Anti-DDoS Origin は、Alibaba Cloud サービスに対する DDoS 攻撃に対する緩和機能を強化するセキュリティサービスです。 Anti-DDoS Origin は、Alibaba Cloud リソースを直接保護します。 保護するリソースの IP アドレスを変更したり、レイヤー 4 ポートまたはレイヤー 7 ドメイン名の数に制限を考慮したりする必要はありません。 保護のために、アセットの IP アドレスを Anti-DDoS Origin インスタンスに追加するだけで済みます。 このトピックでは、Anti-DDoS Origin の仕組み、Anti-DDoS Origin の緩和機能、および各 Anti-DDoS Origin エディションの詳細について説明します。
しくみ
Anti-DDoS Origin は、レイヤー 3 およびレイヤー 4 のボリューム攻撃からリソースを保護します。トラフィックが Anti-DDoS Origin のデフォルトのトラフィック スクラビングしきい値を超えると、トラフィック スクラビングが自動的にトリガーされ、DDoS 攻撃が緩和されます。
Anti-DDoS Origin は、主要な緩和アプローチとしてパッシブ スクラビングを採用し、補助的なアプローチとしてアクティブブロッキングを採用して、DDoS 攻撃を緩和します。Anti-DDoS Origin は、逆検出、ブラックリスト、ホワイトリスト、パケットコンプライアンスなどの従来のテクノロジーを使用します。このようにして、Anti-DDoS Origin によって保護されているアセットは、攻撃が進行中でも期待どおりに機能できます。Anti-DDoS Origin は、Alibaba Cloud データセンターのエグレスに DDoS 攻撃検出およびトラフィック スクラビングシステムをデプロイします。このシステムはバイパスモードでデプロイされます。
Anti-DDoS Origin を選択する理由
Anti-DDoS Origin は、インスタンスを購入した直後にサービスの保護を開始します。Anti-DDoS Origin は、少なくとも 1 分以内の迅速なデプロイをサポートしています。Anti-DDoS Origin はクラウド サービスを直接保護します。これにより、緩和計画をデプロイしたり、IP アドレスを切り替えたりする必要がなくなります。
Anti-DDoS Origin はバースト可能な保護を提供します。アセットがボリューム DDoS 攻撃を受けた場合、Anti-DDoS Origin はリージョン内のすべてのリソースを使用して、ベストエフォート型の保護を提供します。
Anti-DDoS Origin は、さまざまなインターネット サービス プロバイダー(ISP)にわたる Alibaba Cloud Border Gateway Protocol(BGP)帯域幅リソースを採用しています。ISP には、China Telecom、China Unicom、China Mobile、中国教育科学研究ネットワーク(CERNET)、および Great Wall Broadband Network が含まれます。1 つの IP アドレスのみを使用して、ISP のネットワークに高速にアクセスできます。
Anti-DDoS Origin は、必要に応じて保護帯域幅を提供します。これにより、大規模なプロモーション、イベントリリース、および重要なサービスのサービスの安定性とセキュリティを確保できます。
Anti-DDoS Origin は、複数の IP アドレス間での保護容量の共有をサポートしています。これにより、複数の IP アドレスの保護が強化されます。
エディション
カテゴリ | エディション | 説明 |
Anti-DDoS Origin 1.0 (サブスクリプション) | エンタープライズ | 新規購入はできなくなりました。 |
Anti-DDoS Origin 2.0 (サブスクリプション) | 中小企業向け包括エディション、エンタープライズ | 通常の Alibaba Cloud サービスのみがサポートされています。Anti-DDoS (拡張) が有効になっている EIP はサポートされていません。
|
Anti-DDoS Origin 2.0 (従量課金制) | エンタープライズ | 通常の Alibaba Cloud サービスと Anti-DDoS (拡張) が有効になっている EIP の両方がサポートされています。 |
保護できるクラウド サービスの種類
明確にするために、Anti-DDoS Origin は、通常の Alibaba Cloud サービスと Anti-DDoS (拡張) が有効になっている Elastic IP (EIP) を区別します。
通常の Alibaba Cloud サービス
これらのサービスにはデフォルトの DDoS 緩和機能があり、中国本土内のリージョンで最大数百 Gbit/s のベストエフォート型の保護を提供します。緩和機能の詳細については、緩和機能をご参照ください。
通常の Alibaba Cloud サービスには、ECS インスタンス、SLB インスタンス、IPv6 ゲートウェイ、Simple Application Server、WAF インスタンス、GA インスタンス、および EIP が含まれます (EIP を購入する際に、次の図に示すように、[セキュリティ保護] を選択し、次に [デフォルト] を選択します)。
Anti-DDoS (拡張) が有効になっている EIP
これらのサービスは DDoS 緩和機能が強化されており、最大 Tbit/s のベストエフォート型の保護を提供します。
EIP に対して Anti-DDoS (拡張) を有効にするには、次の図に示すように、[セキュリティ保護] を選択し、次に [Anti-DDoS (拡張)] を選択します。
緩和機能
Anti-DDoS Origin は、クラウド データセンターのネットワーク容量に依存して、DDoS 攻撃に対するベストエフォート型の保護を提供します。保護レベルは動的であり、Alibaba Cloud がネットワーク インフラストラクチャをアップグレードするにつれて向上しますが、ピーク需要時には低下する可能性があります。Anti-DDoS Origin はエディション 1.0 と 2.0 で利用できますが、エディション 1.0 は新規購入できなくなりました。次の表は、Anti-DDoS Origin 2.0 の参照緩和機能の概要を示しています。
