ドメイン名が攻撃を受けた場合、またはデータ送信に悪用された場合、帯域幅の上昇またはトラフィックの急増が発生する可能性があります。 この場合、想定よりも高額の請求書を受け取る可能性があります。 悪意のある攻撃やデータ送信の悪用によって発生した高額の請求は、免除または返金されません。 このトピックでは、高額請求の発生を防止するための方法について説明します。
潜在的なリスク:攻撃または攻撃に類似したアクティビティによって発生する高額請求
攻撃が発生した場合、帯域幅リソースとデータ転送に対して課金されます。
ドメイン名がデータ送信に悪用された場合、帯域幅の上昇またはトラフィックの急増が発生する可能性があります。 これは攻撃に似た状況で、帯域幅リソースとデータ転送に対して課金されます。
見込まれる結果:想定よりも高額の請求
ドメイン名が攻撃を受けたり、データ送信に悪用されたりした場合、請求額が想定よりも高額になり、アカウントの残高が使い尽くされる可能性があります。
Alibaba Cloud CDN は、使用したリソースに基づいて課金されます。 場合によっては、課金サイクルの違い (時間、日、または月単位) または課金の遅延により、アカウントの残高が 0 になってもサービスが停止されない場合があります。 Alibaba Cloud CDN の請求書は、各課金サイクルの終了後、3 ~ 4 時間後に生成されます。 そのため、延滞が発生したり、1 件の請求書での支払金額が当座貸越限度額を超える可能性があります。
Alibaba Cloud CDN では、サービス停止保護を利用できます。 サービス停止保護を有効化した場合、猶予期間が終了するまで Alibaba Cloud CDN は停止されません。 猶予期間または当座貸越限度額は、アカウントの階層と購入履歴に基づいて決定されます。 当座貸越限度額は毎月リセットされます。
解決策
Alibaba Cloud CDN が想定どおりに動作し、予期しない高額請求が発生しないようにするには、セキュリティ機能を有効化してネットワークトラフィックを管理することを推奨します。 詳細については、Anti-DDoS のプロダクトページをご覧ください。
アクセス制御の有効化
不要なトラフィックと帯域幅の消費を防止するため、Alibaba Cloud コンソールでドメイン名に対するアクセス制御機能を有効化することを推奨します。
機能 | 説明 |
リファラーベースのホットリンク保護 | お客様の Web サイトシステムに関連するドメイン名など、特定ドメイン名からのリクエストのみを許可するようにリファラーホワイトリストを設定できます。 この方法により、訪問者を特定してフィルタリングし、Web サイトリソースの不正使用を防止できます。 詳細については、「リファラーホワイトリストまたはブラックリストを設定してホットリンク保護を有効化する」「」をご参照ください。 |
URL 署名 | URL 署名機能を使用すると、ポイントオブプレゼンス (POP) と配信元サーバーを連携して、オリジンリソースを不正使用から保護できます。 この方法は安全性と信頼性が高くなっています。詳細については、「URL 署名の設定」「」をご参照ください。 |
リモート認証 | リモート認証機能では、POP を使用してユーザーリクエストを特定の認証サーバーにリダイレクトします。 認証サーバーは、権限のないユーザーによるアクセスからリソースを保護するためにユーザーからのリクエストを検証します。詳細については、「リモート認証の設定」をご参照ください。 |
IP アドレスのブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後は、リアルタイムログ分析とリアルタイムログ配信機能を使用して、ある IP アドレスがドメイン名に頻繁にアクセスしているかどうかを確認できます。 詳細については、「Simple Log Service で Alibaba Cloud CDN のリアルタイムログを配布および分析するためのベストプラクティス」および「」をご参照ください。 悪意のある IP アドレスが特定された場合、その IP アドレスをブロックするように IP ブラックリストまたはホワイトリストを設定できます。 詳細については、「IP ブラックリストまたはホワイトリストの設定」「」をご参照ください。 |
User-Agent ブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後、リアルタイムログ分析およびリアルタイムログ配信機能を使用して、悪意のあるリクエストの User-Agent ヘッダーが特定の値であるかどうかを確認できます。 詳細については、「Simple Log Service で Alibaba Cloud CDN のリアルタイムログを配布および分析するためのベストプラクティス」および「」をご参照ください。 悪意のあるリクエストの User-Agent ヘッダーが特定の値である場合、User-Agent ブラックリストまたはホワイトリストを設定して、特定の値を持つ User-Agent ヘッダーを含むリクエストをブロックできます。 詳細については、「User-Agent ブラックリストまたはホワイトリストの設定」「」をご参照ください。 |
トラフィックの管理
帯域幅管理機能とスロットリング機能を有効化して、ドメイン名のトラフィックと帯域幅使用量をモニタリングし、アラートを受信することを推奨します。
機能 | 説明 |
帯域幅上限 | ドメイン名で消費可能な帯域幅リソースの量を制限する場合は、ドメイン名に対して帯域幅上限を指定できます。 ドメイン名の帯域幅が指定された帯域幅上限に達すると、Alibaba Cloud CDN はドメイン名のアクセラレーションを無効化し、ドメイン名は無効なアドレスに解決されます。 この方法により、想定外の高額請求を防止できます。 詳細については、「帯域幅上限の設定」をご参照ください。 |
個別のリクエストに対するトラフィックスロットリング | 個別のリクエストに対するトラフィックスロットリングを使用すると、POP に送信されるすべてのリクエストのダウンストリーム速度を制限できます。 個別のリクエストに対するトラフィックスロットリングは、ゲームのリリースなど、顧客 Web サイトの運用イベントに対して使用できます。 この方法により、高速化ドメイン名の全体的なピーク帯域幅を制限できます。 詳細については、「個別のリクエストに対するトラフィックスロットリングの設定」をご参照ください。 |
帯域幅調整 | ドメイン名の 1 日あたりのピーク帯域幅が 10 Gbit/s を超える場合で、ドメイン名に対する Alibaba Cloud CDN 帯域幅を制限する場合は、チケットを起票してください。 重要
|
リアルタイムモニタリング | ドメイン名のピーク帯域幅をリアルタイムでモニタリングする必要がある場合、CloudMonitor を使用できます。 ドメイン名の帯域幅が指定されたしきい値に達すると、テキストメッセージ、電子メール、または DingTalk メッセージで潜在的なリスクが通知されます。 詳細については、「CloudMonitor のプロダクトページ」をご参照ください。 |
料金の管理とアラート | 以下の機能を使用して、Alibaba Cloud CDN サービスの料金をモニタリングおよび制限できます。 この機能を設定するには、Alibaba Cloud CDN コンソールの上部ナビゲーションバーにある [料金] にポインターを移動し、[ユーザーセンター] を選択します。
説明 統計の整合性と請求書の正確性を確保するため、Alibaba Cloud CDN は課金サイクル終了後、約 3 時間で請求書を発行します。 関連する料金がアカウントの残高から差し引かれる時点は、課金サイクル内でリソースが消費される時点よりも後である場合があります。 Alibaba Cloud CDN は分散型サービスです。 そのため、Alibaba Cloud CDN リソースの消費明細は請求書に記載されません。 他の CDN プロバイダーでも同様のアプローチが採用されています。 |
参考資料
セキュリティ保護の問題と解決策の詳細については、「よくある質問」をご参照ください。