Cloud Armor Enterprise 總覽

Google Cloud Armor Enterprise 是應用程式防護服務,可保護網頁應用程式和服務,防範網際網路的分散式阻斷服務 (DDoS) 攻擊與其他威脅。Cloud Armor Enterprise 可保護部署在 Google Cloud、地端或其他基礎架構供應商的應用程式。

Google Cloud Armor Standard 與 Cloud Armor Enterprise 的比較

Cloud Armor 提供兩種服務級別:「Standard」和「Cloud Armor Enterprise」。

Cloud Armor Standard 包含下列項目:

  • 即付即用計費模式
  • 全天候防護機制,可抵禦第 3 層和第 4 層 (L3 和 L4) 的巨流量 DDoS 攻擊,以及以網路通訊協定為基礎的 DDoS 攻擊。
  • 針對每項要求自動套用安全政策,即時防護下列基礎架構類型,且不會造成延遲:

    • 全域外部應用程式負載平衡器 (HTTP/HTTPS)
    • 傳統版應用程式負載平衡器 (HTTP/HTTPS)
    • 區域性外部應用程式負載平衡器 (HTTP/HTTPS)
    • 外部直通式網路負載平衡器
    • 全域外部 Proxy 網路負載平衡器 (TCP/SSL)
    • Cloud CDN
    • Media CDN
  • 與 Cloud CDN 和 Media CDN 整合

  • 存取 Cloud Armor 網頁應用程式防火牆 (WAF) 規則功能,包括用於防範 OWASP 前 10 大安全風險的預先設定 WAF 規則

Cloud Armor Enterprise 包含下列項目:

凡是包含外部應用程式負載平衡器或外部 Proxy 網路負載平衡器的專案,都會自動註冊 Cloud Armor Standard。 Google Cloud 在帳單帳戶層級訂閱 Cloud Armor Enterprise 後,使用者可以選擇為連結至該帳單帳戶的個別專案註冊 Cloud Armor Enterprise。

下表彙整這兩個服務層級。

Cloud Armor Standard Cloud Armor Enterprise
PayGo 年約
計費方式 即付即用 即付即用 訂閱方案 (綁約 12 個月)
定價 按照政策、規則和要求數量計費 (請參閱「定價」)
  • 每項專案每月 $200 美元
  • 前 2 項之後,每月每多一項受保護的資源加收 $200 美元
  • 每個帳單帳戶每月 $3,000 美元
  • 前 100 項資源之後,每多一項受保護的資源每月加收 $30 美元
DDoS 攻擊防護
  • 外部應用程式負載平衡器
  • 外部 Proxy 網路負載平衡器
  • 外部應用程式負載平衡器
  • 外部 Proxy 網路負載平衡器
  • 外部直通式網路負載平衡器
  • 通訊協定轉送
  • 公開 IP 位址 (VM)
  • 外部應用程式負載平衡器
  • 外部 Proxy 網路負載平衡器
  • 外部直通式網路負載平衡器
  • 通訊協定轉送
  • 公開 IP 位址 (VM)
Cloud Armor WAF 按照政策、規則和要求數量計費 (請參閱「定價」) 隨附於即付即用方案 隨附於年費方案
資源限制 不得超過配額上限 不得超過配額上限 不得超過配額上限
約期 一年
Adaptive Protection 僅限快訊
進階的網路分散式阻斷服務防護功能
網路邊緣安全性政策
位址群組
Google Threat Intelligence
階層式安全性政策
DDoS 攻擊可視性
DDoS 攻擊回應支援 資格規定
分散式阻斷服務攻擊帳單保護

訂閱 Cloud Armor Enterprise

訂閱 Cloud Armor Enterprise 年約方案時,必須承諾使用一年 (12 個月)。只有具備帳單帳戶角色和權限的使用者,才能為帳單帳戶訂閱 Cloud Armor Enterprise 年約方案。此外,您也可以註冊 Cloud Armor Enterprise 即付即用方案,無須承諾使用期限。

