Anti-DDoS Basic のトラフィックスクラビングしきい値を設定する - Anti-DDoS

トラフィックスクラビングとは

トラフィックスクラビングは、DDoS 攻撃中にネットワークトラフィックをリアルタイムでモニター、分析、フィルターするプロセスです。Anti-DDoS Basic は悪意のあるトラフィックと通常のトラフィックを区別し、悪意のあるトラフィックを破棄してサービスの可用性を確保します。

設定した BPS および PPS のスクラビングしきい値に加えて、Anti-DDoS Basic は AI 分析を使用します。Alibaba Cloud のビッグデータ機能を活用することで、Anti-DDoS Basic はトラフィックパターンを学習し、アルゴリズムを使用して攻撃を検出します。トラフィックスクラビングは、AI 分析が DDoS 攻撃を検出し、インバウンドトラフィックが設定した BPS または PPS のしきい値に達した場合にのみトリガーされます。このメソッドは、たとえば、通常のサービストラフィックの変動がスクラビングしきい値を超えた場合など、固定しきい値によって引き起こされる可能性のある誤検知を防ぎます。

スクラビングしきい値

Anti-DDoS Basic では、デフォルトのスクラビングしきい値またはカスタムのスクラビングしきい値のいずれかを使用できます。

デフォルトのスクラビングしきい値

Alibaba Cloud は、クラウドプロダクトのトラフィック負荷に基づいて、デフォルトのスクラビングしきい値を動的に調整します。この調整は通常、次の 2 つの要因に基づいています。

クラウドプロダクトのインスタンスタイプとパブリック帯域幅: Elastic Compute Service (ECS) や NAT Gateway などのクラウドプロダクトの場合、Alibaba Cloud はインスタンスタイプと設定されたパブリック帯域幅に基づいてデフォルトのスクラビングしきい値を計算します。詳細については、「クラウドプロダクトの仕様とスクラビングしきい値」をご参照ください。
プラットフォーム全体の安定性とリソース割り当て: Alibaba Cloud は、クラウドプラットフォーム全体の安定した運用を確保し、1 つのクラウドプロダクトへの攻撃が他のユーザーやクラウドプロダクトに影響を与えるのを防ぐ必要があります。デフォルトのスクラビングしきい値を計算する際には、プラットフォームの総リソース、各インスタンスの現在の負荷、過去の攻撃データなどの要因が考慮されます。これにより、攻撃中にトラフィックスクラビングのリソースが合理的に割り当てられ、プラットフォーム全体の安定性が維持されます。

説明

デフォルトのスクラビングしきい値は、通常、カスタムしきい値に設定できる最大値です。必要に応じてしきい値を下げることができます。

カスタムスクラビングしきい値

カスタムスクラビングしきい値は、トラフィックスクラビングをトリガーするユーザー定義の値です。このしきい値は、特定のビジネス要件、ネットワーク環境、およびセキュリティポリシーに基づいて設定できます。

しきい値設定に関する推奨事項と注意点

推奨事項

スクラビングしきい値は、通常のトラフィックレベルよりわずかに高く設定してください。しきい値が高すぎると、トラフィックスクラビングが時間内にトリガーされず、攻撃を防げない可能性があります。しきい値が低すぎると、トラフィックスクラビングが不必要にトリガーされ、通常のアクセスが中断される可能性があります。

たとえば、高いセキュリティ要件を持つ金融サービス、重要な政府情報システム、または低頻度で高強度の攻撃を経験した小規模なウェブサイトの場合、安定したトラフィックの期間中にしきい値を下げて、低ボリュームの攻撃に対する防御を強化することを検討してください。逆に、ウェブサイトのプロモーション、主要なゲームイベント、または ApsaraVideo Live プラットフォームの人気ストリーマーのピーク時には、通常のサービストラフィックの急増による誤検知を避けるためにしきい値を上げることができます。

注意

スクラビングしきい値を設定した後:

スペックアップ: カスタムスクラビングしきい値が優先され、スペックアップ後も変更されません。
クラウドプロダクトをスペックダウンする場合:
- スペックダウン後のデフォルトのスクラビングしきい値がカスタムスクラビングしきい値よりも低い場合、しきい値はデフォルト値に戻り、カスタム設定は破棄されます。その後、以降のスペックアップまたはスペックダウンではデフォルトのスクラビングしきい値が使用されます。
- スペックダウン後のデフォルトのスクラビングしきい値がカスタムスクラビングしきい値よりも高い場合、カスタムしきい値が優先され、変更されません。

単一アセットのスクラビングしきい値の調整

Traffic Security コンソールの [アセット] ページに移動します。上部のナビゲーションバーで、アセットのリージョンを選択します。
目的のクラウドプロダクトのタブ (例: [ECS]) をクリックします。
説明
IDC CIDR ブロック または 専用の IP アドレス タブのアセットのスクラビングしきい値は設定できません。
IP アセットリストで、ターゲット IP アドレスをクリックします。IP アドレス詳細 パネルで、クリーニング設定 をクリックします。
クリーニング設定 パネルで、宛先インスタンスの [スクラビングしきい値] を設定し、[OK] をクリックします。
- システムデフォルト: スクラビングしきい値は、クラウドプロダクトのトラフィックに基づいて自動的に調整されます。
- 手動設定：
  - スクラビングしきい値 (BPS): 値は 60 Mbps からクラウドプロダクトインスタンスのパブリック帯域幅の 1.5 倍の間である必要があります。
  - スクラビングしきい値 (PPS): 値は 12,000 pps からクラウドプロダクトインスタンスの PPS 仕様の 1.5 倍の間である必要があります。

アセットのスクラビングしきい値の一括調整

重要

この機能は Anti-DDoS Origin でのみ利用可能です。

Traffic Security コンソールの [保護対象オブジェクト] ページに移動します。
上部のナビゲーションバーで、インスタンスが属するリソースグループとインスタンスが存在するリージョンを選択します。
- Anti-DDoS Origin 1.0 (サブスクリプション) インスタンス: インスタンスが存在するリージョンを選択します。
- Anti-DDoS Origin 2.0 (サブスクリプション) および Anti-DDoS Origin 2.0 (従量課金) インスタンス: [すべてのリージョン] を選択します。
ページの上部で、Anti-DDoS Origin インスタンスを選択し、クリーニングのしきい値の一括調整 をクリックします。
[スクラビングしきい値] タブで、アセットの IP アドレスを選択し、トラフィックとパケットのスクラビングしきい値を一括で設定できます。
1. スクラビングしきい値 (BPS): 値は 60 Mbps からクラウドプロダクトインスタンスのパブリック帯域幅の 1.5 倍の間である必要があります。
2. スクラビングしきい値 (PPS): 値は 12,000 pps からクラウドプロダクトインスタンスの PPS 仕様の 1.5 倍の間である必要があります。
重要
- Anti-DDoS Proxy が有効になっている Elastic IP アドレス (EIP) のスクラビングしきい値を一括で変更することはできません。[アセットセンター] ページで単一の EIP のしきい値のみを変更できます。
- 一度に最大 500 個の IP アドレスのしきい値を調整できます。
- 一括設定を実行する際は、選択したすべてのアセットが同じクラウドプロダクトに属していることを確認してください。
- 設定が完了すると、設定が成功したかどうかを示すメッセージが表示されます。一部のクラウドアセットまたは IP アドレスの変更に失敗した場合は、画面の指示に従ってください。