סקירה כללית על Cloud Armor Enterprise

‫Google Cloud Armor Enterprise הוא שירות להגנה על אפליקציות שעוזר להגן על אפליקציות ושירותים באינטרנט מפני מתקפות מניעת שירות (DDoS) מבוזרות ומאיומים אחרים באינטרנט. ‫Cloud Armor Enterprise עוזר להגן על אפליקציות שמופעלות ב- Google Cloud, במקום או אצל ספקי תשתית אחרים.

ההבדלים בין Cloud Armor Standard לבין Cloud Armor Enterprise

שירות Google Cloud Armor מוצע בשתי רמות שירות: Standard ו-Cloud Armor Enterprise.

Cloud Armor Standard כולל את האפשרויות הבאות:

  • מודל תמחור של תשלום לפי שימוש
  • הגנה מפני מתקפות DDoS נפחיות ומבוססות-פרוטוקול שפועלת ללא הפסקה, עם צעדי מיתון אוטומטיים בזמן אמת וללא השפעה על זמן האחזור בסוגי התשתית הבאים:
    • מאזן עומסים גלובלי חיצוני של אפליקציות (HTTP/HTTPS)
    • מאזן עומסים קלאסי של אפליקציות (HTTP/HTTPS)
    • מאזן עומסים אזורי חיצוני של אפליקציות (HTTP/HTTPS)
    • מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
    • מאזן עומסי רשת גלובלי חיצוני בשרת proxy‏ (TCP/SSL)
    • Cloud CDN
    • Media CDN
  • שילוב עם Cloud CDN ו-Media CDN
  • גישה ליכולות הכללים של חומת האש ליישומי אינטרנט (WAF) של Cloud Armor, כולל כללי WAF שהוגדרו מראש להגנה על עשרת הסיכונים המובילים של OWASP

Cloud Armor Enterprise כולל את האפשרויות הבאות:

כל הפרויקטים Google Cloud שכוללים מאזן עומסים חיצוני של אפליקציות (ALB) או מאזן עומסי רשת חיצוני לשרת proxy נרשמים אוטומטית ל-Cloud Armor Standard. אחרי שנרשמים ל-Cloud Armor Enterprise ברמת החשבון לחיוב, המשתמשים יכולים לבחור לרשום ל-Cloud Armor Enterprise פרויקטים ספציפיים שמצורפים לחשבון לחיוב.

בטבלה הבאה מפורטים שני מסלולי השירות.

Cloud Armor Standard Cloud Armor Enterprise
Paygo תוכנית שנתית
אמצעי חיוב Pay-as-you-go Pay-as-you-go מינוי עם התחייבות ל-12 חודשים
תמחור לפי מדיניות, לפי כלל, לפי בקשה (ראו תמחור)
  • ‫200$ לחודש לכל פרויקט
  • ‫200$ לחודש לכל משאב מוגן אחרי 2 המשאבים הראשונים
  • ‫3,000$ לחודש לכל חשבון לחיוב
  • ‫30$ לחודש לכל משאב מוגן אחרי 100 המשאבים הראשונים
הגנה מפני מתקפות DDoS
  • מאזן עומסים חיצוני של אפליקציות (ALB)
  • מאזן עומסי רשת חיצוני לשרת proxy
  • מאזן עומסים חיצוני של אפליקציות (ALB)
  • מאזן עומסי רשת חיצוני לשרת proxy
  • מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
  • העברת פרוטוקולים
  • כתובות IP ציבוריות (מכונות וירטואליות)
  • מאזן עומסים חיצוני של אפליקציות (ALB)
  • מאזן עומסי רשת חיצוני לשרת proxy
  • מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
  • העברת פרוטוקולים
  • כתובות IP ציבוריות (מכונות וירטואליות)
Cloud Armor WAF לפי מדיניות, לפי כלל, לפי בקשה (ראו תמחור) כלול ב-Paygo כלול במינוי השנתי
מגבלות על משאבים עד למכסה המקסימלית עד למכסה המקסימלית עד למכסה המקסימלית
התחייבות לזמן שנה אחת
הגנה דינמית התראות בלבד
הגנה מתקדמת מפני התקפות DDoS ברשת
מדיניות אבטחה של קצה הרשת
קבוצת כתובות
Google Threat Intelligence
מדיניות אבטחה היררכית
רמת החשיפה של התקפות DDoS
תמיכה בתגובה להתקפות DDoS דרישות הסף
הגנה על החשבון מפני חיובים בעקבות התקפות DDoS

הרשמה ל-Cloud Armor Enterprise

כדי להירשם למינוי שנתי ל-Cloud Armor Enterprise, צריך להתחייב למינוי למשך שנה אחת (12 חודשים). רק משתמשים עם תפקיד והרשאות בחשבון לחיוב יכולים לרשום את החשבון לחיוב למינוי שנתי של Cloud Armor Enterprise. אפשר גם להירשם ל-Cloud Armor Enterprise Paygo בלי התחייבות.