リージョン | 中小企業向け Inclusive Edition の Anti-DDoS Origin 2.0 (サブスクリプション) | Anti-DDoS Origin 2.0 (サブスクリプション) Enterprise | Anti-DDoS Origin 2.0 (従量課金制) エンタープライズ | ||
通常の Alibaba Cloud サービス | 通常の Alibaba Cloud サービス | 通常の Alibaba Cloud サービス | Anti-DDoS (拡張) が有効になっている EIP | ||
中国本土 | 中国 (北京)、中国 (上海)、 中国 (杭州)、中国 (深圳)、中国 (ウランチャブ)、中国 (張家口)、中国 (フフホト)、中国 (河源) | 最大 300 Gbit/s から 600 Gbit/s。 | 最大 Tbit/s。 中国 (北京)、中国 (上海)、および中国 (杭州) でのみ購入できます。 | ||
中国 (成都)、中国 (広州)、中国 (青島) | 最大数十 Gbit/s。 | ||||
中国本土以外のリージョン | 中国 (香港)、シンガポール、日本 (東京)、ドイツ (フランクフルト)、米国 (シリコンバレー)、米国 (バージニア) | 最大数十 Gbit/s。 より高い保護要件については、Anti-DDoS (拡張) が有効になっている EIP を使用することをお勧めします。 | 最大 Tbit/s。 | ||
その他のリージョン | 最大緩和機能は 10 Gbit/s です。Anti-DDoS (拡張) が有効になっている EIP を使用することをお勧めします。 | 最大 Tbit/s。 | |||
機能比較
次の表に、さまざまなエディションの機能を示します。
項目 | Anti-DDoS Origin 1.0 | Anti-DDoS Origin 2.0 (サブスクリプション) | Anti-DDoS Origin 2.0 (従量課金) | |
Enterprise | 中小企業向け Inclusive Edition | Enterprise | Enterprise | |
保護できるオブジェクト | Alibaba Cloud アセット: ECS インスタンス、SLB インスタンス、EIP (NAT ゲートウェイに関連付けられた EIP を含む)、IPv6 ゲートウェイ、シンプル アプリケーション サーバー、WAF インスタンス、GA インスタンス |
| ||
課金方法 | サブスクリプション。 詳細については、「Anti-DDoS Origin 1.0 (サブスクリプション)」をご参照ください。 | サブスクリプション。 詳細については、「Anti-DDoS Origin 2.0 (サブスクリプション)」をご参照ください。 | サブスクリプション。 詳細については、「Anti-DDoS Origin 2.0 (サブスクリプション)」をご参照ください。 | 従量課金。 詳細については、「Anti-DDoS Origin 2.0 (従量課金)」をご参照ください。 |
緩和セッション | 無制限。 | 1 か月あたり 2 セッション。 | 無制限。 | 無制限。 |
保護できるリージョンの数 | 1 つのリージョンにパブリック IP アドレスが割り当てられているアセットを保護します。 | 1 つのリージョンにパブリック IP アドレスが割り当てられているアセットを保護します。 | 現在の Alibaba Cloud アカウント内のすべてのリージョンにパブリック IP アドレスが割り当てられているアセットを保護します。 | 現在の Alibaba Cloud アカウント内のすべてのリージョンにパブリック IP アドレスが割り当てられているアセットを保護します。 |
保護できるアセットのネットワークタイプ | IPv4 アセットまたは IPv6 アセットのいずれかがサポートされています。 | IPv4 アセットまたは IPv6 アセットのいずれかがサポートされています。 | IPv4 アセットと IPv6 アセットの両方がサポートされています。 | IPv4 アセットと IPv6 アセットの両方がサポートされています。 |
保護できる IP アドレスの数 | 最小 100 IP。 | インスタンスの購入時に、1 から 29 までの値を選択できます。 | インスタンスを購入するときに、30 から 2000 まで選択できます。 より高い仕様については、営業担当者にお問い合わせください。 | 最大 2,000。 |
クリーン帯域幅 | インスタンスの購入時に帯域幅を柔軟に選択でき、無制限のスケーリングがサポートされています。 | 50 ~ 1,000 Mbit/s。 | 最小 100 Mbit/s。 |
|
SLS ログ | サポートされています。 | サポートされていません。 | サポートされています。 | サポートされています。 |
複数アカウント管理 | サポートされていません。 | サポートされていません。 | サポートされています。 | サポートされています。 |
インスタンスに指定したクリーン帯域幅は、インスタンスによって保護されているすべての Alibaba Cloud アセットで共有されます。 たとえば、Anti-DDoS Origin インスタンスに追加する 3 つの Alibaba Cloud アセットの合計クリーン帯域幅は 2,000 Mbit/s です。 インスタンスを購入する際には、2,000 Mbit/s を超えるクリーン帯域幅を指定する必要があります。
制限
Anti-DDoS Origin インスタンスは、中国本土でのみ直接購入できます。中国本土以外で Anti-DDoS Origin インスタンスを購入する場合は、アカウント マネージャーにお問い合わせください。アカウント マネージャーへの問い合わせ方法の詳細については、お問い合わせをご参照ください。
Anti-DDoS Origin インスタンスの使用方法
緩和ログ機能を有効にする。この機能を使用して、緩和ログのクエリと分析、および緩和レポートの表示を行うことができます。
ブラックホールフィルタリングイベントとトラフィック クリーニングイベントを表示します。 詳細については、「イベントセンターページを表示する」をご参照ください。