O Google Cloud Armor Enterprise é o serviço de proteção de aplicativos que ajuda a proteger seus aplicativos da web e serviços contra ataques distribuídos de negação de serviço (DDoS) e outras ameaças provenientes da internet. O Cloud Armor Enterprise ajuda a proteger aplicativos implantados no Google Cloud, em ambientes locais ou em outros provedores de infraestrutura.
Cloud Armor Standard em comparação com Cloud Armor Enterprise
O Google Cloud Armor é disponibilizado em dois níveis de serviço: Standard e Cloud Armor Enterprise.
O Cloud Armor Standard inclui:
- Um modelo de preços com pagamento por uso
- A proteção sempre ativa contra ataques DDoS volumétricos e baseados em protocolo, com
mitigação inline automática em tempo real e sem impacto na latência nos
seguintes tipos de infraestrutura:
- Balanceador de carga de aplicativo externo global (HTTP/HTTPS)
- Balanceador de carga de aplicativo clássico (HTTP/HTTPS)
- Balanceador de carga de aplicativo externo regional (HTTP/HTTPS)
- Balanceador de carga de rede de passagem externa
- Balanceador de carga de rede com proxy externo global (TCP/SSL)
- Cloud CDN
- Media CDN
- Integração com o Cloud CDN e o Media CDN
- Acesso às funcionalidades das regras de firewall de aplicativos da web (WAF) do Cloud Armor, incluindo regras do WAF pré-configuradas para proteção compatível com o OWASP Top 10
O Cloud Armor Enterprise inclui:
- Todos os recursos do Cloud Armor Standard
- Opções de modelos de preços: Cloud Armor Enterprise Anual ou Paygo
- Uso do pacote do WAF para o Cloud Armor, incluindo regras, políticas e solicitações
- Listas de endereços IP de terceiros identificados
- Google Threat Intelligence para o Cloud Armor
- Proteção Adaptativa para os endpoints da camada 7
- Proteção avançada contra ataques DDoS para endpoints de passagem, como balanceadores de carga de rede de passagem externa, encaminhamento de protocolos e endereços IP públicos para instâncias de máquinas virtuais (VM)
- Acesso à visibilidade de ataques DDoS
- Políticas de segurança hierárquicas
- (Exclusivo para Cloud Armor Enterprise Anual): acesso à proteção contra cobranças causadas por DDoS e aos serviços da equipe de resposta responsável por ataques DDoS (para conferir se as condições adicionais se aplicam, acesse Qualificação para receber suporte da equipe de resposta a DDoS).
Todos os projetos do Google Cloud com um balanceador de carga de aplicativo externo ou com um balanceador de carga de rede de proxy externo são automaticamente registrados no Cloud Armor Standard. Após assinar o Cloud Armor Enterprise no nível da conta de faturamento, os usuários podem escolher registrar projetos individuais vinculados à conta de faturamento no Cloud Armor Enterprise.
A tabela a seguir resume os dois níveis de serviço.
| Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| PayGo | Anual | ||
| Tipo de faturamento | Pagamento por uso | Pagamento por uso | Assinatura com um compromisso de 12 meses |
| Preços | Por política, por regra e por solicitação (confira Preços) |
|
|
| Proteção contra ataques DDoS |
|
|
|
| WAF do Cloud Armor | Por política, por regra e por solicitação (confira Preços) | Incluído no nível Paygo | Incluído no nível Anual |
| Limites de recursos | Até o limite da cota | Até o limite da cota | Até o limite da cota |
| Compromisso com tempo mínimo | Um ano | ||
| Proteção Adaptativa | Somente geração de alertas | ||
| Proteção avançada contra DDoS na rede | |||
| Políticas de segurança de borda da rede | |||
| Grupo de endereços | |||
| Google Threat Intelligence | |||
| Políticas de segurança hierárquicas | |||
| Visibilidade de ataques DDoS | |||
| Apoio na resposta a ataques DDoS | Requisitos de qualificação | ||
| Proteção contra cobranças causadas por DDoS | |||
Assinar o Cloud Armor Enterprise
Para assinar o Cloud Armor Enterprise Anual, é necessário um compromisso de um ano (12 meses). Somente usuários com papel e permissões de conta de faturamento têm permissão para assinar a essa conta no Cloud Armor Enterprise Anual. Você também pode optar pelo Cloud Armor Enterprise Paygo, que não exige compromisso.
Para usar os serviços e as funcionalidades adicionais do Cloud Armor Enterprise, é preciso primeiro fazer a inscrição no Cloud Armor Enterprise. É possível assinar o Cloud Armor Enterprise Anual e registrar projetos individualmente, ou realizar o registro de um projeto diretamente no Cloud Armor Enterprise Paygo.
