ApsaraDB RDSは、DDoS攻撃の軽減、トラフィックスクラブ、SQLインジェクション検出など、さまざまな攻撃軽減方法を提供します。
DDoS攻撃の軽減
インターネットからApsaraDB RDSインスタンスにアクセスすると、RDSインスタンスはDDoS攻撃に対して脆弱になります。 ApsaraDB RDSは、ApsaraDB RDSセキュリティシステムによって自動的にトリガーおよび終了されるトラフィックスクラビングおよびブラックホールフィルタリング機能を提供します。 DDoS攻撃が検出されると、ApsaraDB RDSセキュリティシステムは最初にインバウンドトラフィックをスクラブします。 トラフィックスクラブが十分でない場合、またはブラックホールトリガーしきい値に達した場合、ブラックホールフィルタリングがトリガーされます。
トラフィッククリーニング
トラフィックスクラブはインターネットからのトラフィックのみを対象とし、RDSインスタンスの通常の操作には影響しません。
次のいずれかの条件が満たされると、RDSインスタンスのトラフィックスクラビングがトリガーされます。
- パケット/秒 (PPS) が 30,000 に達した。
- ビット/秒 (BPS) が 180 Mbit/s に達した。
- 1 秒あたりの新規同時接続数が 10,000 に達した。
- アクティブな同時接続数が 10,000 に達した。
- 非アクティブな同時接続の数は100,000に達します。
ブラックホールのフィルタリング
ブラックホールフィルタリングは、インターネットからのトラフィックのみを対象とします。 RDSインスタンスに対してブラックホールフィルタリングがトリガーされた場合、インスタンスはインターネットからアクセスできず、接続されたアプリケーションは使用できなくなります。 ブラックホールフィルタリングにより、RDSインスタンスの可用性が保証されます。
次のいずれかの条件が満たされると、RDSインスタンスに対してブラックホールフィルタリングがトリガーされます。
- BPS が 2 Gbit/秒に達した。
- トラフィックスクラブは効果がありません。
次の条件が満たされると、ブラックホールフィルタリングは終了します。
ブラックホールフィルタリングは2.5時間で自動的に無効になります。