ドメイン名が悪意のある攻撃やデータ送信の悪用にさらされ、予期しない帯域幅の使用とトラフィックの消費が発生した場合、払い戻しまたは免除の対象とならない高額の請求が発生する可能性があります。 このトピックでは、このようなリスクを軽減する戦略を紹介します。
潜在的なリスク:攻撃または攻撃に類似した行為によって発生する高額請求
攻撃が発生した場合、帯域幅リソースとデータ転送に対して課金されます。
ドメイン名がデータ送信に悪用された場合、高い帯域幅値やトラフィックの急増が発生する可能性があります。 これは攻撃に似ており、帯域幅リソースとデータ転送に対して課金されます。
見込まれる結果:予想よりも高い請求額
ドメイン名が攻撃を受けたり、データ送信に悪用されたりした場合、請求額が想定よりも高額になり、アカウントの残高が使い尽くされる可能性があります。
Edge Security Acceleration (ESA) は、従量課金の課金方法を使用します。 場合によっては、課金サイクルの違い (時間、日、または月ごと) または課金の遅延により、アカウントの残高が0になったときにESAが停止されない場合があります。 請求書は、各請求サイクルが終了してから3〜4時間後に生成されます。 未払い額が猶予期間ポリシーで指定されている金額よりも多い場合を含め、支払いの遅延が発生する場合があります。
Alibaba Cloud では、サービス停止保護を提供しています。 この機能を有効にすると、ESAは猶予期間が終了する前に中断されません。 猶予期間または当座貸越限度額は、アカウントの階層と購入履歴に基づいて決定されます。 当座貸越限度額は毎月リセットされます。
トラブルシューティング方法
高額な請求は、悪意のあるアクセスによって引き起こされるトラフィックスパイクの結果であることが多く、通常よりも大幅に高いコストにつながる可能性があります。 次のセクションでは、トラフィックスパイクのトラブルシューティング方法について説明します。 これは原因を特定するのに役立ちます。 詳細については、「ソリューション」をご参照ください。
トラフィックの急増が発生した場合は、Analyticsページに移動して、異常なクライアントやリファラーの上位IPアドレスなどの詳細情報を確認することを推奨します。 リアルタイムログを分析して、帯域幅スパイクの原因を特定することもできます。 次に、不要なトラフィック帯域幅の消費を回避するために、特定の理由に基づいてコンソールでドメイン名のセキュリティ保護対策を設定します。
トラブルシューティング方法 | 説明 |
ESAは、1時間ごとにパッケージ化される標準ログを提供します。 過去31日以内にWebサイトのアクセスログをローカルPCにダウンロードできます。 標準ログは、アクセラレーションポリシーの最適化、Webサイトの監視、潜在的なリスクの検出、ユーザーの行動の学習に役立ちます。 | |
ESAのリアルタイムログ配信機能を有効にすると、システムログ、アプリケーションログ、またはデバイス操作ログをリアルタイムで収集し、収集したログを特定の宛先に配信して保存および分析できます。 これにより、ビジネスを監視し、データを保護できます。 リアルタイムログに基づいて、問題をトラブルシューティングし、コンテンツ配信のパフォーマンスを向上させることができます。 |
解決策
デフォルトでは、ESAはアクセス制御またはセキュリティ保護機能を提供しません。 ESAは、帯域幅使用量の急増を検出します。 異常なトラフィックが検出された場合、Alibaba Cloud は、トラフィックを抑制するか、サンドボックスにドメイン名を追加するか、または通常のサービストラフィックと異常なトラフィック全体に基づいて他の対策を講じるかどうかを評価します。 詳細については、「バースト帯域幅 /QPSスロットリングルール」をご参照ください。 これにより、他のユーザーに対するサービスの安定性が確保されます。 Alibaba Cloud は、このような状況で発生する可用性の問題について責任を負いません。
システムを正常に実行し、予期せぬ高額請求を防止するために、セキュリティ機能を有効化するか、またはアクセス制御を実行することを推奨します。