Recomendamos que você registre seus projetos no Cloud Armor Enterprise o mais rápido possível, já que a ativação pode demorar até uma hora. Fazer upgrade do Cloud Armor Standard para o Enterprise geralmente não causa interrupções na disponibilidade do aplicativo. Contudo, ao modificar suas políticas de segurança, é importante avaliar com cuidado as implicações no faturamento.
Balanceador de carga de aplicativo externo e balanceador de carga de rede de proxy externo
Depois que um projeto é registrado no Cloud Armor Enterprise, as regras de encaminhamento no projeto são adicionadas ao registro. Além disso, todos os serviços de back-end e os buckets de back-end são considerados recursos protegidos e são contabilizados para o custo dos recursos protegidos do Cloud Armor Enterprise. Os serviços de back-end e os buckets de back-end no Cloud Armor Enterprise Anual são agregados entre todos os projetos registrados em uma conta de faturamento, enquanto os serviços de back-end e os buckets de back-end no Cloud Armor Enterprise Paygo são agregados no próprio projeto.
Balanceador de carga de rede de passagem externa, encaminhamento de protocolo e endereços IP públicos (VMs)
O Cloud Armor disponibiliza as seguintes opções para proteger esses endpoints contra ataques DDoS:
- Proteção padrão contra ataques DDoS provenientes da rede: proteção básica e sempre ativa para balanceadores de carga de rede de passagem externa, encaminhamento de protocolo ou VMs com endereços IP públicos. Isso inclui a aplicação de regras de encaminhamento e a limitação de taxa automática. Essa opção está incluída no Cloud Armor Standard e não requer nenhuma assinatura adicional.
- Proteção avançada contra ataques DDoS provenientes da rede: proteções adicionais para assinantes do Cloud Armor Enterprise. A proteção avançada contra ataques DDoS provenientes da rede é configurada por região. Quando ativado para uma determinada região, o Cloud Armor fornece detecção sempre ativa de ataques volumétricos e mitigação direcionada para balanceadores de carga de rede de passagem externa, encaminhamento de protocolo e VMs com endereços IP públicos nesta região.
Políticas de segurança hierárquicas
Quando você anexa uma política de segurança hierárquica, cada um dos projetos que herda a política de segurança hierárquica deve estar registrado no Cloud Armor Enterprise. Isso inclui todos os projetos em uma organização ou pasta com uma política de segurança hierárquica que não estejam explicitamente excluídos, e todos os projetos com uma política de segurança hierárquica anexada diretamente ao projeto.
- Os projetos que estão vinculados a uma conta do Cloud Billing com uma assinatura do Cloud Armor Enterprise Anual são automaticamente registrados no Cloud Armor Enterprise Anual, caso ainda não haja o registro.
- Sem uma assinatura do Cloud Armor Enterprise Anual, os projetos são automaticamente registrados no Cloud Armor Enterprise Paygo quando herdam uma política de segurança hierárquica. Se você fizer a inscrição da conta de faturamento no Cloud Armor Enterprise Anual após o seu projeto ter sido registrado automaticamente no Cloud Armor Enterprise Paygo, o projeto não será registrado automaticamente no nível Anual. Para mais informações sobre o Cloud Armor Enterprise Paygo, confira Cloud Armor Standard em comparação com Cloud Armor Enterprise.
- Se você atualizar uma política de segurança hierárquica para excluir um projeto depois que ele tenha sido registrado automaticamente no Cloud Armor Enterprise, o projeto não terá o registro cancelado automaticamente. Para cancelar o registro do projeto manualmente, confira Remover um projeto do Cloud Armor Enterprise.
- Não é possível remover um projeto do Cloud Armor Enterprise enquanto existirem políticas de segurança hierárquicas herdadas aplicadas a ele.
O processo de registro automático pode demorar até uma semana. Durante esse período, suas políticas de segurança hierárquicas permanecem válidas e você não terá custos relacionados ao Cloud Armor Enterprise. Quando seu projeto é registrado, os registros de auditoria são atualizados para refletir o status do Cloud Armor Enterprise para o projeto, e o console do Google Cloud mostra o novo nível do projeto.
Para mais informações sobre as políticas de segurança hierárquicas, confira a visão geral das políticas de segurança hierárquicas.
Apoio na resposta a ataques DDoS
O apoio na resposta a ataques DDoS fornece ajuda 24 horas, além de possíveis medidas de mitigação personalizadas contra ataques DDoS, fornecidas pela mesma equipe que protege todos os serviços do Google. É possível solicitar suporte de resposta durante um ataque para ajudar na sua mitigação, ou contatar a equipe de forma antecipada para se preparar para um evento futuro de grande volume ou potencialmente viral (que possa atrair um número excepcionalmente alto de visitantes).
