Alibaba Cloud は、デフォルトで各パブリック IP アドレスに無料の Anti-DDoS 機能を提供します。この機能は、低ボリュームの DDoS 攻撃から防御できます。大量のトラフィックボリューム、高度なセキュリティ機能、および非常に安定した低レイテンシーの通信を必要とするサービスの場合は、Anti-DDoS Origin または Anti-DDoS Pro および Anti-DDoS Premium を購入し、保護対象オブジェクトと緩和ポリシーを設定してください。
セキュリティリスク
分散型サービス妨害 (DDoS) 攻撃は、今日のインターネットにおける最も重大なセキュリティ脅威の 1 つです。攻撃者は多くの「ゾンビ」ホストを制御して、Web サーバーやアプリケーション API などの単一のターゲットに、一見正当に見えるリクエストを大量に送信します。これらのリクエストは、帯域幅、CPU、メモリ、接続など、サーバーのシステムリソースを即座に使い果たす可能性があります。これにより、サーバーの応答が遅くなったり、クラッシュしたりすることさえあります。その結果、正当なユーザーはサービスにアクセスできなくなり、直接的な金銭的損失につながり、ブランドの評判を損ないます。eコマース、オンラインゲーム、金融決済などのサービスは、DDoS 攻撃の一般的なターゲットです。攻撃のリスクは、プロモーションや主要なイベント中に高くなります。
Alibaba Cloud は、各パブリック IP アドレスに基本的な Anti-DDoS サービスを無料で提供しています。デフォルトの緩和機能は、最大 5 Gbps の保護を提供します。この基本的な保護レイヤーには、次の制限があります。
限定的な緩和しきい値: 現代の攻撃は数十 Gbps、さらには数百 Gbps に達する可能性があるため、5 Gbps の保護制限は簡単に突破されます。攻撃トラフィックがこのしきい値を超えると、システムはブラックホールフィルタリングをトリガーして、Alibaba Cloud リージョナルネットワークの安定性を保護します。ブラックホールフィルタリングは、悪意のないトラフィックと攻撃トラフィックの両方を含む、サーバーへのすべてのインターネットトラフィックを破棄します。これにより、完全なサービス中断が発生します。
限定的な保護タイプ: 無料版は主に、UDP リフレクション攻撃や SYN フラッドなどの一般的なネットワークレイヤーおよびトランスポートレイヤーの攻撃をスクラビングします。HTTP フラッド (CC 攻撃とも呼ばれる) などのアプリケーションレイヤーの攻撃から防御することはできません。CC 攻撃は、実際のユーザーの動作を模倣し、サーバーの CPU およびメモリリソースを消費するため、非常に有害です。
詳細なポリシーなし: 無料版は、画一的な自動ポリシーを使用します。サービスのニーズに基づいて緩和設定をカスタマイズすることはできません。また、詳細な攻撃レポートや分析を取得することもできません。
ベストプラクティス
インターネットへの露出を減らす
DDoS 攻撃は、パブリック IP アドレスを使用してサービスをインターネットに公開している場合にのみ発生します。サービスが内部使用のみであるか、特定のユーザーネットワークにサービスを提供している場合は、インターネットに公開しないようにする必要があります。詳細については、「ECS インスタンスのインターネット露出リスクを軽減する」、「内部ネットワークまたは専用回線を介してクラウドサービスにアクセスする」、および「PrivateLink を使用して不要なインターネット通信を削減する」をご参照ください。
無料の Anti-DDoS エディションを使用する
基本的な DDoS トラフィックスクラビングサービスは、購入や設定なしで使用できます。各パブリック IP アドレスには、500 Mbps から 5 Gbps のトラフィックスクラビングしきい値があります。攻撃トラフィックがこのしきい値を下回る場合、サービスは自動的にトラフィックをスクラビングします。攻撃トラフィックをフィルタリングし、悪意のないトラフィックを通過させます。無料の Anti-DDoS エディションは、UDP リフレクション攻撃、SYN フラッド、ACK フラッド攻撃など、いくつかのタイプのネットワークレイヤーおよびトランスポートレイヤーの攻撃のみをスクラビングできます。無料版は、CC 攻撃などのアプリケーションレイヤーの攻撃をスクラビングできません。しきい値を超えると、ブラックホールフィルタリングがトリガーされます。攻撃された IP アドレスへのすべてのトラフィックは一時的に破棄されます。無料版は、低ボリュームのネットワークレイヤーおよびトランスポートレイヤーの DDoS 攻撃からの防御に適しています。
