このトピックでは、ApsaraDB for RDS の攻撃防御の概要について説明します。

DDoS 攻撃防御

インターネットから ApsaraDB for RDS にアクセスする際、インスタンスは DDoS 攻撃の危険にさらされます。 ApsaraDB for RDS には、RDS セキュリティシステムによって自動的にトリガー、終了されるトラフィックスクラビング機能とブラックホールフィルタリング機能があります。 DDoS 攻撃が検出されると、RDS セキュリティシステムは最初にインバウンドトラフィックをスクラブします。 トラフィックスクラビングが十分でない場合、またはトラフィックが指定されたしきい値を超えた場合、ブラックホールフィルタリングがトリガーされます。

RDSインスタンスを DDoS 攻撃から保護するため、内部ネットワーク経由で RDS インスタンスにアクセスすることを推奨します。

トラフィックスクラビング

トラフィックスクラビングはインターネットからのトラフィックフローにのみ実行され、インスタンスの通常の動作には影響しません。

次のいずれかの条件を満たすと、 ApsaraDB for RDS インスタンスに対してトラフィックスクラビングがトリガーされます。

  • パケット/秒 (PPS) が 30,000 に達した。
  • ビット/秒 (BPS) が 180 Mbit/s に達した。
  • 1 秒あたりの新規同時接続数が 10,000 に達した。
  • アクティブな同時接続数が 10,000 に達した。
  • アイドル状態の同時接続数が 100,000 に達した。

ブラックホールフィルタリング

ブラックホールフィルタリングは、インターネットからのトラフィックフローにのみ実行されます。 ブラックホールフィルタリングが実行されている RDS インスタンスの場合、インターネットからアクセスできず、接続されたアプリケーションは使用できません。 ブラックホールフィルタリングは、RDS の可用性を確保します。

次のいずれかの条件を満たすと、ブラックホールフィルタリングがトリガーされます。

  • BPS が 2 Gbit/秒に達した。
  • トラフィックスクラビングが不十分で、DDoS 攻撃から保護できない。

ブラックホールは 2.5 時間で自動的に無効になります。