כדי להשתמש בשירותים וביכולות הנוספים ב-Cloud Armor Enterprise, צריך להירשם קודם ל-Cloud Armor Enterprise. אתם יכולים להירשם ל-Cloud Armor Enterprise Annual ולרשום פרויקטים בודדים, או לרשום פרויקט ישירות ל-Cloud Armor Enterprise Paygo.

מומלץ לרשום את הפרויקטים ל-Cloud Armor Enterprise בהקדם האפשרי, כי ההפעלה יכולה להימשך עד שעה. בדרך כלל, שדרוג מ-Cloud Armor Standard ל-Enterprise לא יפגע בזמינות של האפליקציה. עם זאת, כשמבצעים שינויים במדיניות האבטחה, צריך לשקול היטב את ההשלכות על החיוב.

מאזן עומסים חיצוני של אפליקציות (ALB) ומאזן עומסי רשת חיצוני לשרת proxy

אחרי שרושמים פרויקט ב-Cloud Armor Enterprise, כללי ההעברה בפרויקט מתווספים לרישום. בנוסף, כל השירותים לקצה העורפי וקטגוריות הקצה העורפי נספרים כמשאבים מוגנים, והם מחויבים לפי עלות המשאבים המוגנים ב-Cloud Armor Enterprise. שירותי הקצה העורפי וקטגוריות הקצה העורפי ב-Cloud Armor Enterprise Annual מצטברים בכל הפרויקטים הרשומים בחשבון לחיוב, בעוד ששירותי הקצה העורפי וקטגוריות הקצה העורפי ב-Cloud Armor Enterprise Paygo מצטברים בתוך הפרויקט.

מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי, העברת פרוטוקול וכתובות IP ציבוריות (מכונות וירטואליות)

‫Cloud Armor מציע את האפשרויות הבאות להגנה על נקודות הקצה האלה מפני מתקפות DDoS:

  • הגנה רגילה מפני DDoS ברשת: הגנה בסיסית שפועלת ללא הפסקה למאזנים חיצוניים של עומסי רשת להעברת סיגנל ללא שינוי, להעברת פרוטוקולים או למכונות וירטואליות עם כתובות IP ציבוריות. ההגנה כוללת אכיפה של כללי העברה והגבלת קצב של יצירת בקשות אוטומטית. השירות הזה כלול ב-Cloud Armor Standard ולא נדרשים מינויים נוספים.
  • הגנה מתקדמת מפני מתקפות DDoS ברשת: הגנות נוספות למנויי Cloud Armor Enterprise. הגנה מתקדמת מפני התקפות DDoS ברשת מוגדרת לפי אזור. כשמפעילים את Cloud Armor באזור מסוים, הוא מספק גילוי מתמשך של מתקפות נפחיות והפחתה ממוקדת של מתקפות כאלה במאזני עומסים חיצוניים של רשת להעברת סיגנל ללא שינוי, בהעברת פרוטוקולים ובמכונות וירטואליות עם כתובות IP ציבוריות באותו אזור.

מדיניות אבטחה היררכית

כשמצרפים כללי מדיניות היררכיים לאבטחה, כל אחד מהפרויקטים שמקבלים בירושה את כללי המדיניות ההיררכיים לאבטחה צריך להיות רשום ל-Cloud Armor Enterprise. הם כוללים את כל הפרויקטים בארגון או בתיקייה עם מדיניות אבטחה היררכית שלא נכללים בהם באופן מפורש, ואת כל הפרויקטים עם מדיניות אבטחה היררכית שמצורפת ישירות לפרויקט.