トラフィックセキュリティ - 概要ページに移動します。
アカウントのアセットの DDoS 攻撃ステータスを表示できます。これにより、アセットが現在 DDoS 攻撃を受けているか、過去に受けたことがあるかを確認できます。
トラフィックセキュリティ - アセットセンターページに移動します。上部のメニューバーの左上隅で、アセットが配置されているリージョンを選択します。
管理したいクラウドプロダクトのタブ (たとえば [ECS]) を選択します。
ECS インスタンスや EIP などの特定のアセットインスタンスのセキュリティステータスを表示できます。
有料の Anti-DDoS エディションを使用する
無料版の緩和機能は限定的です。単一の IP アドレスへの攻撃トラフィックが 5 Gbps を超えると、攻撃された IP アドレスに対してブラックホールフィルタリングがトリガーされ、その IP アドレス上のサービスが中断されます。無料版は、アプリケーションレイヤーの攻撃からも防御できません。大規模な攻撃やアプリケーションレイヤーの攻撃が発生した場合、またはより効果的な高度な緩和ポリシーが必要な場合は、有料の Anti-DDoS エディションを選択する必要があります。
Anti-DDoS Origin: このサービスは、ECS や SLB などのクラウドプロダクトとネイティブに統合されます。IP アドレスや DNS 設定を変更する必要はありません。攻撃が発生すると、トラフィックは Alibaba Cloud バックボーンネットワーク上の専用のトラフィックスクラビングセンターに自動的に転送されます。攻撃トラフィックがフィルタリングされた後、クリーンなサービストラフィックがサーバーに転送されます。このサービスの利点は、透過的なデプロイメントと非常に低いレイテンシーです。最大数百 Gbps、さらには Tbps の緩和機能を提供し、詳細な CC 攻撃緩和ポリシーを提供します。このサービスを有効化するには、「Anti-DDoS Origin インスタンスの購入」をご参照ください。
Anti-DDoS Pro および Anti-DDoS Premium: これらのサービスは、DNS リダイレクションまたは IP ポインティングを使用して、サービストラフィックをグローバルに分散された保護ノードに誘導します。これらのノードは、大規模な帯域幅と強力なトラフィックスクラビング機能を備えており、大規模な DDoS 攻撃から効果的に防御できます。スクラビング後、クリーンなトラフィックは、オリジンサーバーが Alibaba Cloud でホストされているかどうかに関係なく、オリジンサーバーに安全に転送されます。これにより、このサービスは特にオリジン IP アドレスを隠す必要があるシナリオに適しています。これらのサービスを有効化するには、「Anti-DDoS Pro または Anti-DDoS Premium インスタンスの購入」をご参照ください。
攻撃ステータスの表示
パブリック IP アドレスは、DDoS 攻撃の一般的なターゲットです。Alibaba Cloud は、毎日 100,000 件以上の DDoS 攻撃を処理しています。サービスの有効化時に DDoS 攻撃の脅威を考慮しなかったり、関連するセキュリティ強化を実行しなかったりした場合、ネットワークサービスにアクセスできなくなったり、深刻なタイムアウトが発生したり、パフォーマンスが大幅に低下したりすることがあります。これが発生した場合は、トラフィックセキュリティ - 概要ページに移動して、現在および過去の攻撃情報を表示します。
DDoS 攻撃アラートの設定
デフォルトでは、IP アドレスが DDoS 攻撃を受けているときに通知は受信されません。アラートルールを設定して通知を受信できます。詳細については、「CloudMonitor アラート (Anti-DDoS Origin)」および「CloudMonitor アラート (Anti-DDoS Pro および Anti-DDoS Premium)」をご参照ください。
トラフィックアラート: CloudMonitor で、IP アドレスのインバウンドおよびアウトバウンドトラフィックのしきい値を設定できます。トラフィックがしきい値を超えると、アラートが送信されます。DDoS 攻撃は、悪意のないトラフィックよりも大幅に高いトラフィックボリュームを生成することが多いため、これは効果的です。
イベントアラート: CloudMonitor で、DDoS ブラックホールフィルタリングアラートのアラートとスクラビングイベントのアラートをサブスクライブできます。Anti-DDoS アクションがトリガーされると、CloudMonitor アラートチャネルを介して通知が送信されます。