すべてのプロダクト
Search

このプロダクト

    Object Storage Service:OSS DDoS保護

    ドキュメントセンター

    Object Storage Service:OSS DDoS保護

    最終更新日:Feb 23, 2024

    Object Storage Service (OSS) DDoS保護は、OSSとAnti-DDoS Proを統合するプロキシベースの攻撃軽減サービスです。 OSS DDoS保護が有効になっているバケットがDDoS攻撃を受けると、OSS DDoS保護は、受信トラフィックをAnti-DDoSインスタンスに転送してスクラブし、通常のトラフィックをバケットにリダイレクトします。 これにより、DDoS攻撃が発生した場合のビジネスの継続性が保証されます。

    シナリオ

    DDoS攻撃は、近年の企業ビジネスに対する最も有害な攻撃の1つです。 企業がDDoS攻撃を受けると、そのビジネスは数秒以内に中断される可能性があります。 これは、事業運営に影響を及ぼし、企業のアイデンティティと経済的利益に損害を与え、顧客の離職につながります。

    これらの問題を軽減するために、OSSはAnti-DDoS Proと統合され、Tbit/sレベルのDDoS攻撃の軽減、1秒あたりの数百万のクエリ (QPS) 、および数秒以内のAnti-DDoS OriginからAnti-DDoS Proへの切り替えをサポートしています。 これらの機能により、Tbit/sレベルのDDoS攻撃、ボリュームチャレンジCollapsar (CC) 攻撃、SYNフラッド、ACKフラッド、インターネットコントロールメッセージプロトコル (ICMP) フラッド、UDPフラッド、NTPフラッド、Simple Service Discovery Protocol (SSDP) フラッド、ドメインネームシステム (DNS) フラッド、HTTPフラッドなどの攻撃からビジネスを保護できます。 これにより、ビジネスの継続性が確保されます。

    使用上の注意

    OSS DDoS保護は、数百MBの不正トラフィックなど、通常のリクエスト形式の少量の不正トラフィックを処理しません。 この問題を防ぐために、ポリシーやアクセス制御リスト (ACL) などの権限制御を構成するか、Web Application Firewall (WAF) 保護ポリシーを構成することをお勧めします。 詳細については、「OSSへの不正アクセスを防ぐ方法」をご参照ください。

    OSS DDoS保護の仕組み

    次の図は、OSS DDoS保護の仕組みを示しています。

    image

    デフォルトでは、OSSはAnti-DDoS Originを使用してバケットを保護します。 詳細については、「Anti-DDoS Origin有料版とは? 」をご参照ください。 ただし、攻撃頻度がAnti-DDoS Originの保護しきい値を超えると、Anti-DDoS Originは効果的な攻撃軽減を提供できず、バケットにアクセスできなくなる可能性があります。

    OSS DDoS保護を有効にした後、攻撃頻度がAnti-DDoS Originの保護しきい値を超えると、OSSはすべての着信トラフィックをAnti-DDoS Proインスタンスに転送します。 悪意のあるトラフィックは、Anti-DDoS Proのスクラビングセンターでスクラブされます。 転送ポートを使用して、正当なトラフィックのみが要求されたバケットに転送されます。 これにより、バケットが攻撃されているかどうかに関係なく、バケットへの通常のアクセスが保証されます。

    攻撃が停止すると、OSSはバケット保護のためにAnti-DDoS Originの使用に戻ります。

    制限事項

    • OSS DDoS保護は、中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (深セン) 、中国 (香港) の各リージョンでサポートされています。

    • OSS DDoS保護は、oss-cn-hangzhou.aliyuncs.comなどのバケットのパブリックエンドポイントのみを使用してアクセスを保護できます。 OSS Anti-DDoS Protectionは、次のエンドポイントを使用してアクセスを保護できません。

      • アクセラレーションエンドポイントには、グローバルアクセラレーションエンドポイント (oss-accelerate.aliyuncs.com) と中国本土以外のリージョンのアクセラレーションエンドポイント (oss-accelerate-overseas.aliyuncs.com) が含まれます。

      • ap-01-3b00521f653d2b3223680ec39dbbe2 **** -ossalias.oss-cn-hangzhou.aliyuncs.comなどのアクセスポイントのエンドポイント。

      • fc-ap-01-3b00521f653d2b3223680ec39dbbe2 **** -opapalias.oss-cn-hangzhou.aliyuncs.comなどのオブジェクトFCアクセスポイントのエンドポイント。