O suporte proativo está disponível para todos os clientes do Cloud Armor Enterprise, mesmo que não tenham realizado uma avaliação da postura contra DDoS. Com o suporte proativo, podemos aplicar regras pré-configuradas para combater tipos comuns de ataques DDoS antes que eles atinjam o Cloud Armor. Para solicitar apoio na resposta a ataques DDoS, confira Receber suporte para um caso de DDoS.
Avaliação da postura contra DDoS
O propósito da avaliação da postura contra DDoS é otimizar a forma como o processo de resposta a ataques DDoS é conduzido, aumentando sua eficiência e eficácia. Durante o processo de avaliação, aprendemos sobre seu caso de uso e arquitetura específicos, e verificamos se suas políticas de segurança do Cloud Armor estão configuradas de acordo com nossas práticas recomendadas. Isso contribui para aumentar sua resiliência preemptiva contra ataques DDoS.
A avaliação da postura contra DDoS é fornecida aos clientes que assinam o Cloud Armor Enterprise Anual e têm uma conta Premium do Cloud Customer Care.
Qualificação para receber apoio na resposta a ataques DDoS
Os critérios abaixo determinam se você pode abrir um caso e receber assistência da equipe de resposta responsável por ataques DDoS do Cloud Armor:
- A conta de faturamento está com uma assinatura ativa do Cloud Armor Enterprise Anual.
- A conta de faturamento tem uma conta Premium do Cloud Customer Care.
- O projeto do Google Cloud com a carga de trabalho que está sob ataque está
registrado no Cloud Armor Enterprise Anual.
- Se você usar a referência de serviço entre projetos, tanto os projetos de serviço de front-end quanto de back-end devem estar registrados no Cloud Armor Enterprise Anual.
- Para clientes que assinaram o Cloud Armor Enterprise Anual depois de 3 de setembro de 2024: o projeto com a carga de trabalho que está sob ataque deve ter passado por uma avaliação anual da postura contra DDoS.
Mesmo quando os clientes não se qualificam para receber o suporte, nossa equipe do Cloud Customer Care fornece assistência durante um ataque, ajudando na depuração de regras, esclarecimento de comportamentos e em questões específicas sobre políticas existentes.
Para solicitar apoio na resposta a ataques DDoS, confira Receber suporte para um caso de DDoS.
Proteção contra cobranças causadas por DDoS
Para usar a proteção contra cobranças causadas por DDoS do Cloud Armor, o projeto precisa estar registrado no Cloud Armor Enterprise Anual. A proteção concede créditos para uso futuro no Google Cloud referentes a alguns aumentos nas cobranças do Cloud Load Balancing, do Cloud Armor e da transferência de dados de saída de rede para a internet, entre regiões e entre zonas, resultantes de um ataque DDoS verificado. Se uma reivindicação for aprovada e um crédito for concedido, o crédito não poderá ser usado para compensar o uso existente. É possível aplicá-lo somente a usos futuros. A tabela a seguir apresenta os recursos que são abrangidos pela proteção contra cobranças causadas por DDoS:
| Tipo de endpoint | Aumento do uso incluído na abrangência | |
|---|---|---|
|
Cloud Armor | Taxa de processamento de dados do Cloud Armor Enterprise |
| Rede | Transferência de dados de saída | |
| Entre regiões | ||
| Entre zonas | ||
| Peering por operadora | ||
| Balanceador de carga | Taxa de processamento de dados de entrada | |
| Taxa de processamento de dados de saída | ||
| Media CDN | Taxa de saída do Media CDN (somente para balanceador de carga de aplicativo externo) | |
|
Cloud Armor | Taxa de processamento de dados do Cloud Armor Enterprise |
| Rede | Transferência de dados de saída | |
| Entre regiões | ||
| Entre zonas | ||
| Peering por operadora | ||
| Balanceador de carga | Taxa de processamento de dados de entrada | |
| Taxa de processamento de dados de saída |
Para solicitar a proteção contra cobranças causadas por DDoS, confira Como solicitar a proteção contra cobranças causadas por DDoS.
