Jika bucket Object Storage Service (OSS) Anda sedang diserang atau digunakan untuk mendistribusikan konten ilegal, OSS secara otomatis memindahkan bucket ke dalam sandbox. Bucket yang berada di dalam sandbox masih dapat merespons permintaan, namun penurunan layanan mungkin terjadi. Dalam hal ini, ketersediaan jaringan mungkin terpengaruh, dan kesalahan timeout permintaan akan dikembalikan. Setelah OSS memindahkan bucket ke dalam sandbox, aplikasi Anda mungkin mengetahui operasi tersebut.
Catatan
Jika bucket Anda sedang diserang, OSS secara otomatis memindahkan bucket ke dalam sandbox. Dalam hal ini, Anda harus membayar biaya yang diakibatkan oleh serangan tersebut.
Jika bucket Anda digunakan untuk mendistribusikan konten ilegal seperti pornografi, bias politik, atau terorisme, OSS memindahkan bucket ke dalam sandbox. Pengguna bertanggung jawab atas pelanggaran hukum tersebut.
Tindakan pencegahan terhadap serangan
Untuk mencegah bucket Anda dipindahkan ke sandbox karena serangan seperti serangan DDoS dan Challenge Collapsar (CC), Anda dapat mengonfigurasi Perlindungan DDoS OSS untuk bucket tersebut. Anda juga dapat mengonfigurasi reverse proxy menggunakan instance Elastic Compute Service (ECS) untuk mengakses bucket dan mengonfigurasi instance Anti-DDoS Proxy untuk instance ECS tersebut. Tabel berikut menjelaskan kelebihan dan kekurangan dari kedua solusi tersebut.
Solusi | Deskripsi | Keuntungan | Kekurangan |
Solusi 1: Konfigurasikan Perlindungan DDoS OSS | Perlindungan DDoS OSS adalah layanan mitigasi serangan berbasis proxy yang mengintegrasikan OSS dengan Anti-DDoS Proxy. Ketika bucket yang memiliki Perlindungan DDoS OSS diaktifkan mengalami serangan DDoS, Perlindungan DDoS OSS mengalihkan lalu lintas masuk ke instance Anti-DDoS Proxy untuk dibersihkan dan kemudian mengarahkan kembali lalu lintas normal ke bucket. Hal ini memastikan kelangsungan bisnis selama serangan DDoS. |
| Jumlah bucket yang dilindungi terbatas: Di setiap wilayah, Anda hanya dapat membuat satu instance Anti-DDoS Proxy, yang dapat dihubungkan hingga 10 bucket. |
Solusi 2: Konfigurasikan reverse proxy menggunakan instance ECS untuk mengakses bucket dan konfigurasikan instance Anti-DDoS Proxy untuk instance ECS | Untuk memastikan keamanan data, nama domain default bucket diselesaikan ke alamat IP acak setiap kali bucket diakses. Jika Anda ingin menggunakan alamat IP statis untuk mengakses bucket, Anda dapat mengonfigurasi reverse proxy menggunakan instance ECS untuk mengakses bucket. Anda dapat mengaitkan alamat IP elastis (EIP) dari instance ECS dengan instance Anti-DDoS Proxy untuk melindungi bucket dari serangan DDoS dan serangan CC. | Anda dapat menggunakan solusi ini untuk melindungi bucket Anda ketika Anda menggunakan alamat IP statis untuk mengakses OSS. |
|
Prosedur
Solusi 1: Konfigurasikan Perlindungan DDoS OSS
Lakukan langkah-langkah berikut:
Buat instance Anti-DDoS Proxy.
Hubungkan bucket yang ingin Anda lindungi ke instance Anti-DDoS Proxy.
Setelah itu, instance Anti-DDoS Proxy mulai melindungi akses ke bucket menggunakan endpoint publik bucket.
Perlindungan DDoS OSS hanya dapat melindungi akses menggunakan endpoint publik bucket, seperti
oss-cn-hangzhou.aliyuncs.com. Perlindungan DDoS OSS tidak dapat melindungi akses menggunakan endpoint berikut:Nama domain akselerasi OSS, termasuk nama domain akselerasi OSS global (
oss-accelerate.aliyuncs.com) dan nama domain akselerasi OSS untuk wilayah di luar daratan Tiongkok (oss-accelerate-overseas.aliyuncs.com).Endpoint titik akses, seperti
ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com.Endpoint Titik Akses Objek FC, seperti
fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com).Endpoint yang diakses melalui IPv6, seperti
cn-hangzhou.oss.aliyuncs.com.Endpoint Amazon Simple Storage Service (S3), seperti
s3.oss-cn-hongkong.aliyuncs.com.
Untuk informasi lebih lanjut, lihat Perlindungan DDoS OSS.
Solusi 2: Konfigurasikan reverse proxy menggunakan instance ECS untuk mengakses bucket dan konfigurasikan instance Anti-DDoS Proxy untuk instance ECS
Lakukan langkah-langkah berikut:
Konfigurasikan reverse proxy menggunakan instance ECS untuk mengakses bucket Anda.
Buat instance ECS yang menjalankan CentOS atau Ubuntu. Untuk informasi lebih lanjut, lihat Buat instance pada tab Peluncuran Kustom.
PentingJika bucket mengalami lonjakan lalu lintas jaringan atau lonjakan permintaan akses, Anda perlu meningkatkan konfigurasi perangkat keras ECS atau membuat kluster ECS.
Konfigurasikan reverse proxy menggunakan instance ECS untuk mengakses bucket. Untuk informasi lebih lanjut, lihat Gunakan instance ECS untuk mengonfigurasi reverse proxy untuk mengakses OSS.
Konfigurasikan instance Anti-DDoS Proxy.
Beli instance Anti-DDoS Proxy berdasarkan kebutuhan bisnis Anda.
Tambahkan website: Masukkan endpoint bucket yang ingin Anda lindungi dengan menggunakan reverse proxy ECS di Websites. Pilih Origin IP Address untuk Server Address dan masukkan alamat IP publik instance ECS di bidang tersebut.
Hapus bucket dari sandbox yang ditambahkan sebagai hasil dari serangan
Alibaba Cloud tidak mengizinkan Anda langsung menghapus bucket dari sandbox yang ditambahkan karena serangan.
Untuk menghapus bucket yang dimasukkan ke sandbox karena alasan terkait serangan berikut, Anda perlu mengonfigurasi Perlindungan DDoS OSS.
Bucket dimasukkan ke sandbox karena mereka mengalami beberapa serangan.
Bucket yang ada dan baru dimasukkan ke sandbox karena beberapa bucket lain dalam akun mengalami beberapa serangan.
Untuk informasi rinci tentang cara mengonfigurasi Perlindungan DDoS OSS, lihat Konfigurasikan Perlindungan DDoS OSS. Setelah Anda mengonfigurasi Perlindungan DDoS OSS, bucket akan secara otomatis dihapus dari sandbox dan tetap dapat diakses menggunakan alamat IP aslinya atau alamat IP yang dilindungi DDoS.