如要使用 Cloud Armor Enterprise 的額外服務和功能,請先註冊 Cloud Armor Enterprise。您可以訂閱 Cloud Armor Enterprise Annual 並註冊個別專案,也可以直接在 Cloud Armor Enterprise Paygo 中註冊專案。

建議您盡快為專案註冊 Cloud Armor Enterprise,因為啟用程序最多可能需要一小時。從 Cloud Armor Standard 升級至 Enterprise 時,通常不會影響應用程式的可用性。不過,變更安全性政策時,請務必仔細考量對帳單的影響。

外部應用程式負載平衡器和外部 Proxy 網路負載平衡器

專案註冊 Cloud Armor Enterprise 後,專案中的轉送規則會新增至註冊項目。此外,所有後端服務和後端 bucket 都會計為受保護資源,並根據 Cloud Armor Enterprise 受保護資源費用計費。在 Cloud Armor Enterprise Annual 中,後端服務和後端 bucket 會在帳單帳戶中,針對所有註冊專案匯總;在 Cloud Armor Enterprise Paygo 中,後端服務和後端 bucket 則會在專案中匯總。

轉送規則、後端服務和後端值區的全天候防護功能,包括緩解第 3 層和第 4 層巨流量及以網路通訊協定為基礎的 DDoS 攻擊。如要防範應用程式層威脅 (包括 L7 DDoS),使用者必須建立安全性政策,並加入緩解規則。

階層式安全性政策

附加階層式安全性政策時,繼承該政策的每個專案都必須註冊 Cloud Armor Enterprise。這包括組織或資料夾中所有未明確排除的專案,以及直接附加階層式安全性政策的所有專案。

  • 如果專案連結的 Cloud Billing 帳戶已訂閱 Cloud Armor Enterprise Annual,系統會自動註冊 Cloud Armor Enterprise Annual (如果尚未註冊)。
  • 如果沒有 Cloud Armor Enterprise Annual 訂閱方案,專案在繼承階層式安全性政策時,會自動註冊 Cloud Armor Enterprise Paygo。如果專案自動註冊 Cloud Armor Enterprise Paygo 後,您才為帳單帳戶訂閱 Cloud Armor Enterprise Annual,專案不會自動註冊 Annual 方案。如要進一步瞭解 Cloud Armor Enterprise Paygo,請參閱「Cloud Armor Standard 與 Cloud Armor Enterprise 比較」。
  • 如果專案自動註冊 Cloud Armor Enterprise ,您更新階層式安全性政策來排除該專案,專案不會自動取消註冊。如要手動取消註冊專案,請參閱「從 Cloud Armor Enterprise 移除專案」。
  • 如果專案有任何繼承的階層式安全性政策,就無法從 Cloud Armor Enterprise 移除。

自動註冊程序最多可能需要一個工作天才能完成。在這段期間,階層式安全政策會生效,且不會產生 Cloud Armor Enterprise 費用。專案註冊完成後,稽核記錄會更新,反映專案的 Cloud Armor Enterprise 狀態。您也會在Google Cloud 控制台中看到新的專案層級。

只有在全域外部負載平衡器的至少一項後端服務使用 HTTP、HTTPS、HTTP2、H2C 或 GRPC 時,專案才會自動註冊。

如要進一步瞭解階層式安全政策,請參閱「階層式安全政策總覽」。

DDoS 攻擊回應支援

DDoS 攻擊應變支援服務由負責保護所有 Google 服務的團隊提供,可全年無休地協助您應對 DDoS 攻擊,並提供潛在的自訂緩解措施。您可以在遭受攻擊時尋求回應支援,協助減輕攻擊影響,也可以主動聯絡我們,為即將到來的大量或可能爆紅的事件 (可能吸引異常大量訪客) 做好準備。

