Panoramica di Cloud Armor Enterprise

Google Cloud Armor Enterprise è il servizio di protezione delle applicazioni che aiuta a proteggere le tue applicazioni e i tuoi servizi web da attacchi distributed denial of service (DDoS) e altre minacce su internet. Cloud Armor Enterprise contribuisce a proteggere le applicazioni con deployment su Google Cloud, on-premise o su altri provider di infrastrutture.

Cloud Armor Standard e Cloud Armor Enterprise

Google Cloud Armor viene offerto in due livelli di servizio: Standard e Cloud Armor Enterprise.

Cloud Armor Standard include quanto segue:

  • Modello di determinazione del prezzo con pagamento a consumo
  • Protezione sempre attiva da attacchi DDoS volumetrici e basati su protocollo, con mitigazioni in linea automatizzate in tempo reale e senza impatto sulla latenza per i seguenti tipi di infrastruttura:
    • Bilanciatore del carico delle applicazioni esterno globale (HTTP/HTTPS)
    • Bilanciatore del carico delle applicazioni classico (HTTP/HTTPS)
    • Bilanciatore del carico delle applicazioni esterno regionale (HTTP/HTTPS)
    • Bilanciatore del carico di rete passthrough esterno
    • Bilanciatore del carico di rete proxy esterno globale (TCP/SSL)
    • Cloud CDN
    • Media CDN
  • Integrazione con Cloud CDN e Media CDN
  • Accesso alle funzionalità delle regole web application firewall (WAF) di Cloud Armor, incluse le regole WAF preconfigurate per la protezione OWASP Top 10

Cloud Armor Enterprise include quanto segue:

Tutti i progetti Google Cloud che includono un bilanciatore del carico delle applicazioni esterno o un bilanciatore del carico di rete proxy esterno vengono registrati automaticamente in Cloud Armor Standard. Dopo aver sottoscritto l'abbonamento a Cloud Armor Enterprise a livello di account di fatturazione, gli utenti possono scegliere di registrare singoli progetti collegati all'account di fatturazione in Cloud Armor Enterprise.

La tabella seguente riepiloga i due livelli di servizio.

Cloud Armor Standard Cloud Armor Enterprise
Paygo Annuale
Metodo di fatturazione Pagamento a consumo Pagamento a consumo Abbonamento con impegno di 12 mesi
Prezzi Per policy, per regola, per richiesta (consulta Prezzi)
  • 200 $/mese per progetto
  • 200 $/mese per risorsa protetta dopo le prime 2 risorse
  • 3000 $/mese per account di fatturazione
  • 30 $/mese per risorsa protetta dopo le prime 100 risorse
Protezione dagli attacchi DDoS
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
WAF Cloud Armor Per policy, per regola, per richiesta (consulta Prezzi) Incluso in Paygo Incluso in Annuale
Limiti delle risorse Fino al limite di quota Fino al limite di quota Fino al limite di quota
Impegno in termini di tempo Un anno
Adaptive Protection Solo avvisi
Protezione DDoS di rete avanzata
Policy di sicurezza perimetrale della rete
Gruppo di indirizzi
Google Threat Intelligence
Policy di sicurezza gerarchiche
Visibilità degli attacchi DDoS
Assistenza per la risposta agli attacchi DDoS Requisiti di idoneità
Protezione delle fatture DDoS

Abbonati a Cloud Armor Enterprise

L'abbonamento a Cloud Armor Enterprise annuale richiede un impegno di un anno (12 mesi). Solo gli utenti con il ruolo e le autorizzazioni dell'account di fatturazione possono abbonarsi a Cloud Armor Enterprise annuale. In alternativa, puoi eseguire la registrazione in Cloud Armor Enterprise Paygo senza impegni.

Per utilizzare i servizi e le funzionalità aggiuntivi di Cloud Armor Enterprise, devi prima eseguire la registrazione in Cloud Armor Enterprise. Puoi abbonarti a Cloud Armor Enterprise annuale e registrare singoli progetti oppure puoi registrare un progetto direttamente in Cloud Armor Enterprise Paygo.

Ti consigliamo vivamente di registrare i tuoi progetti in Cloud Armor Enterprise il prima possibile, perché l'attivazione può richiedere fino a un'ora. L'upgrade da Cloud Armor Standard a Enterprise in genere non interrompe la disponibilità dell'applicazione. Tuttavia, quando apporti modifiche alle policy di sicurezza, devi valutare attentamente le implicazioni di fatturazione.

Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno

Una volta registrato un progetto in Cloud Armor Enterprise, le regole di forwarding all'interno del progetto vengono aggiunte alla registrazione. Inoltre, tutti i servizi di backend e i bucket di backend vengono conteggiati come risorse protette e vengono misurati ai fini del costo delle risorse protette di Cloud Armor Enterprise. I servizi di backend e i bucket di backend in Cloud Armor Enterprise annuale vengono aggregati tra tutti i progetti registrati in un account di fatturazione, mentre i servizi di backend e i bucket di backend in Cloud Armor Enterprise Paygo vengono aggregati all'interno del progetto.

Bilanciatore del carico di rete passthrough esterno, forwarding del protocollo e indirizzi IP pubblici (VM)

Cloud Armor offre le seguenti opzioni per proteggere questi endpoint dagli attacchi DDoS:

  • Protezione DDoS di rete standard: protezione di base sempre attiva per bilanciatori del carico di rete passthrough esterni, forwarding del protocollo o VM con indirizzi IP pubblici. Include l'applicazione delle regole di forwarding e la limitazione di frequenza automatica. Questa funzionalità è inclusa in Cloud Armor Standard e non richiede abbonamenti aggiuntivi.
  • Protezione DDoS di rete avanzata: protezioni aggiuntive per gli abbonati a Cloud Armor Enterprise. La protezione DDoS di rete avanzata viene configurata in base alla regione. Se abilitato per una determinata regione, Cloud Armor fornisce funzionalità sempre attive di rilevamento degli attacchi volumetrici e mitigazione mirata per i bilanciatori del carico di rete passthrough esterni, il forwarding del protocollo e le VM con indirizzi IP pubblici in quella regione.

Policy di sicurezza gerarchiche

Quando colleghi una policy di sicurezza gerarchica, ogni progetto che eredita la policy di sicurezza gerarchica deve essere registrato in Cloud Armor Enterprise. Sono inclusi tutti i progetti in un'organizzazione o in una cartella con una policy di sicurezza gerarchica che non sono esclusi esplicitamente e tutti i progetti con una policy di sicurezza gerarchica collegata direttamente al progetto.

  • I progetti collegati a un account di fatturazione Cloud con un abbonamento a Cloud Armor Enterprise annuale vengono registrati automaticamente in Cloud Armor Enterprise annuale, se non sono già registrati.
  • Senza un abbonamento a Cloud Armor Enterprise annuale, i progetti vengono registrati automaticamente in Cloud Armor Enterprise Paygo quando ereditano una policy di sicurezza gerarchica. Se sottoscrivi un abbonamento dell'account di fatturazione a Cloud Armor Enterprise annuale dopo che il tuo progetto è stato registrato automaticamente in Cloud Armor Enterprise Paygo, il progetto non viene registrato automaticamente in Annuale. Per saperne di più su Cloud Armor Enterprise Paygo, consulta Cloud Armor Standard e Cloud Armor Enterprise.
  • Se aggiorni una policy di sicurezza gerarchica per escludere un progetto dopo che è stato registrato automaticamente in Cloud Armor Enterprise, la registrazione del progetto non viene annullata automaticamente. Per annullare manualmente la registrazione del progetto, consulta Rimuovi un progetto da Cloud Armor Enterprise.
  • Non puoi rimuovere un progetto da Cloud Armor Enterprise se ha policy di sicurezza gerarchiche ereditate.

Il completamento della registrazione automatica può richiedere fino a una settimana. Durante questo periodo, le tue policy di sicurezza gerarchiche sono efficaci e non vengono sostenuti costi per Cloud Armor Enterprise. Quando il progetto viene registrato, gli audit log vengono aggiornati per riflettere lo stato di Cloud Armor Enterprise del progetto e viene visualizzato il nuovo livello del progetto nella console Google Cloud .

Per saperne di più sulle policy di sicurezza gerarchiche, consulta la Panoramica delle policy di sicurezza gerarchiche.

Assistenza per la risposta agli attacchi DDoS

L'assistenza per la risposta agli attacchi DDoS fornisce aiuto 24 ore su 24, 7 giorni su 7 e potenziali mitigazioni personalizzate degli attacchi DDoS dallo stesso team che protegge tutti i servizi Google. Puoi richiedere l'assistenza per la risposta durante un attacco per aiutarti a mitigarlo, oppure puoi contattarci in modo proattivo per pianificare un evento imminente con un volume elevato o potenzialmente virale (che potrebbe attirare un numero insolitamente alto di visitatori).

