このトピックでは、予期しない高額請求が発生する原因と、その解決策について説明します。 ドメイン名が攻撃に対して脆弱であったり、データ送信に悪用されたりした場合、高い帯域幅値やトラフィックの急増が発生する可能性があります。 この場合、ビジネスは潜在的なリスクにさらされる可能性があります。
リスク1: サンドボックスにドメイン名が追加される可能性があります
サンドボックスの詳細については、「サンドボックスの概要」をご参照ください。
Alibaba Cloud CDNは、数千の高速化ドメイン名に対するコンテンツ配信を提供します。 デフォルトでは、Alibaba Cloud CDNは攻撃に対する保護を提供しません。 高速化ドメイン名が攻撃を受けている場合、Alibaba Cloud CDNは、ドメイン名のサービスステータスや攻撃の影響などの要因に基づいて、攻撃を受けたドメイン名をサンドボックスに追加する権利を有します。 これにより、他のユーザーのCDNサービスが期待どおりに機能します。 攻撃が深刻な場合、同じアカウントの他の高速化ドメイン名もサンドボックスに追加され、アカウントへの新しいドメイン名の追加は制限されます。 高速化ドメイン名がサンドボックスに追加された後、CDNサービスは保証されず、ドメイン名が一定期間使用できない場合があります。
リスク2: 攻撃または攻撃のような活動によって引き起こされる高い請求書
攻撃または攻撃に似たアクティビティによって発生した高額請求の詳細については、「高額請求アラートの設定」をご参照ください。
- 攻撃またはデータ送信の悪用が発生した場合、Alibaba Cloud CDNの帯域幅リソースとデータ転送に対して課金されます。
- ドメイン名が攻撃を受けているか、データ送信のために悪用されている場合、請求額が予想よりも高くなり、アカウントの残高が使い果たされ、料金滞納のためにアカウントが停止される可能性があります。
解決策
Alibaba Cloud CDN が想定どおりに動作し、予期しない高額請求が発生しないようにするには、セキュリティ機能を有効化してネットワークトラフィックを管理することを推奨します。 詳細については、Anti-DDoS のプロダクトページをご覧ください。
アクセス制御の有効化
不要なトラフィックと帯域幅の消費を防止するため、Alibaba Cloud コンソールでドメイン名に対するアクセス制御機能を有効化することを推奨します。
機能 | 説明 |
リファラーベースのホットリンク保護 | お客様の Web サイトシステムに関連するドメイン名など、特定ドメイン名からのリクエストのみを許可するようにリファラーホワイトリストを設定できます。 この方法により、訪問者を特定してフィルタリングし、Web サイトリソースの不正使用を防止できます。 詳細については、「リファラーホワイトリストまたはブラックリストを設定してホットリンク保護を有効化する」「」をご参照ください。 |
URL 署名 | URL 署名機能を使用すると、ポイントオブプレゼンス (POP) と配信元サーバーを連携して、オリジンリソースを不正使用から保護できます。 この方法は安全性と信頼性が高くなっています。詳細については、「URL 署名の設定」「」をご参照ください。 |
リモート認証 | リモート認証機能では、POP を使用してユーザーリクエストを特定の認証サーバーにリダイレクトします。 認証サーバーは、権限のないユーザーによるアクセスからリソースを保護するためにユーザーからのリクエストを検証します。詳細については、「リモート認証の設定」をご参照ください。 |
IP アドレスのブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後は、リアルタイムログ分析とリアルタイムログ配信機能を使用して、ある IP アドレスがドメイン名に頻繁にアクセスしているかどうかを確認できます。 詳細については、「Simple Log Service で Alibaba Cloud CDN のリアルタイムログを配布および分析するためのベストプラクティス」および「」をご参照ください。 悪意のある IP アドレスが特定された場合、その IP アドレスをブロックするように IP ブラックリストまたはホワイトリストを設定できます。 詳細については、「IP ブラックリストまたはホワイトリストの設定」「」をご参照ください。 |
User-Agent ブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後、リアルタイムログ分析およびリアルタイムログ配信機能を使用して、悪意のあるリクエストの User-Agent ヘッダーが特定の値であるかどうかを確認できます。 詳細については、「Simple Log Service で Alibaba Cloud CDN のリアルタイムログを配布および分析するためのベストプラクティス」および「」をご参照ください。 悪意のあるリクエストの User-Agent ヘッダーが特定の値である場合、User-Agent ブラックリストまたはホワイトリストを設定して、特定の値を持つ User-Agent ヘッダーを含むリクエストをブロックできます。 詳細については、「User-Agent ブラックリストまたはホワイトリストの設定」「」をご参照ください。 |
トラフィックの管理
帯域幅管理機能とスロットリング機能を有効化して、ドメイン名のトラフィックと帯域幅使用量をモニタリングし、アラートを受信することを推奨します。
機能 | 説明 |
帯域幅上限 | ドメイン名で消費可能な帯域幅リソースの量を制限する場合は、ドメイン名に対して帯域幅上限を指定できます。 ドメイン名の帯域幅が指定された帯域幅上限に達すると、Alibaba Cloud CDN はドメイン名のアクセラレーションを無効化し、ドメイン名は無効なアドレスに解決されます。 この方法により、想定外の高額請求を防止できます。 詳細については、「帯域幅上限の設定」をご参照ください。 |
個別のリクエストに対するトラフィックスロットリング | 個別のリクエストに対するトラフィックスロットリングを使用すると、POP に送信されるすべてのリクエストのダウンストリーム速度を制限できます。 個別のリクエストに対するトラフィックスロットリングは、ゲームのリリースなど、顧客 Web サイトの運用イベントに対して使用できます。 この方法により、高速化ドメイン名の全体的なピーク帯域幅を制限できます。 詳細については、「個別のリクエストに対するトラフィックスロットリングの設定」をご参照ください。 |
帯域幅調整 | ドメイン名の1日あたりのピーク帯域幅が10 Gbit/sを超え、ドメイン名の帯域幅をAlibaba Cloud CDN に制限する場合は、チケットを起票 重要
|
リアルタイムモニタリング | ドメイン名のピーク帯域幅をリアルタイムでモニタリングする必要がある場合、CloudMonitor を使用できます。 ドメイン名の帯域幅が指定されたしきい値に達すると、テキストメッセージ、電子メール、または DingTalk メッセージで潜在的なリスクが通知されます。 の詳細については、 CloudMonitorの制品ページ。 |
料金の管理とアラート | 以下の機能を使用して、Alibaba Cloud CDN サービスの料金をモニタリングおよび制限できます。 この機能を設定するには、Alibaba Cloud CDN コンソールの上部ナビゲーションバーにある [料金] にポインターを移動し、[ユーザーセンター] を選択します。
説明 統計の整合性と請求書の正確性を確保するため、Alibaba Cloud CDN は課金サイクル終了後、約 3 時間で請求書を発行します。 関連する料金がアカウントの残高から差し引かれる時点は、課金サイクル内でリソースが消費される時点よりも後である場合があります。 Alibaba Cloud CDN は分散型サービスです。 そのため、Alibaba Cloud CDN リソースの消費明細は請求書に記載されません。 他の CDN プロバイダーでも同様のアプローチが採用されています。 |
参考資料
セキュリティ保護の問題と解決策の詳細については、「よくある質問」をご参照ください。