      • cn-hangzhou.oss.aliyuncs.comなど、IPv6経由でアクセスされるエンドポイント。

      • Amazon Simple Storage Service (S3) s3.oss-cn-hongkong.aliyuncs.comなどのエンドポイント。

    • Anti-DDoSインスタンスは、インスタンスの作成後少なくとも7日間保持する必要があります。 インスタンスが7日 (168時間) 以内に削除された場合、最小使用期間内にリリースされたAnti-DDoSインスタンスの残りの期間に対して基本的なリソース料金が請求されます。 詳細については、「OSS DDoS保護料金」をご参照ください。

    • リージョンに作成できるAnti-DDoSインスタンスは1つだけです。 同じリージョンの各インスタンスに最大10個のバケットをアタッチできます。

    • インスタンスにバケットをアタッチした後、ブラウザを使用してバケット内のリソースをプレビューすることはできません。 また、OSSはデフォルトでバケットにマップされたカスタムドメイン名を保護しません。 したがって、バケットが攻撃を受けている場合、カスタムドメイン名を使用してバケットにアクセスすることはできません。 バケットが攻撃を受けているときにカスタムドメイン名を使用してバケットにアクセスする場合は、OSSコンソールでカスタムドメイン名を追加します。 バケットごとに最大5つのカスタムドメイン名を追加できます。

      保護するバケットのカスタムドメイン名 (www.example.comなど) が、インスタンスの転送ルールで指定された正確なドメイン名 (www.example.comなど) またはワイルドカードドメイン名 (* .example.comなど) と一致する場合、Anti-DDoS Pro コンソールに移動して、正確なドメイン名またはワイルドカードドメイン名のバインドを解除する必要があります。 それ以外の場合、バケットが攻撃を受けている場合、カスタムドメイン名を使用してバケットにアクセスすることはできません。

      転送ルールの詳細については、「1つ以上のWebサイトの追加」をご参照ください。

    OSSコンソールの使用

    1. Anti-DDoSインスタンスを作成します。

      1. OSSコンソールにログインします。

      2. 左側のナビゲーションウィンドウで、データサービス > [Anti-DDoS Pro] をクリックします。

      3. オプション初めてAnti-DDoS Proを使用する場合は、Anti-DDoS Proページで 今すぐアクティブ化 をクリックします。

      4. Anti-DDoS Proページで、Anti-DDoSインスタンスの作成をクリックします。 [Anti-DDoSインスタンスの作成] ダイアログボックスで、[上記の情報を理解し、機能を有効にします] を選択し、[リージョン] ドロップダウンリストからリージョンを選択します。

      5. OK をクリックします。

    2. Anti-DDoSインスタンスにバケットをアタッチします。

      1. Anti-DDoS Proページで、バケットをアタッチするインスタンスの [操作] 列で [バケットの表示とアタッチ] をクリックします。

      2. [バケットの表示と接続] パネルで、[バケットの接続] をクリックします。

      3. [バケットのアタッチ] ダイアログボックスで、バケット ドロップダウンリストからアタッチするバケットを選択します。

        Anti-DDoSインスタンスがアタッチされているバケットは、[バケット] ドロップダウンリストに表示されません。

      4. OK をクリックします。

        バケットがAnti-DDoSインスタンスにアタッチされると、バケットは [初期化] 状態になります。 バケットが [防御] 状態になると、Anti-DDoSインスタンスはバケットの保護を開始します。

    3. カスタムドメイン名を保護する場合は、Anti-DDoSインスタンスの保護リストにカスタムドメイン名を追加します。

      重要

      デフォルトでは、バケットにマップされているカスタムドメイン名は保護されません。 バケットが攻撃を受けている場合、カスタムドメイン名を使用してバケットにアクセスすることはできません。 バケットが攻撃を受けているときにバケットにマップされているカスタムドメイン名を使用してバケットにアクセスする場合は、OSSコンソールのAnti-DDoSインスタンスの保護リストにカスタムドメイン名を追加します。 Anti-DDoSインスタンスの保護リストにバケットごとに最大5つのカスタムドメイン名を追加できます。5つのカスタムドメイン名は最大4つのサイトに属します。 たとえば、a.mycname.comb.mycname.comは同じサイトに属し、c.othercname.comは別のサイトです。

      • カスタムドメイン名がバケットにマップされていない場合は、カスタムドメイン名をバケットにマップする必要があります。 詳細については、「カスタムドメイン名のマップ」をご参照ください。

      • カスタムドメイン名がバケットにマップされている場合は、次の手順を実行してカスタムドメイン名を追加します。

        1. インスタンスにアタッチされたバケットの右側で、[操作] 列の [バケットの表示とアタッチ] をクリックします。 [バケットの表示と接続] パネルで、カスタムドメイン名の変更 をクリックします。

        2. 追加するカスタムドメイン名を選択します。

        3. OK をクリックします。

          その後、バケットが攻撃を受けているときに、カスタムドメイン名を使用してバケットにアクセスできます。