L'assistenza proattiva è disponibile per tutti i clienti di Cloud Armor Enterprise, anche se non hanno completato una revisione della postura DDoS. L'assistenza proattiva ci consente di applicare regole preconfigurate che prendono di mira i tipi comuni di attacchi DDoS prima che l'attacco raggiunga Cloud Armor. Per richiedere assistenza per la risposta agli attacchi DDoS, consulta Ricevi assistenza per una richiesta per DDoS.

Revisione della postura DDoS

L'obiettivo della revisione della postura DDoS è migliorare l'efficienza e l'efficacia del processo di risposta agli attacchi DDoS. Durante la procedura di revisione, esaminiamo il tuo specifico caso d'uso e la tua architettura e verifichiamo che le tue policy di sicurezza di Cloud Armor siano configurate in base alle nostre best practice. In questo modo puoi aumentare la resilienza preventiva agli attacchi DDoS.

La revisione della postura DDoS viene fornita ai clienti che sottoscrivono un abbonamento a Cloud Armor Enterprise annuale e dispongono di un account Premium per l'assistenza clienti Google Cloud.

Idoneità per l'assistenza per la risposta agli attacchi DDoS

Puoi aprire una richiesta e ricevere aiuto dal team di assistenza per la risposta agli attacchi DDoS di Cloud Armor se soddisfi i seguenti criteri:

  • Il tuo account di fatturazione dispone di un abbonamento a Cloud Armor Enterprise annuale attivo.
  • Il tuo account di fatturazione ha un account Premium per l'assistenza clienti Google Cloud.
  • Il progetto Google Cloud con il workload sotto attacco è registrato in Cloud Armor Enterprise annuale.
  • Per i clienti che hanno sottoscritto un abbonamento a Cloud Armor Enterprise annuale dopo il 3 settembre 2024: il progetto con il workload sotto attacco deve aver superato una revisione annuale della postura DDoS.

Anche quando i clienti non hanno diritto all'assistenza, il nostro team di assistenza clienti Google Cloud fornisce assistenza durante un attacco aiutando a eseguire il debug delle regole, a chiarire il comportamento e a risolvere problemi specifici con le policy esistenti.

Per richiedere assistenza per la risposta agli attacchi DDoS, consulta Ricevi assistenza per una richiesta per DDoS.

Protezione delle fatture DDoS

La protezione delle fatture DDoS di Cloud Armor richiede la registrazione del progetto in Cloud Armor Enterprise annuale. Fornisce crediti per l'utilizzo futuro diGoogle Cloud per alcuni aumenti delle fatture per Cloud Load Balancing, Cloud Armor e trasferimento di dati in uscita su internet, tra regioni e tra zone di rete a seguito di un attacco DDoS verificato. Se una richiesta viene riconosciuta e viene fornito un credito, quest'ultimo non può essere utilizzato per compensare l'utilizzo esistente, ma può essere applicato solo all'utilizzo futuro. La tabella seguente mostra le risorse coperte dalla protezione delle fatture DDoS:

Tipo di endpoint Aumento dell'utilizzo coperto
  • Bilanciatore del carico delle applicazioni esterno
  • Bilanciatore del carico di rete proxy esterno
 Cloud Armor Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise
Rete Trasferimento di dati in uscita
Tra regioni
Tra zone
Peering con operatori
Bilanciatore del carico Tariffa per l'elaborazione dei dati in entrata
Tariffa per l'elaborazione dei dati in uscita
Media CDNTariffa per il traffico in uscita di Media CDN (solo bilanciatore del carico delle applicazioni esterno)
  • Bilanciatore del carico di rete passthrough esterno
  • Forwarding del protocollo
  • Indirizzi IP pubblici (VM)
 Cloud Armor Tariffa per l'elaborazione dei dati di Cloud Armor Enterprise
Rete Trasferimento di dati in uscita
Tra regioni
Tra zone
Peering con operatori
Bilanciatore del carico Tariffa per l'elaborazione dei dati in entrata
Tariffa per l'elaborazione dei dati in uscita

Per richiedere la protezione fatture DDoS, consulta Richiedi la protezione delle fatture DDoS.