  • פרויקטים שמקושרים לחשבון לחיוב ב-Cloud עם מינוי שנתי ל-Cloud Armor Enterprise נרשמים אוטומטית למינוי הזה אם הם עדיין לא רשומים.
  • אם אין לכם מינוי ל-Cloud Armor Enterprise Annual, פרויקטים נרשמים אוטומטית ל-Cloud Armor Enterprise Paygo כשהם מקבלים בירושה מדיניות אבטחה היררכית. אם נרשמתם למינוי Cloud Armor Enterprise Annual בחשבון לחיוב אחרי שהפרויקט שלכם נרשם אוטומטית ל-Cloud Armor Enterprise Paygo, הפרויקט לא נרשם אוטומטית ל-Annual. מידע נוסף על Cloud Armor Enterprise Paygo זמין במאמר Cloud Armor Standard לעומת Cloud Armor Enterprise.
  • אם מעדכנים מדיניות אבטחה היררכית כדי להחריג פרויקט אחרי שהפרויקט נרשם אוטומטית ל-Cloud Armor Enterprise, הפרויקט לא יבוטל אוטומטית. כדי לבטל את ההרשמה של הפרויקט באופן ידני, אפשר לעיין במאמר הסרת פרויקט מ-Cloud Armor Enterprise.
  • אי אפשר להסיר פרויקט מ-Cloud Armor Enterprise אם יש בו מדיניות אבטחה היררכית שעברה בירושה.

תהליך ההרשמה האוטומטית יכול להימשך עד סוף יום העסקים הבא. במהלך התקופה הזו, כללי מדיניות האבטחה ההיררכיים שלכם יהיו בתוקף ולא יחויבו עלויות של Cloud Armor Enterprise. כשמצרפים את הפרויקט, יומני הביקורת מתעדכנים כדי לשקף את הסטטוס של Cloud Armor Enterprise בפרויקט. תוכלו לראות את רמת הפרויקט החדשה גם בGoogle Cloud מסוף.

פרויקטים נרשמים אוטומטית רק אם לפחות שירות לקצה העורפי אחד למאזני עומסים חיצוניים גלובליים משתמש ב-HTTP, ב-HTTPS, ב-HTTP2, ב-H2C או ב-GRPC.

מידע נוסף על מדיניות אבטחה היררכית זמין במאמר סקירה כללית על מדיניות אבטחה היררכית.

תמיכה בתגובה להתקפות DDoS

תמיכה בתגובה להתקפות DDoS מספקת עזרה מסביב לשעון ופתרונות פוטנציאליים בהתאמה אישית להתקפות DDoS מאותו צוות שמגן על כל שירותי Google. אתם יכולים לפנות לתמיכה בתגובה במהלך מתקפה כדי לקבל עזרה בצמצום ההשפעה שלה, או לפנות מראש כדי לתכנן אירוע קרוב עם נפח תנועה גבוה או פוטנציאל ויראלי (אירוע שעשוי למשוך כמות גבוהה במיוחד של מבקרים).

תמיכה יזומה זמינה לכל הלקוחות של Cloud Armor Enterprise, גם אם הם לא השלימו בדיקה של עמידות בפני מתקפות DDoS. תמיכה פרואקטיבית מאפשרת לנו להחיל כללים שהוגדרו מראש ומכוונים לסוגים נפוצים של מתקפות DDoS, לפני שהמתקפה מגיעה ל-Cloud Armor. איך מקבלים תמיכה בנושא תגובה למתקפת DDoS

בדיקת מצב האבטחה מפני התקפות DDoS

המטרה של בדיקת מצב ההגנה מפני DDoS היא לשפר את היעילות והאפקטיביות של תהליך התגובה ל-DDoS. במהלך תהליך הבדיקה אנחנו לומדים על תרחיש השימוש והארכיטקטורה הייחודיים שלכם, ומוודאים שמדיניות האבטחה של Cloud Armor מוגדרת בהתאם לשיטות המומלצות שלנו. כך תוכלו להגביר את החוסן המקדים שלכם מפני מתקפות DDoS.

הבדיקה של עמידות בפני DDoS ניתנת ללקוחות שמנויים ל-Cloud Armor Enterprise Annual ויש להם חשבון Premium ב-Cloud Customer Care.

מי יכול לקבל תמיכה בתגובה להתקפות DDoS

הקריטריונים הבאים מאפשרים לכם לפתוח בקשת תמיכה ולקבל עזרה מצוות התמיכה של Cloud Armor בנושא תגובה למתקפות DDoS:

  • בחשבון לחיוב יש מינוי שנתי פעיל ל-Cloud Armor Enterprise.
  • לחשבון לחיוב יש חשבון Premium ב-Cloud Customer Care.
  • הפרויקט Google Cloud עם עומס העבודה שנמצא תחת מתקפה רשום ב-Cloud Armor Enterprise Annual.
    • אם אתם משתמשים בהפניה לשירותים בפרויקטים שונים, גם פרויקט השירות של הקצה הקדמי וגם פרויקט השירות של שירות הקצה העורפי צריכים להיות רשומים ל-Cloud Armor Enterprise Annual.
  • ללקוחות שנרשמו למינוי שנתי של Cloud Armor Enterprise אחרי 3 בספטמבר 2024: הפרויקט עם עומס העבודה שנמצא תחת מתקפה צריך לעבור בדיקה שנתית של עמידות בפני מתקפות DDoS.

