すべてのプロダクト
Search

このプロダクト

    Object Storage Service:OSS サンドボックス

    ドキュメントセンター

    Object Storage Service:OSS サンドボックス

    最終更新日:May 20, 2024

    OSS (Object Storage Service) バケットが攻撃を受けている場合、または違法なコンテンツの配信に使用されている場合、OSSはバケットを自動的にサンドボックスに移動します。 サンドボックス内にあるバケットは、依然として要求に応答することができるが、サービスの劣化が生じる可能性がある。 この場合、ネットワークの可用性が影響を受ける可能性があり、要求タイムアウトエラーが返されます。 OSSが自動的にバケットをサンドボックスに移動した後、アプリケーションが操作を認識する可能性があります。

    使用上の注意

    • バケットが攻撃を受けている場合、バケットは自動的にサンドボックスに移動します。 この場合、攻撃の結果として生じる費用を支払う必要があります。

    • ユーザーがバケットを使用してポルノやテロを伴う違法なコンテンツを配布する場合、OSSはバケットもサンドボックスに移動します。 ユーザーは法律違反に対して責任を負います。

    攻撃に対する予防策

    DDoS攻撃やChallenge Collapsar (CC) 攻撃などの攻撃によってバケットがサンドボックスに移動されないようにするには、バケットのOSS DDoS保護を設定します。 Elastic Compute Service (ECS) インスタンスを使用してバケットにアクセスし、ECSインスタンスにAnti-DDoS proxyインスタンスを設定することで、リバースプロキシを設定することもできます。 次の表は、2つのソリューションの利点と欠点を示しています。

    解決策

    説明

    利点

    デメリット

    解決策1: OSS DDoS保護の設定

    OSS DDoS保護は、OSSとAnti-DDoS proxyを統合するプロキシベースの攻撃軽減サービスです。 OSS DDoS保護が有効になっているバケットがDDoS攻撃を受けると、OSS DDoS保護は、受信トラフィックをAnti-DDoS Proxyインスタンスに転送してスクラブし、通常のトラフィックをバケットにリダイレクトします。 これにより、DDoS攻撃が発生した場合のビジネス継続性が保証されます。

    • 多様なシナリオ: このソリューションを使用して、バケットドメイン名とバケットにマップされているカスタムドメイン名を保護できます。

    • 低コスト: バケットに設定したAnti-DDoS Proxyインスタンスの数、これらのインスタンスによって保護されているトラフィック、およびバケットに送信されたAPIリクエストの数に基づいて、OSS DDoS保護の料金が請求されます。 詳細については、「OSS DDoS保護料金」をご参照ください。

    • シンプルな設定: OSSコンソールでOSS DDoS保護を設定できます。

    限られた数の保護されたバケット: リージョン内に作成できるAnti-DDoS Proxyインスタンスは1つだけです。 各インスタンスは、同じリージョンにある最大10個のバケットにアタッチできます。

    解決策2: ECSインスタンスを使用してバケットにアクセスし、ECSインスタンスのAnti-DDoS proxyインスタンスを設定してリバースプロキシを設定する

    データのセキュリティを確保するため、バケットにアクセスするたびに、バケットのデフォルトドメイン名がランダムなIPアドレスに解決されます。 静的IPアドレスを使用してバケットにアクセスする場合は、ECSインスタンスを使用してバケットにアクセスすることでリバースプロキシを設定できます。 ECSインスタンスのelastic IPアドレス (EIP) をAnti-DDoS Proxyインスタンスに関連付けて、DDoS攻撃やCC攻撃からバケットを保護できます。

    静的IPアドレスを使用してOSSにアクセスする場合、このソリューションを使用してバケットを保護できます。

    • 複雑な設定: NGINXリバースプロキシを手動で設定する必要があります。

    • 高コスト: NGINXリバースプロキシを設定するには、ECSインスタンスを購入する必要があります。

    手順

    • 解決策1: OSS DDoS保護の設定

      以下の手順を実行します。

      1. Anti-DDoS Proxyインスタンスを作成します。

      2. 保護するバケットをAnti-DDoS Proxyインスタンスにアタッチします。

        その後、Anti-DDoS Proxyインスタンスは、バケットのパブリックエンドポイントを使用してバケットへのアクセスを保護し始めます。

        OSS DDoS保護は、oss-cn-hangzhou.aliyuncs.comなどのバケットのパブリックエンドポイントのみを使用してアクセスを保護できます。 OSS DDoS保護は、次のエンドポイントを使用してアクセスを保護できません。

        • OSSアクセラレーションドメイン名。グローバルOSSアクセラレーションドメイン名 (oss-accelerate.aliyuncs.com) と中国本土以外のリージョンのOSSアクセラレーションドメイン名 (oss-accelerate-overseas.aliyuncs.com) を含みます。

        • ap-01-3b00521f653d2b3223680ec39dbbe2 **** -ossalias.oss-cn-hangzhou.aliyuncs.comなどのアクセスポイントのエンドポイント。

        • fc-ap-01-3b00521f653d2b3223680ec39dbbe2 **** -opapalias.oss-cn-hangzhou.aliyuncs.comなどのオブジェクトFCアクセスポイントのエンドポイント。

        • cn-hangzhou.oss.aliyuncs.comなど、IPv6経由でアクセスされるエンドポイント。

        • Amazon Simple Storage Service (S3) s3.oss-cn-hongkong.aliyuncs.comなどのエンドポイント。

        詳細については、「OSS DDoS保護」をご参照ください。

    • 解決策2: ECSインスタンスを使用してバケットにアクセスし、ECSインスタンスのAnti-DDoS proxyインスタンスを設定してリバースプロキシを設定する

      以下の手順を実行します。

      1. ECSインスタンスを使用してバケットにアクセスし、リバースプロキシを設定します。

        1. CentOSまたはUbuntuを実行するECSインスタンスを作成します。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

          重要

          バケットでネットワークトラフィックのバーストやアクセス要求のスパイクが発生した場合は、ECSのハードウェア設定をアップグレードするか、ECSクラスターを作成する必要があります。

        2. ECSインスタンスを使用してバケットにアクセスし、リバースプロキシを設定します。 詳細については、「CentOSを実行するECSインスタンスを使用して、OSSにアクセスするためのリバースプロキシを設定する」をご参照ください。

      2. Anti-DDoS Proxyインスタンスを設定します。

        1. ビジネス要件に基づいてAnti-DDoS Proxyインスタンスを購入します。 詳細については、

          Anti-DDoS Proxy (Outside Chinese Mainland) のページを購入します。

        2. Anti-DDoS Proxyインスタンスを設定します。 [ドメイン] でECSリバースプロキシを使用して保護するバケットのエンドポイントを入力します。 サーバーIPに [オリジンサーバーIP] を選択し、フィールドにECSインスタンスのパブリックIPアドレスを入力します。 他のパラメーターを設定する方法の詳細については、「1つ以上のWebサイトの追加」をご参照ください。3