As regras de firewall do VPC podem impedir que o tráfego de entrada atinja sua VM. Se isso protege contra DDoS ou não, depende se o gargalo é antes ou depois do firewall.
A documentação não menciona onde o gargalo será em seu cenário e não menciona como ele responderá a um ataque DDoS.
Portanto, sua resposta não pode ser respondida apenas pela documentação. A causa prudente da ação seria presumir que não há proteção contra DDoS ou solicitar diretamente o suporte do Google Cloud Platform .
A proteção que as regras de firewall fornecem quando configurada corretamente é que o tráfego não atingirá suas VMs. Se, por exemplo, você estivesse executando um serviço que poderia ser usado para ataques de amplificação, a proteção desse serviço com regras de firewall pode impedir que suas VMs sejam usadas em tais ataques DDoS contra outras pessoas.
No entanto, o Google Cloud tem um produto que oferece proteção contra DDoS. Esse produto é chamado de Cloud Armor e atualmente está na fase beta.
Portanto, se você tiver um serviço em execução no Google Compute Engine e esse serviço for fornecido por HTTP (S). Eu recomendaria usar o Cloud Armor se você precisar de proteção contra DDoS.