Cloud Armor の Managed Protection Plus が従量課金(Pay as you go)で使えるようになりました
こんにちは。クラウドエースの阿部です。
本記事では2023年12月11日に公開された Cloud Armor Managed Protection Plus における従量課金(Pay as you go)について紹介します。
概要
Cloud Armor には Managed Protection Plus と呼ばれる、 高度な DDoS 攻撃への適応型保護をはじめとする、追加機能が存在します。
Managed Protection Plus はこれまで年間サブスクリプションのサービスのみが存在していましたが、2023年12月11日より従量課金(Pay as you go)で使用できることがリリースノートにて公開されました。
これまで手が出しづらく、また、どれくらい効果があるかがドキュメントから分かりづらかった高度な DDoS 攻撃への対策機能を、気軽にお試しいただけるようになりました。
Cloud Armor とは
Cloud Armor (正式名称は Google Cloud Armor) はアプリケーションロードバランサをはじめとする Google Compute Engine のネットワークエンドポイントに対して、ネットワーク境界セキュリティや Web Application Firewall (WAF) を提供するサービスです。
元々はグローバルアプリケーションロードバランサ(旧称: HTTP(S) 負荷分散)のバックエンドサービスリソースにのみ適用できましたが、近年機能を拡張し、外部プロキシネットワークロードバランサや、外部パススルーロードバランサ、さらにパブリック IP アドレスをもつ VM に直接適用できるようになる等、適用領域が広がっているサービスです。
Cloud Armor Managed Protection Plus とは
Cloud Armor Managed Protection Plus (以降、Managed Protection と表記) は、Cloud Armor の追加機能を拡張するサービスです。
Managed Protection では標準機能に加えて以下のような機能を提供します。
- サードパーティの名前付き IP アドレスリスト
- Google Cloud Armor の脅威インテリジェンス
- Adaptive Protection (適応型保護)
- パススルー エンドポイント用の高度なネットワーク DDoS 対策 (外部パススルーネットワークロードバランサ、プロトコル転送、仮想マシン(VM)インスタンスのパブリック IP アドレス)
- DDoS 請求対策と DDoS 対応チームのサービスへのアクセス
- DDoS 攻撃の可視性へのアクセス
特に、 適応型保護や DDoS 攻撃への可視性、請求対策といった高度な防御機能が付加されることが大きなメリットです。
Pay as you go とサブスクリプションによるサービス提供内容の違い
これまで、Managed Protection は年額サブスクリプションでのみ提供され、 $3000/月 で年間の固定額を支払う必要がありました。(防御対象のリソースが 100 以上の場合は、更に追加課金が発生します)
そのため、簡単に試すことが難しく、 Cloud Armor の標準機能(ネットワーク境界防御と WAF)のみを使っている利用者が多数派だと思います。
Pay as you go (以降、Paygo と表記) は、 Managed Protection の従量課金モデルを提供します。
機能比較
下記は、Paygo とサブスクリプションにおけるサービス提供の比較です。
| 提供機能 | Paygo | サブスクリプション |
|---|---|---|
| 名前付き IP アドレスリスト | ✅ | ✅ |
| 脅威インテリジェンス | ✅ | ✅ |
| Adaptive Protection (適応型保護) | ✅ | ✅ |
| パススルー エンドポイント用の高度なネットワーク DDoS 対策 | ✅ | ✅ |
| DDoS 請求対策と DDoS 対応サポート | 🚫 | ✅ |
| DDoS 攻撃の可視性へのアクセス | ✅ | ✅ |
概ね同等機能を提供していますが、 DDoS 請求対策と DDoS 対応サポートはサブスクリプションのみで提供しているサービスです。
(より厳密には、DDoS 対応サポートの利用は Managed Protection サブスクリプション購入に加え、Google Cloud のプレミアムサポート契約が必要です。)
詳細な機能差分については、下記のドキュメントを参照してください。(2023年12月12日時点では、英語版ドキュメントのみで確認できます。)
Paygo の課金体系
Paygo では、最初の 2 リソースまで $200/月、以降 1 リソース毎に $200/月 が発生します。
いつでもキャンセルすることができ、月の途中で解約した場合は日割り計算で課金されます。(もちろん、再び有効化することも可能です。)
また、 Paygo とサブスクリプションでは、データ処理手数料に違いがあります。
Paygo よりもサブスクリプションの方がデータ処理手数料が安く設定されています。
Managed Protection Plus Paygo
| TiB (外向き) | Cloud Load Balancing | Cloud CDN と Media CDN | Network Load Balancer/Instance |
|---|---|---|---|
| 0 ~ 100 | $0.075 | $0.0375 | $0.075 |
| 101 ~ 500 | $0.06 | $0.030 | $0.06 |
| 501 ~ 1000 | $0.05 | $0.025 | $0.05 |
| 1001 以上 | Contact account team | $0.020 | Contact account team |
Managed Protection Plus Subscription
| TiB (外向き) | Cloud Load Balancing | Cloud CDN と Media CDN | Network Load Balancer/Instance |
|---|---|---|---|
| 0 ~ 100 | $0.05 | $0.025 | $0.05 |
| 101 ~ 500 | $0.04 | $0.020 | $0.04 |
| 501 ~ 1000 | $0.03 | $0.015 | $0.03 |
| 1001 以上 | Contact account team | $0.010 | Contact account team |
補足
Paygo とサブスクリプションの課金額比較
100 以下のリソース数の範囲で、リソースが増えたときに、Paygo とサブスクリプションでどちらが優位になるかをざっくり比較しました。
ちょっとわかりにくい(というか、思ったよりも少ないリソース数の段階でサブスクリプションの方が優位になる)のですが、16リソースのときに Paygo とサブスクリプションの課金額が同額になります。17リソース以上で継続利用する場合はサブスクリプションの方がお得です。
先に述べたデータ処理手数料も考慮すると、もう少し少ないリソース数でも優位になる可能性があります。
まとめ
Cloud Armor Managed Protection Plus の Paygo (従量課金モデル)について紹介しました。
本格的に利用するならサブスクリプションを購入する方がよいと思いますが、一方でちょっと Managed Protection 機能を試してみたい場合にすぐ試せるのは非常に喜ばしいことだと思います。
また、ロードバランサで使用しているバックエンドサービスがごく少ない場合であればサブスクリプション購入よりも安く維持できると思いますので、気になっていた方はお試しください。
Discussion