גם אם הלקוחות לא עומדים בדרישות לקבלת תמיכה, צוות Cloud Customer Care מספק עזרה במהלך מתקפה. הוא עוזר בניפוי באגים בכללים, בהבהרת התנהגויות ובטיפול בבעיות ספציפיות במדיניות קיימת.

איך מקבלים תמיכה בנושא תגובה למתקפת DDoS

הגנה על החשבון מפני חיובים בעקבות התקפות DDoS

כדי להשתמש בהגנה מפני DDoS ב-Cloud Armor, צריך לרשום את הפרויקט למינוי שנתי של Cloud Armor Enterprise. השירות מספק קרדיטים לשימוש עתידי בGoogle Cloud , על חלק מהעלויות שמופיעות בחשבונות מ-Cloud Load Balancing, מ-Cloud Armor ומנתוני העברת נתונים יוצאת ברשת האינטרנט, בין אזורים ובין אזורי זמינות, כתוצאה ממתקפת DDoS מאומתת. אם התביעה תאושר ויינתן זיכוי, לא ניתן יהיה להשתמש בזיכוי כדי לקזז שימוש קיים. אפשר יהיה להשתמש בזיכוי רק לשימוש עתידי. בטבלה הבאה מפורטים המשאבים שמכוסים על ידי הגנה מפני חיובים בעקבות התקפות DDoS:

סוג נקודת הקצה עלייה בשימוש שנכללת בכיסוי
  • מאזן עומסים חיצוני של אפליקציות (ALB)
  • מאזן עומסי רשת חיצוני לשרת proxy
 Cloud Armor עמלת עיבוד נתונים ב-Cloud Armor Enterprise
רשת העברת נתונים יוצאת
בין אזורים
בין אזורים
קישור בין רשתות שכנות דרך ספק (carrier peering)
מאזן עומסים עמלת עיבוד נתונים נכנסים
עמלת עיבוד נתונים יוצאים
Cloud CDN עמלה על תעבורת נתונים יוצאת (egress) ב-Cloud CDN
העברת נתונים מהמטמון
מילוי מטמון
בקשות לחיפוש במטמון HTTP/HTTPS
Media CDN עמלת תעבורת נתונים יוצאת (egress) של Media CDN
העברת נתונים מהמטמון
  • מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
  • העברת פרוטוקולים
  • כתובות IP ציבוריות (מכונות וירטואליות)
 Cloud Armor עמלת עיבוד נתונים ב-Cloud Armor Enterprise
רשת העברת נתונים יוצאת
בין אזורים
בין אזורים
קישור בין רשתות שכנות דרך ספק (carrier peering)
מאזן עומסים עמלת עיבוד נתונים נכנסים
עמלת עיבוד נתונים יוצאים

הוראות להפעלת ההגנה על החיובים מפני DDoS מופיעות במאמר הפעלת ההגנה על החיובים מפני DDoS.

העברת פרויקטים בין חשבונות לחיוב

החל מ-3 בספטמבר 2024, אם תעבירו פרויקט מחשבון חיוב אחד לחשבון חיוב אחר כשאתם מנויים ל-Cloud Armor Enterprise Annual, אבל חשבון החיוב החדש לא מנוי ל-Cloud Armor Enterprise Annual, הפרויקט יחזור ל-Cloud Armor Standard אחרי שההעברה תושלם – אלא אם בפרויקט יש מדיניות אבטחה היררכית בתוקף. במקרה כזה, הפרויקט ישודרג לאחור ל-Cloud Armor Enterprise Paygo. לכן, אם אתם רוצים להשאיר את הפרויקט ב-Cloud Armor Enterprise Annual בלי זמן השבתה, מומלץ להירשם עם חשבון החיוב החדש ל-Cloud Armor Enterprise Annual לפני שתתחילו את תהליך ההעברה. אפשר גם להעביר את המינוי מחשבון לחיוב אחד לחשבון אחר על ידי פנייה אל התמיכה בנושאי חיוב ב-Cloud.

ההעברה של החשבון לחיוב לא משפיעה על פרויקטים שרשומים ל-Cloud Armor Enterprise Paygo.

