Standard ל-Enterprise בדרך כלל לא ישפיע על הזמינות של האפליקציה. עם זאת, כשמבצעים שינויים במדיניות האבטחה, צריך לשקול היטב את ההשלכות על החיוב.
מאזן עומסים חיצוני של אפליקציות (ALB) ומאזן עומסי רשת חיצוני לשרת proxy
אחרי שרושמים פרויקט ב-Cloud Armor Enterprise, כללי ההעברה בפרויקט מתווספים לרישום. בנוסף, כל השירותים לקצה העורפי והקטגוריות לקצה העורפי נספרים כמשאבים מוגנים, והשימוש בהם נמדד לצורך חישוב העלות של משאבים מוגנים ב-Cloud Armor Enterprise. שירותי הקצה העורפי וקטגוריות הקצה העורפי ב-Cloud Armor Enterprise Annual מצטברים בכל הפרויקטים הרשומים בחשבון לחיוב, בעוד ששירותי הקצה העורפי וקטגוריות הקצה העורפי ב-Cloud Armor Enterprise Paygo מצטברים בתוך הפרויקט.
ההגנה שפועלת ללא הפסקה על כללי העברה, שירותים לקצה העורפי ודליים לקצה העורפי כוללת צעדים לצמצום ההשפעה של מתקפות DDoS מסוג L3 ו-L4, שהן מתקפות נפחיות ומבוססות על פרוטוקול רשת. כדי לקבל הגנה מפני איומים בשכבת האפליקציה, כולל מתקפות DDoS בשכבה 7, צריך ליצור מדיניות אבטחה עם כללים להפחתת הסיכון.
מדיניות אבטחה היררכית
כשמצרפים מדיניות אבטחה היררכית, כל הפרויקטים שמקבלים בירושה את מדיניות האבטחה ההיררכית צריכים להיות רשומים ב-Cloud Armor Enterprise. זה כולל את כל הפרויקטים בארגון או בתיקייה עם מדיניות אבטחה היררכית שלא נכללים בה במפורש, ואת כל הפרויקטים עם מדיניות אבטחה היררכית שמצורפת ישירות לפרויקט.
- פרויקטים שמקושרים לחשבון לחיוב ב-Cloud עם מינוי שנתי ל-Cloud Armor Enterprise נרשמים אוטומטית למינוי הזה אם הם עדיין לא רשומים.
- אם אין לכם מינוי ל-Cloud Armor Enterprise Annual, פרויקטים נרשמים אוטומטית ל-Cloud Armor Enterprise Paygo כשהם מקבלים בירושה מדיניות אבטחה היררכית. אם נרשמתם למינוי Cloud Armor Enterprise Annual בחשבון לחיוב אחרי שהפרויקט שלכם נרשם אוטומטית ל-Cloud Armor Enterprise Paygo, הפרויקט לא יירשם אוטומטית ל-Annual. מידע נוסף על Cloud Armor Enterprise Paygo זמין במאמר Cloud Armor Standard לעומת Cloud Armor Enterprise.
- אם מעדכנים מדיניות אבטחה היררכית כדי להחריג פרויקט אחרי שהפרויקט נרשם אוטומטית ל-Cloud Armor Enterprise, הפרויקט לא יבוטל אוטומטית. כדי לבטל את ההרשמה של הפרויקט באופן ידני, אפשר לעיין במאמר הסרת פרויקט מ-Cloud Armor Enterprise.
- אי אפשר להסיר פרויקט מ-Cloud Armor Enterprise אם יש בו מדיניות אבטחה היררכית שעברה בירושה.
תהליך ההרשמה האוטומטית יכול להימשך עד סוף יום העסקים הבא. במהלך התקופה הזו, כללי מדיניות האבטחה ההיררכיים שלכם יהיו בתוקף ולא יחויבו עלויות של Cloud Armor Enterprise. כשמצרפים את הפרויקט, יומני הביקורת מתעדכנים כדי לשקף את הסטטוס של הפרויקט ב-Cloud Armor Enterprise. תוכלו לראות את רמת הפרויקט החדשה גם בGoogle Cloud מסוף.