所有 Cloud Armor Enterprise 客戶都能享有主動式支援服務,即使尚未完成 DDoS 防護機制檢查也沒問題。透過主動支援,我們可以在攻擊抵達 Cloud Armor 之前,套用預先設定的規則來防範常見的 DDoS 攻擊類型。如要尋求 DDoS 回應支援,請參閱「取得 DDoS 案件支援」。

DDoS 防護機制審查

DDoS 防護機制檢查的目標是提升 DDoS 應變程序的效率和效力。在檢查過程中,我們會瞭解您的獨特用途和架構,並確認 Cloud Armor 安全性政策是否按照最佳做法設定。這有助於您提高 DDoS 攻擊的預防性復原能力。

DDoS 防護機制檢查服務適用於訂閱 Cloud Armor Enterprise Annual 方案,且擁有 Cloud Customer Care 付費帳戶的客戶。

分散式阻斷服務攻擊回應支援服務的適用資格

符合下列條件即可開立案件,並取得 Cloud Armor DDoS 回應支援團隊的協助:

  • 您的帳單帳戶已啟用 Cloud Armor Enterprise 年度訂閱方案。
  • 您的帳單帳戶有 Cloud Customer Care 的付費帳戶
  • Google Cloud 含有受攻擊工作負載的專案已註冊 Cloud Armor Enterprise Annual。
    • 如果您使用跨專案服務參照,前端和後端服務專案都必須註冊 Cloud Armor Enterprise Annual。
  • 如果客戶在 2024 年 9 月 3 日訂閱 Cloud Armor Enterprise 年約方案,則受到攻擊的工作負載所在專案必須完成年度 DDoS 防護機制檢查。

即使客戶不符合支援資格,我們的 Cloud Customer Care 團隊也會在攻擊期間提供協助,例如協助偵錯規則、釐清行為,以及解決現有政策的特定問題。

如要尋求 DDoS 回應支援,請參閱「取得 DDoS 案件支援」。

分散式阻斷服務攻擊帳單保護

如要使用 Cloud Armor DDoS 帳單防護功能,專案必須註冊 Cloud Armor Enterprise 年度方案。如果因經過驗證的 DDoS 攻擊,導致 Cloud Load Balancing、Cloud Armor,以及網路網際網路、跨區域和跨可用區輸出資料傳輸的帳單費用增加,這項功能會提供抵免額,用於日後使用這些服務。如果系統核准申請並提供抵免額,抵免額無法用於抵銷現有用量,只能用於日後用量。下表說明 DDoS 帳單防護功能涵蓋的資源:Google Cloud

端點類型 涵蓋的用量增加
  • 外部應用程式負載平衡器
  • 外部 Proxy 網路負載平衡器
Cloud Armor Cloud Armor Enterprise 資料處理費用
網路 傳出資料移轉
跨區域
跨區域
電信業者對等互連
負載平衡器 傳入資料處理費用
傳出資料處理費用
Cloud CDN Cloud CDN 輸出費用
快取資料轉出
快取填補
HTTP/HTTPS 快取查詢要求
Media CDN Media CDN 輸出費用
快取資料轉出
  • 外部直通式網路負載平衡器
  • 通訊協定轉送
  • 公開 IP 位址 (VM)
Cloud Armor Cloud Armor Enterprise 資料處理費用
網路 傳出資料移轉
跨區域
跨區域
電信業者對等互連
負載平衡器 傳入資料處理費用
傳出資料處理費用

如要啟用分散式阻斷服務攻擊帳單保護機制,請參閱「啟用分散式阻斷服務攻擊帳單保護機制」。

在帳單帳戶之間遷移專案

自 2024 年 9 月 3 日起,如果您在訂閱 Cloud Armor Enterprise Annual 方案期間,將專案從一個帳單帳戶遷移至另一個帳單帳戶,但新的帳單帳戶未訂閱 Cloud Armor Enterprise Annual 方案,專案會在遷移完成後還原為 Cloud Armor Standard 方案,除非專案有生效的階層式安全性政策,否則專案會降級為 Cloud Armor Enterprise Paygo 方案。因此,如要讓專案繼續使用 Cloud Armor Enterprise Annual 方案,且不希望發生停機情形,建議您為新的帳單帳戶訂閱 Cloud Armor Enterprise Annual 方案,再開始遷移程序。您也可以聯絡 Cloud Billing 支援團隊,將訂閱方案從一個帳單帳戶遷移至另一個帳單帳戶。

已註冊 Cloud Armor Enterprise Paygo 的專案不受帳單帳戶遷移影響。

從 Cloud Armor Enterprise 降級

從 Cloud Armor Enterprise 移除專案後,凡是使用規則且包含 Cloud Armor Enterprise 專屬功能 (進階規則) 的安全性政策,都會遭到凍結。凍結的安全性政策具有下列屬性:

  • Cloud Armor 會繼續根據政策中的規則 (包括任何進階規則) 評估流量。
  • 您無法將安全性政策附加至新目標。
  • 您只能對安全性政策執行下列作業:
    • 您可以刪除安全性政策規則
    • 如果不想變更規則優先順序,可以更新進階規則,讓這些規則不再使用 Cloud Armor Enterprise 專屬功能。如果以這種方式修改所有進階規則,政策就不會再凍結。如要進一步瞭解如何更新安全性政策規則,請參閱「更新安全性政策中的單一規則」。

您也可以重新註冊 Cloud Armor Enterprise Annual 或 Cloud Armor Enterprise Paygo,恢復存取遭凍結的安全性政策。

進階的網路分散式阻斷服務防護功能

進階網路 DDoS 防護功能僅適用於註冊 Cloud Armor Enterprise 的專案。從 Cloud Armor Enterprise 移除專案時,如果專案有運作中的進階網路 DDoS 政策,系統仍會根據 Cloud Armor Enterprise 定價,向您收取這項功能的費用。

建議您先刪除所有進階網路 DDoS 防護規則,再取消註冊專案的 Cloud Armor Enterprise 服務,但您也可以在降級後刪除進階網路 DDoS 防護規則。

條款和限制

Cloud Armor Enterprise 具有下列條款和限制:

  • 一般情況:如果已註冊 Cloud Armor Enterprise 的專案,在受保護的端點上遭到第三方阻斷服務攻擊 (下稱「符合資格的攻擊」),且符合下一節所述條件,Google 會提供等同於涵蓋費用的抵免額,前提是產生的涵蓋費用超過最低門檻。由「客戶」或代表「客戶」執行的負載測試和安全評估,不屬於合格攻擊。
  • 條件:客戶必須在符合資格的攻擊結束後 30 天內,向 Cloud Billing 支援團隊提出申請。要求必須包含合格攻擊事件的證據,例如記錄或其他遙測資料,指出攻擊時間,以及遭到攻擊的專案和資源,並估算所產生的涵蓋費用。Google 將合理判斷是否應支付抵免額,以及適當的金額。如要瞭解特定 Cloud Armor 功能的其他條件,請參閱說明文件。
  • 抵免額:根據本節提供給客戶的任何抵免額均不具現金價值,只能用於扣抵日後的服務費用。這些抵免額會在核發 12 個月後失效,或是在本協議終止或到期時失效。
  • 定義
    • 涵蓋費用:因合格攻擊直接導致客戶產生下列費用:
      • Google Cloud LoadBalancer 服務的輸入和輸出資料處理。
      • Cloud Armor 服務的 Cloud Armor Enterprise 資料處理。
      • 網路輸出,包括跨區域、跨可用區、網際網路和電信業者對等互連輸出。
    • 最低門檻:根據本節規定,符合資格的「涵蓋費用」最低金額。Google 會不時決定並應客戶要求揭露此金額。

後續步驟