שדרוג לאחור מ-Cloud Armor Enterprise

כשמסירים פרויקט מ-Cloud Armor Enterprise, כל כללי מדיניות האבטחה שמשתמשים בכללים עם תכונות בלעדיות ל-Cloud Armor Enterprise (כללים מתקדמים) קופאים. למדיניות אבטחה קפואה יש את המאפיינים הבאים:

  • ‫Cloud Armor ממשיך להעריך את התנועה בהתאם לכללים במדיניות, כולל כללים מתקדמים.
  • אי אפשר לצרף את מדיניות האבטחה ליעדים חדשים.
  • אפשר לבצע רק את הפעולות הבאות במדיניות האבטחה:
    • אתם יכולים למחוק כללים של מדיניות אבטחה.
    • אם לא משנים את העדיפות של הכלל, אפשר לעדכן כללים מתקדמים כך שהם לא ישתמשו יותר בתכונות שזמינות רק ב-Cloud Armor Enterprise. אם משנים את כל הכללים המתקדמים בדרך הזו, המדיניות כבר לא קפואה. למידע נוסף על עדכון כללים במדיניות אבטחה, אפשר לעיין במאמר בנושא עדכון כלל יחיד במדיניות אבטחה.

אפשר גם להירשם מחדש ל-Cloud Armor Enterprise Annual או ל-Cloud Armor Enterprise Paygo כדי לשחזר את הגישה למדיניות האבטחה שהוקפאה.

הגנה מתקדמת מפני התקפות DDoS ברשת

הגנה מתקדמת מפני DDoS ברשת זמינה רק לפרויקטים שרשומים ל-Cloud Armor Enterprise. כשמסירים פרויקט עם מדיניות פעילה מתקדמת של DDoS ברשת מ-Cloud Armor Enterprise, עדיין מחויבים על התכונה בהתאם לתמחור של Cloud Armor Enterprise.

מומלץ למחוק את כל כללי ההגנה המתקדמת מפני DDoS ברשת לפני שמבטלים את ההרשמה של הפרויקט ל-Cloud Armor Enterprise, אבל אפשר גם למחוק את כללי ההגנה המתקדמת מפני DDoS ברשת אחרי השדרוג לאחור.

תנאים ומגבלות

התנאים והמגבלות של Cloud Armor Enterprise הם:

  • באופן כללי: אם פרויקט שנרשם ל-Cloud Armor Enterprise חווה מתקפת מניעת שירות מצד שלישי על נקודת קצה מוגנת ('מתקפה שעומדת בדרישות') והתנאים שמתוארים בקטע הבא מתקיימים, Google מספקת זיכוי ששווה לסכום העמלות המכוסות, בתנאי שהעמלות המכוסות שחויבו גבוהות מהסף המינימלי. בדיקות עומס והערכות אבטחה שמבוצעות על ידי הלקוח או בשמו לא נחשבות להתקפות שעומדות בדרישות.
  • תנאים: הלקוח צריך לשלוח בקשה לתמיכה בנושא חיוב ב-Cloud תוך 30 יום אחרי סיום המתקפה שעומדת בדרישות. הבקשה צריכה לכלול הוכחות לניסיון התקיפה שעומד בדרישות, כמו יומנים או טלמטריה אחרת שמציינים את התזמון של התקיפה ואת הפרויקטים והמשאבים שהותקפו, ואומדן של העמלות המכוסות שהצטברו. ‫Google תקבע באופן סביר אם מגיע זיכוי ומהו הסכום המתאים. תנאים אחרים לתכונות מסוימות של Cloud Armor מפורטים במסמכי התיעוד.
  • זיכויים: לזיכויים שניתנים ללקוח בהקשר של הסעיף הזה אין ערך כספי, ואפשר להשתמש בהם רק כדי לקזז עמלות עתידיות על השירותים. הקרדיטים האלה יפוגו 12 חודשים אחרי שהם הונפקו, או עם סיום או פקיעת תוקף ההסכם.
  • הגדרות:
    • עמלות מכוסות: כל העמלות שהלקוח נדרש לשלם כתוצאה ישירה של המתקפה שעומדת בדרישות, עבור הפעולות הבאות:
      • עיבוד נתונים נכנסים ויוצאים בשירות Google Cloud Load Balancer.
      • עיבוד נתונים ב-Google Cloud Armor Enterprise בשביל שירות Cloud Armor.
      • תעבורת נתונים יוצאת (egress) ברשת, כולל תעבורה בין אזורים, תעבורה בין תחומים, תעבורה באינטרנט ותעבורת נתונים יוצאת (egress) של Carrier Peering.
    • סף מינימלי: הסכום המינימלי של עמלות מכוסות שעומדות בדרישות לקבלת זיכוי לפי הסעיף הזה, כפי שייקבע על ידי Google מעת לעת ויימסר ללקוח לפי בקשתו.

המאמרים הבאים