פרויקטים נרשמים אוטומטית רק אם לפחות שירות לקצה העורפי אחד למאזני עומסים חיצוניים גלובליים משתמש ב-HTTP, ב-HTTPS, ב-HTTP2, ב-H2C או ב-GRPC.
מידע נוסף על מדיניות אבטחה היררכית זמין במאמר סקירה כללית על מדיניות אבטחה היררכית.
תמיכה בתגובה להתקפות DDoS
תמיכה בתגובה להתקפות DDoS מספקת עזרה מסביב לשעון ופתרונות פוטנציאליים בהתאמה אישית להתקפות DDoS מאותו צוות שמגן על כל שירותי Google. אתם יכולים לפנות לתמיכה בתגובה במהלך מתקפה כדי לקבל עזרה בצמצום ההשפעה שלה, או לפנות מראש כדי לתכנן אירוע קרוב עם נפח תנועה גבוה או אירוע שעלול להפוך ויראלי (אירוע שעשוי למשוך כמות גבוהה במיוחד של מבקרים).
תמיכה יזומה זמינה לכל הלקוחות של Cloud Armor Enterprise, גם אם הם לא השלימו בדיקה של מצב האבטחה מפני מתקפות DDoS. תמיכה פרואקטיבית מאפשרת לנו להחיל כללים שהוגדרו מראש ומכוונים לסוגים נפוצים של מתקפות DDoS, לפני שהמתקפה מגיעה ל-Cloud Armor. איך מקבלים תמיכה בנושא תגובה למתקפת DDoS
בדיקת מצב האבטחה מפני DDoS
המטרה של בדיקת מצב ההגנה מפני DDoS היא לשפר את היעילות והאפקטיביות של תהליך התגובה ל-DDoS. במהלך תהליך הבדיקה אנחנו לומדים על תרחיש השימוש והארכיטקטורה הייחודיים שלכם, ומוודאים שמדיניות האבטחה של Cloud Armor מוגדרת בהתאם לשיטות המומלצות שלנו. כך תוכלו להגביר את החוסן המקדים שלכם מפני מתקפות DDoS.
הבדיקה של עמידות בפני DDoS ניתנת ללקוחות שמנויים ל-Cloud Armor Enterprise Annual ויש להם חשבון Premium ב-Cloud Customer Care.
מי זכאי לתמיכה בתגובה להתקפות DDoS
הקריטריונים הבאים מאפשרים לכם לפתוח בקשה ולקבל עזרה מצוות התמיכה של Cloud Armor בנושא תגובה למתקפות DDoS:
- בחשבון לחיוב יש מינוי שנתי פעיל ל-Cloud Armor Enterprise.
- יש לכם חשבון פרימיום ב-Cloud Customer Care שמשויך לחשבון לחיוב.
- הפרויקט Google Cloud עם עומס העבודה שנמצא תחת מתקפה רשום ב-Cloud Armor Enterprise Annual.
- אם אתם משתמשים בהפניה לשירותים בין פרויקטים, גם פרויקט השירות של הקצה הקדמי וגם שירות הקצה העורפי צריכים להיות רשומים ל-Cloud Armor Enterprise Annual.
- ללקוחות שנרשמו למינוי Cloud Armor Enterprise Annual אחרי 3 בספטמבר 2024: הפרויקט עם עומס העבודה שנמצא תחת מתקפה צריך לעבור בדיקה שנתית של עמידות בפני מתקפות DDoS.
גם אם הלקוחות לא עומדים בדרישות לקבלת תמיכה, צוות Cloud Customer Care מספק עזרה במהלך מתקפה. הוא עוזר באיתור באגים בכללים, בהסבר על התנהגויות ובטיפול בבעיות ספציפיות במדיניות הקיימת.
