各パブリック IP アドレスには、最大 5 Gbps の無料の DDoS スクラビングが含まれています。より強力な保護が必要な場合は、Anti-DDoS Origin または Anti-DDoS Pro and Anti-DDoS Premium を使用してください。
セキュリティリスク
分散型サービス妨害 (DDoS) 攻撃では、攻撃者が多数の侵害されたホストを使用して、Web サーバー、アプリケーション API などの標的に対し、一見正当なリクエストを大量に送信します。これらのリクエストにより、帯域幅、CPU、メモリ、接続などのシステムリソースが枯渇し、応答遅延やクラッシュが発生します。正当なユーザーはアクセスできなくなり、金銭的損失やブランド毀損につながります。EC サイト、オンラインゲーム、金融決済などのサービスは一般的な標的であり、特にプロモーション期間や大規模イベント時に狙われやすくなります。
Alibaba Cloud は、各パブリック IP アドレスに対して最大 5 Gbps の無料 Anti-DDoS 保護を提供します。この基本保護には、次の制限があります:
緩和しきい値の制限:近年の攻撃は数百 Gbps に達することがあり、5 Gbps の上限を容易に超過します。攻撃トラフィックがこのしきい値を超えると、ブラックホールフィルタリングがトリガーされ、悪意のないトラフィックを含むサーバー宛てのすべてのインターネットトラフィックが破棄され、サービスが完全に停止します。
保護タイプの制限:Free Edition は、UDP リフレクション攻撃、SYN フラッド、ACK フラッド攻撃など、一般的なネットワークレイヤーおよびトランスポートレイヤー攻撃をスクラビングします。一方、実ユーザーの挙動を模倣して CPU とメモリリソースを枯渇させる HTTP Floods (CC 攻撃) などのアプリケーションレイヤー攻撃には対応できません。
きめ細かいポリシーなし:Free Edition は固定の自動ポリシーを使用します。緩和設定をカスタマイズしたり、詳細な攻撃レポートを取得したりすることはできません。
ベストプラクティス
インターネット公開範囲の最小化
DDoS 攻撃にはパブリック IP アドレスが必要です。サービスが内部向けである場合や特定のネットワークにのみ提供する場合は、インターネットへの公開を避けてください。ECS インスタンスのインターネット公開リスクを低減する、内部ネットワークまたは専用線経由でクラウドサービスにアクセスする、PrivateLink を使用して不要なインターネット通信を削減する をご参照ください。
Anti-DDoS Free Edition の使用
基本の DDoS スクラビングサービスは、購入や設定を必要としません。各パブリック IP アドレスには、500 Mbps から 5 Gbps のスクラビングしきい値があります。このしきい値未満では、攻撃トラフィックは自動的にフィルタリングされ、悪意のないトラフィックは通過します。Free Edition がスクラビングできるのは、UDP リフレクション攻撃、SYN フラッド、ACK フラッド攻撃など、一般的なネットワークレイヤーおよびトランスポートレイヤー攻撃のみです。CC 攻撃などのアプリケーションレイヤー攻撃はスクラビングできません。しきい値を超えると、ブラックホールフィルタリングにより攻撃対象の IP アドレス宛てのすべてのトラフィックが破棄されます。Free Edition は、低ボリュームのネットワークレイヤーおよびトランスポートレイヤーの DDoS 防御に適しています。
Traffic Security - Overview ページに移動します。
アカウント配下のアセットにおける DDoS 攻撃の状態を確認し、攻撃中か、過去に攻撃を受けたかを判断します。
Traffic Security - Asset Center ページに移動します。メニューバーの左上で、アセットのリージョンを選択します。
[ECS] などのクラウド製品タブを選択します。
ECS インスタンス、EIP など、特定のアセットのセキュリティ状態を確認します。
有料 Anti-DDoS エディションの使用
Free Edition は IP アドレスあたり 5 Gbps が上限であり、これを超えるとブラックホールフィルタリングがトリガーされ、サービスが中断します。また、アプリケーションレイヤー攻撃を防御できません。大容量攻撃やアプリケーションレイヤー攻撃を受ける可能性がある場合、または高度な緩和ポリシーが必要な場合は、有料の Anti-DDoS エディションを選択してください。
Anti-DDoS Origin:Elastic Compute Service (ECS)、Server Load Balancer (SLB) などのクラウド製品とネイティブに連携します。IP アドレスや DNS の変更は不要です。攻撃時には、トラフィックが Alibaba Cloud のバックボーンネットワーク上のスクラビングセンターに迂回されます。その後、クリーントラフィックがサーバーに転送されます。メリットとして、透過的な導入、低レイテンシ、Tbps までの緩和能力、CC 攻撃に対するきめ細かいポリシーが挙げられます。Anti-DDoS Origin インスタンスを購入する をご参照ください。
Anti-DDoS Pro and Anti-DDoS Premium:DNS リダイレクションまたは IP ポインティングを使用して、広帯域のグローバル分散型保護ノード経由でトラフィックをルーティングします。クリーントラフィックは、Alibaba Cloud 上かどうかにかかわらずオリジンサーバーに転送されるため、オリジン IP アドレスを秘匿する用途に最適です。Anti-DDoS Proxy インスタンスを購入する をご参照ください。
攻撃状況の確認
Alibaba Cloud は毎日 100,000 件を超える DDoS 攻撃に対応しています。サービスにアクセスできない、タイムアウトが多発する、またはパフォーマンスが低下している場合は、Traffic Security - Overview ページで、現在および過去の攻撃情報を確認してください。
DDoS 攻撃アラートの設定
デフォルトでは、DDoS 攻撃中に通知は送信されません。CloudMonitor alerts (Anti-DDoS Origin) または CloudMonitor alerts (Anti-DDoS Pro and Anti-DDoS Premium) でアラートルールを設定してください:
トラフィックアラート:CloudMonitor で IP アドレスの受信および送信トラフィックのしきい値を設定します。トラフィックがしきい値を超えるとアラートが送信されます。DDoS 攻撃では通常レベルを大幅に上回るトラフィックが発生するため、有効です。
イベントアラート:CloudMonitor で DDoS のブラックホールフィルタリングに関するアラートと、スクラビングイベントに関するアラートを購読します。Anti-DDoS のアクションがトリガーされると、CloudMonitor のアラートチャネルを通じて通知が送信されます。