Migrar projetos entre contas de faturamento
A partir de 3 de setembro de 2024, se você migrar seu projeto de uma conta de faturamento para outra enquanto tiver uma assinatura do Cloud Armor Enterprise Anual, mas sua nova conta de faturamento não estiver registrada no Cloud Armor Enterprise Anual, o projeto retornará ao Cloud Armor Standard após a conclusão da migração, a menos que ele tenha políticas de segurança hierárquicas efetivas, caso em que o projeto sofrerá downgrade para o Cloud Armor Enterprise Paygo. Portanto, se você deseja manter o projeto no Cloud Armor Enterprise Anual sem tempo de inatividade, recomendamos que registre a nova conta de faturamento no Cloud Armor Enterprise Anual antes de iniciar o processo de migração. Você também pode migrar sua assinatura de uma conta de faturamento para outra entrando em contato com o suporte do Cloud Billing.
Os projetos registrados no Cloud Armor Enterprise Paygo não são afetados pela migração da conta de faturamento.
Fazer downgrade do Cloud Armor Enterprise
Ao remover um projeto do Cloud Armor Enterprise, todas as políticas de segurança que usam regras com recursos exclusivos do Cloud Armor Enterprise (regras avançadas) são congeladas. As políticas de segurança congeladas têm as seguintes propriedades:
- O Cloud Armor continua avaliando o tráfego com base nas regras da política, incluindo as regras avançadas.
- Não é possível anexar a política de segurança a novos destinos.
- É possível executar apenas as seguintes operações na política de segurança:
- Você pode excluir regras da política de segurança.
- Se você não alterar a prioridade da regra, é possível atualizar regras avançadas para que elas não usem mais recursos exclusivos do Cloud Armor Enterprise. Se todas as regras avançadas forem modificadas dessa forma, sua política deixará de estar congelada. Para mais informações sobre como atualizar regras de políticas de segurança, confira Atualizar uma única regra em uma política de segurança.
Você também pode se registrar novamente no Cloud Armor Enterprise Anual ou no Cloud Armor Enterprise Paygo para restaurar o acesso às suas políticas de segurança congeladas.
Proteção avançada contra DDoS na rede
A proteção avançada contra DDoS na rede está disponível somente para projetos registrados no Cloud Armor Enterprise. Ao remover um projeto com uma política avançada de proteção contra ataques DDoS de rede ativa do Cloud Armor Enterprise, você ainda vai receber cobranças por esse recurso com base nos preços do Cloud Armor Enterprise.
Recomendamos que você exclua todas as regras avançadas de proteção contra ataques DDoS na rede antes de cancelar o registro do projeto no Cloud Armor Enterprise, mas você também pode excluir as regras avançadas de proteção contra ataques DDoS na rede após o downgrade.
Termos e limitações
O Cloud Armor Enterprise tem os seguintes termos e limitações:
- Em geral: se um projeto registrado no Cloud Armor Enterprise sofrer um ataque de negação de serviço por terceiros em um endpoint protegido (“Ataque Qualificado”) e as condições descritas na próxima seção forem atendidas, o Google fornecerá um crédito equivalente às Taxas Abrangidas, desde que essas taxas incorridas excedam o Limite Mínimo. Os testes de carga e avaliações de segurança realizados pelo Cliente ou em seu nome não são considerados Ataques Qualificados.
- Condições: o Cliente deve enviar uma solicitação ao suporte do Cloud Billing em até 30 dias após o término do Ataque Qualificado. A solicitação deve incluir evidências do Ataque Qualificado, como registros ou outros dados de telemetria que indiquem o momento do ataque e os Projetos e recursos que sofreram esse ataque, bem como uma estimativa das Taxas Abrangidas incorridas. O Google determinará, a seu critério, se os créditos são devidos e o valor apropriado. Outras condições para recursos específicos do Cloud Armor estão incluídas na Documentação.
- Créditos: quaisquer créditos concedidos ao Cliente nos termos desta Seção não têm valor monetário e só podem ser utilizados para compensar futuras Taxas pelos Serviços. Esses créditos expiram 12 meses após a emissão ou mediante a rescisão ou expiração do Contrato.
- Definições:
- Taxas Abrangidas: quaisquer Taxas incorridas pelo Cliente como resultado direto do
Ataque Qualificado para:
- Processamento de dados de entrada e de saída para o serviço de balanceador de carga do Google Cloud .
- Processamento de dados do Google Cloud Armor Enterprise para o serviço Cloud Armor.
- Tráfego de saída da rede, incluindo tráfego entre regiões, entre zonas, internet e peering por operadora.
- Limite Mínimo: o valor mínimo de Taxas Abrangidas que são qualificadas para serem creditadas nos termos desta Seção, conforme determinado pelo Google periodicamente e divulgado ao Cliente mediante solicitação.
- Taxas Abrangidas: quaisquer Taxas incorridas pelo Cliente como resultado direto do
Ataque Qualificado para:
A seguir
- Assinar e registrar projetos no Cloud Armor Enterprise
- Resolver problemas
- Usar a referência de linguagem para regras personalizadas