איך מקבלים תמיכה בנושא תגובה למתקפת DDoS
הגנה על חיובי DDoS
כדי להשתמש בהגנה מפני חיובים על תעבורת DDoS ב-Cloud Armor, צריך לרשום את הפרויקט למינוי שנתי של Cloud Armor Enterprise. השירות מספק קרדיטים לשימוש עתידי ב-Cloud Load Balancing, ב-Cloud Armor וברשת האינטרנט, בהעברת נתונים יוצאים בין אזורים ובין אזורי זמינות, אם חל גידול מסוים בחיובים כתוצאה ממתקפת DDoS מאומתת.Google Cloud אם התביעה מוכרת וניתן זיכוי, אי אפשר להשתמש בזיכוי כדי לקזז שימוש קיים. אפשר להשתמש בזיכוי רק לשימוש עתידי. בטבלה הבאה מפורטים המשאבים שמכוסים על ידי הגנה מפני חיוב על DDoS:
| סוג נקודת הקצה | עלייה בשימוש שנכללת בכיסוי | |
|---|---|---|
|
Cloud Armor | עמלת עיבוד נתונים ב-Cloud Armor Enterprise |
| רשת | העברת נתונים יוצאת | |
| בין אזורים | ||
| בין אזורים | ||
| קישור בין רשתות שכנות דרך ספק (carrier peering) | ||
| מאזן עומסים | עמלת עיבוד נתונים נכנסים | |
| עמלת עיבוד נתונים יוצאים | ||
| Cloud CDN | עמלה על תעבורת נתונים יוצאת (egress) ב-Cloud CDN | |
| העברת נתונים מהמטמון | ||
| מילוי המטמון | ||
| בקשות לחיפוש במטמון HTTP/HTTPS | ||
| Media CDN | עמלת תעבורת נתונים יוצאת (egress) של Media CDN | |
| העברת נתונים מהמטמון | ||
|
Cloud Armor | עמלת עיבוד נתונים ב-Cloud Armor Enterprise |
| רשת | העברת נתונים יוצאת | |
| בין אזורים | ||
| בין אזורים | ||
| קישור בין רשתות שכנות דרך ספק (carrier peering) | ||
| מאזן עומסים | עמלת עיבוד נתונים נכנסים | |
| עמלת עיבוד נתונים יוצאים |
מידע על הפעלת ההגנה על חיובי DDoS זמין במאמר הפעלת ההגנה על חיובי DDoS.
העברת פרויקטים בין חשבונות לחיוב
החל מ-3 בספטמבר 2024, אם תעבירו את הפרויקט שלכם מחשבון חיוב אחד לחשבון חיוב אחר כשאתם מנויים ל-Cloud Armor Enterprise Annual, אבל חשבון החיוב החדש לא מנוי ל-Cloud Armor Enterprise Annual, הפרויקט שלכם יחזור ל-Cloud Armor Standard אחרי שההעברה תושלם – אלא אם בפרויקט שלכם יש מדיניות אבטחה היררכית בתוקף. במקרה כזה, הפרויקט שלכם ישודרג לאחור ל-Cloud Armor Enterprise Paygo. לכן, אם אתם רוצים להשאיר את הפרויקט ב-Cloud Armor Enterprise Annual בלי זמן השבתה, מומלץ להירשם עם חשבון החיוב החדש ל-Cloud Armor Enterprise Annual לפני שתתחילו את תהליך ההעברה. אפשר גם להעביר את המינוי מחשבון לחיוב אחד לחשבון אחר על ידי פנייה אל התמיכה בנושאי חיוב ב-Cloud.
ההעברה של החשבון לחיוב לא משפיעה על פרויקטים שנרשמו ל-Cloud Armor Enterprise Paygo.
שדרוג לאחור מ-Cloud Armor Enterprise
כשמסירים פרויקט מ-Cloud Armor Enterprise, כל כללי מדיניות האבטחה שמשתמשים בכללים עם תכונות בלעדיות ל-Cloud Armor Enterprise (כללים מתקדמים) קופאים. למדיניות אבטחה קפואה יש את המאפיינים הבאים:
- Cloud Armor ממשיך לבדוק את התנועה בהתאם לכללים במדיניות, כולל כללים מתקדמים.
- אי אפשר לצרף את מדיניות האבטחה ליעדים חדשים.
- אפשר לבצע רק את הפעולות הבאות במדיניות האבטחה:
- אתם יכולים למחוק כללים של מדיניות אבטחה.