セキュリティ設定の構成
保護 | 機能の説明 |
カスタムルールを使用すると、Webサイトのリソースへのユーザーアクセスを制御できます。 Webサイトのカスタムルールを作成するには、条件を満たす受信リクエストに対して実行するブロックやモニターなどの一致条件とアクションを指定します。 | |
Edge Security Acceleration (ESA) を使用してレート制限ルールを作成し、特定の条件に一致するリクエストのレートを制限できます。 たとえば、IPアドレスが特定の期間内に高頻度でWebサイトにアクセスした場合、レート制限ルールを作成してリクエストレートの制限を指定し、スライダーCAPTCHA検証を有効にするか、設定された制限に達した期間のIPアドレスをブラックリストに追加できます。 | |
SQLインジェクション、クロスサイトスクリプティング (XSS) 、コード実行、CRLFインジェクション、リモートファイルの包含、Webシェルなどの侵入攻撃はリスクが高くなりますが、通常、カスタムルールやレート制限ルールを使用して検出することは困難です。 この問題に対処するために、Edge Security Acceleration (ESA) は、OWASP攻撃および最新のオリジンの脆弱性から防御する組み込みのインテリジェントマネージドルールを提供します。 手動の設定や更新なしで、さまざまな種類の攻撃に対する保護を有効にできます。 | |
スキャン保護モジュールは、自動スキャナーの動作と特性を検出して、攻撃者やスキャナーがWebサイトをスキャンするのを防ぎます。 攻撃ソースはブロックされるか、ブラックリストに追加されます。 これにより、webサービスへの侵入のリスクが軽減され、悪意のあるスキャナーによって生成される望ましくないトラフィックが防止されます。 | |
ホワイトリストルールを設定して、指定された特性を持つリクエストを許可し、カスタムルール、レート制限ルール、マネージルール、スキャン保護ルール、ボット管理ルールなどのすべてのルールまたは特定のルールから除外することができます。 | |
ボット管理は、基本モードとプロフェッショナルモードの両方を提供します。 基本モードはサイトの迅速なクローラー管理を可能にし、プロフェッショナルモードはウェブサイトやアプリに合わせて調整するためのより詳細なクローラールールを提供します。 | |
WebサイトがDDoS攻撃を受けている場合、Edge Security Acceleration (ESA) は、このような場合にアクセラレーションを無効にする可能性のある他のプロキシサービスとは異なり、Webサイトを引き続き高速化および保護します。 ESAは、計画に基づいてWebサイトに組み込みのDDoS保護機能を提供します。 |
トラフィックの管理
CloudMonitor を使用して、サービスまたはドメイン名ごとに帯域幅アラートルールを設定し、トラフィックと帯域幅の使用状況をモニタリングし、アラートを送信することを推奨します。 詳細については、「アラートルールの設定」をご参照ください。 予期せぬ帯域幅の突発的な急増が発生した場合は、ドメイン名に対して、個々のリクエストの帯域幅スロットリングやトラフィックスロットリングなどのポリシーを設定することもできます。
特徴 | 機能の説明 |
リアルタイムモニタリング | ドメイン名のピーク帯域幅をリアルタイムでモニタリングする必要がある場合、CloudMonitor を使用できます。 ドメイン名の帯域幅が指定されたしきい値に達すると、テキストメッセージ、電子メール、または DingTalk メッセージで潜在的なリスクが通知されます。 詳細については、「 CloudMonitorの制品ページ 。 |
料金の管理とアラート | 以下の機能を使用して、料金を監視および制限できます。 機能を設定するには、コンソールの上部ナビゲーションバーの [費用] にポインターを移動し、[費用と費用] を選択します。
説明 統計と請求の正確性の整合性を確保するために、ESAは請求サイクルが終了してから約3時間後に請求書を発行します。 |