Migrazione dei progetti tra account di fatturazione

A partire dal 3 settembre 2024, se esegui la migrazione del progetto da un account di fatturazione a un altro durante il periodo di validità dell'abbonamento a Cloud Armor Enterprise annuale, ma il nuovo account di fatturazione non ha un abbonamento a Cloud Armor Enterprise annuale, il progetto torna a Cloud Armor Standard al termine della migrazione, a meno che non siano applicate policy di sicurezza gerarchiche, nel qual caso viene eseguito il downgrade a Cloud Armor Enterprise Paygo. Pertanto, se vuoi mantenere il tuo progetto in Cloud Armor Enterprise annuale senza tempi di inattività, ti consigliamo di sottoscrivere un abbonamento a Cloud Armor Enterprise annuale per il tuo nuovo account di fatturazione prima di iniziare la procedura di migrazione. Puoi anche eseguire la migrazione dell'abbonamento da un account di fatturazione all'altro contattando l'assistenza per la fatturazione Cloud.

La migrazione dell'account di fatturazione non ha effetti sui progetti registrati in Cloud Armor Enterprise Paygo.

Downgrade da Cloud Armor Enterprise

Quando rimuovi un progetto da Cloud Armor Enterprise, tutte le policy di sicurezza che utilizzano regole con funzionalità esclusive di Cloud Armor Enterprise (regole avanzate) vengono bloccate. Le policy di sicurezza bloccate hanno le seguenti proprietà:

  • Cloud Armor continua a valutare il traffico in base alle regole nella policy, incluse quelle avanzate.
  • Non puoi collegare la policy di sicurezza a nuove destinazioni.
  • Puoi eseguire solo le operazioni seguenti sulle policy di sicurezza:

Puoi anche eseguire di nuovo la registrazione in Cloud Armor Enterprise annuale o Cloud Armor Enterprise Paygo per ripristinare l'accesso alle tue policy di sicurezza bloccate.

Protezione DDoS di rete avanzata

La protezione DDoS di rete avanzata è disponibile solo per i progetti registrati in Cloud Armor Enterprise. Quando rimuovi un progetto con una policy DDoS di rete avanzata attiva da Cloud Armor Enterprise, la funzionalità ti viene comunque fatturata in base ai prezzi di Cloud Armor Enterprise.

Ti consigliamo di eliminare tutte le regole di protezione DDoS di rete avanzata prima di annullare la registrazione del progetto in Cloud Armor Enterprise: potrai comunque eliminarle anche dopo il downgrade.

Termini e limitazioni

Cloud Armor Enterprise presenta i seguenti termini e limitazioni:

  • In generale: se un progetto registrato in Cloud Armor Enterprise subisce un attacco denial of service di terze parti a un endpoint protetto ("Attacco qualificato") e vengono soddisfatte le condizioni descritte nella prossima sezione, Google fornisce un credito equivalente alle Tariffe coperte, a condizione che le Tariffe coperte sostenute superino la Soglia minima. I test di carico e le valutazioni della sicurezza eseguiti dal Cliente o per suo conto non sono attacchi qualificati.
  • Condizioni: il cliente deve inviare una richiesta all'assistenza per la fatturazione Cloud entro 30 giorni dalla fine dell'attacco qualificato. La richiesta deve includere prove dell'attacco qualificato, come log o altri dati di telemetria che indicano la tempistica dell'attacco, i progetti e le risorse attaccati e una stima delle Tariffe coperte sostenute. Google stabilirà ragionevolmente se i crediti sono dovuti, così come l'importo appropriato. Altre condizioni per funzionalità specifiche di Cloud Armor sono incluse nella documentazione.
  • Crediti: tutti i crediti forniti al Cliente in relazione a questa Sezione non hanno valore monetario e possono essere applicati solo per compensare le Tariffe future per i Servizi. Questi crediti scadono 12 mesi dopo l'emissione o alla risoluzione o scadenza del Contratto.
  • Definizioni:
    • Tariffe coperte: eventuali tariffe sostenute dal Cliente come risultato diretto dell'attacco qualificato per quanto segue:
      • Elaborazione dei dati in entrata e in uscita per il servizio Bilanciatore del carico Google Cloud .
      • Elaborazione dei dati di Google Cloud Armor Enterprise per il servizio Cloud Armor.
      • Traffico in uscita dalla rete, incluso il traffico in uscita tra regioni, tra zone, su internet e tramite peering con operatori.
    • Soglia minima: l'importo minimo delle Tariffe coperte idonee per essere accreditate ai sensi di questa Sezione, come determinato da Google di volta in volta e comunicato al Cliente su richiesta.

Passaggi successivi