- אם לא משנים את העדיפות של הכלל, אפשר לעדכן כללים מתקדמים כך שהם לא ישתמשו יותר בתכונות שזמינות רק ב-Cloud Armor Enterprise. אם משנים את כל הכללים המתקדמים בדרך הזו, המדיניות כבר לא קפואה. למידע נוסף על עדכון כללים במדיניות אבטחה, אפשר לעיין במאמר בנושא עדכון כלל יחיד במדיניות אבטחה.
אפשר גם להירשם מחדש ל-Cloud Armor Enterprise Annual או ל-Cloud Armor Enterprise Paygo כדי לשחזר את הגישה למדיניות האבטחה שהוקפאה.
הגנה מתקדמת מפני התקפות DDoS ברשת
הגנה מתקדמת מפני DDoS ברשת זמינה רק לפרויקטים שרשומים ל-Cloud Armor Enterprise. כשמסירים פרויקט עם מדיניות פעילה מתקדמת של DDoS ברשת מ-Cloud Armor Enterprise, עדיין מחויבים על התכונה בהתאם לתמחור של Cloud Armor Enterprise.
מומלץ למחוק את כל כללי ההגנה המתקדמת מפני DDoS ברשת לפני שמבטלים את ההרשמה של הפרויקט ל-Cloud Armor Enterprise, אבל אפשר גם למחוק את כללי ההגנה המתקדמת מפני DDoS ברשת אחרי השדרוג לאחור.
תנאים ומגבלות
התנאים והמגבלות של Cloud Armor Enterprise הם:
- באופן כללי: אם פרויקט שנרשם ל-Cloud Armor Enterprise חווה מתקפת מניעת שירות מצד שלישי על נקודת קצה מוגנת (להלן: "מתקפה שעומדת בתנאים") והתנאים שמתוארים בקטע הבא מתקיימים, Google תעניק זיכוי ששווה לסכום העמלות הרלוונטיות, בתנאי שהעמלות הרלוונטיות שחויבו גבוהות מסכום הסף המינימלי. בדיקות עומס והערכות אבטחה שמתבצעות על ידי הלקוח או בשמו לא נחשבות להתקפות שעומדות בדרישות.
- תנאים: הלקוח צריך לשלוח בקשה לתמיכה בנושא חיוב ב-Cloud תוך 30 יום מסיום המתקפה שעומדת בדרישות. הבקשה צריכה לכלול הוכחות למתקפה שעומדת בדרישות, כמו יומנים או נתוני טלמטריה אחרים שמציינים את התזמון של המתקפה ואת הפרויקטים והמשאבים שהותקפו, ואומדן של העמלות המכוסות שחויבו. Google תקבע באופן סביר אם מגיע ללקוח זיכוי ואת הסכום המתאים. תנאים נוספים לתכונות מסוימות של Cloud Armor מפורטים במסמכים.
- קרדיטים: לקרדיטים שניתנים ללקוח בהקשר של הסעיף הזה אין ערך כספי, ואפשר להשתמש בהם רק כדי לקזז עמלות עתידיות על השירותים. תוקף הקרדיטים יפוג 12 חודשים אחרי הנפקתם או עם סיום ההסכם או פקיעת התוקף שלו.
- הגדרות:
- עמלות מכוסות: כל העמלות שהלקוח נדרש לשלם כתוצאה ישירה של המתקפה שעומדת בדרישות, עבור הפעולות הבאות:
- עיבוד נתונים נכנסים ויוצאים בשירות Google Cloud Load Balancer.
- עיבוד נתונים ב-Google Cloud Armor Enterprise בשביל שירות Cloud Armor.
- תעבורת נתונים יוצאת (egress) ברשת, כולל תעבורה בין אזורים, תעבורה בין תחומים, תעבורה באינטרנט ותעבורת נתונים יוצאת (egress) של Carrier Peering.
- סף מינימלי: הסכום המינימלי של עמלות מכוסות שעומדות בדרישות לקבלת זיכוי לפי הסעיף הזה, כפי שייקבע על ידי Google מעת לעת ויימסר ללקוח לפי בקשה.
- עמלות מכוסות: כל העמלות שהלקוח נדרש לשלם כתוצאה ישירה של המתקפה שעומדת בדרישות, עבור הפעולות הבאות: