Edge Security Acceleration (ESA) は、デフォルトで DDoS 対策を提供し、Web サイトを大量の DDoS 攻撃と HTTP フラッド攻撃から保護します。プランに応じて、ESA は、ニーズに合わせて調整できるさまざまな保護機能を備えた DDoS 対策サービスを提供します。ESA は、ダウンタイムを最小限に抑え、Web サイトの運用をできるだけ早く再開できるようにすることを目指しています。
DDoS 対策の仕組み
DDoS 攻撃(分散型サービス拒否攻撃)は、オンラインビジネスを圧倒するために大量のトラフィック(レイヤー 4 攻撃)または多数のリクエスト(レイヤー 7 攻撃)を生成することを特徴としています。攻撃者は複数のコンピューターを制御して、サーバーまたはネットワークリソースに対して多数のデータリクエストを起動し、過負荷のためにサーバーが中断されたり、完全に中断されたりし、最終的に通常のユーザーがオンラインビジネスにアクセスできなくなります。
ESA は、基本的な DDoS 対策と Tbps レベルのベストエフォート保護を含む保護レベルを提供します。デフォルトで ESA に統合されている DDoS 対策は、階層型防御システムを通じて攻撃の影響を迅速に軽減します。ESA のエッジネイティブアーキテクチャは、DDoS 対策を提供しながらアクセラレーションを最大化します。さらに、Web サイトが DDoS 攻撃を受けている場合、ESA は Web サイトの高速化と保護を継続します。これは、そのような場合に高速化を無効にする可能性のある他のプロキシサービスとは異なります。
基本的な DDoS 対策とは
Entrance、Pro、および Premium プランは、デフォルトで基本的な DDoS 対策(またはプラットフォームレベルの保護)を提供します。最大 10 Gbps の DDoS 攻撃から保護できますが、攻撃の影響を軽減するための特定のしきい値または期間は保証されません。
攻撃が発生すると、ESA は接続拠点(POP)で防御します。攻撃が増加し続けると、アクセラレーションの品質に影響を与える可能性があります。Web サイトが DDoS 攻撃の高いリスクに直面している場合、または安定した保護が必要な場合は、Enterprise プランにスペックアップするためにお問い合わせください。
全力防御とは
Enterprise プランをご利用の場合は、最大 Tbps レベルのベストエフォート保護を購入できます。レイヤー 4 プロキシサービスの保護も提供します。
大規模な DDoS 攻撃が発生した場合、すべての ESA POP はリアルタイムで DDoS 攻撃から防御できます。DDoS 攻撃の帯域幅が特定の POP の保護制限を超えると、着信リクエストはより大きな POP にリダイレクトされます。
全力防御は、HTTP DDoS 攻撃対策とディープ ラーニングと保護をサポートしています。
HTTP DDoS 攻撃対策
ベストエフォート保護のみが HTTP DDoS 攻撃対策をサポートしています。
HTTP DDoS 攻撃対策とは
CC 攻撃(レイヤー 7 攻撃)が発生すると、短期間でオリジンサーバーに到達する攻撃が発生する可能性があり、オリジンサーバーのリソースを消費し、通常のユーザーからのアクセスに影響を与えます。CC 攻撃(レイヤー 7 攻撃)が発生すると、一部の攻撃が短期間にオリジンサーバーに到達し、オリジンサーバーのリソースを消費し、通常のユーザーからのアクセスに影響を与える可能性があります。
HTTP DDoS 攻撃対策は、Alibaba Cloud のアンチ DDoS サービスの攻撃と防御の経験から開発された軽減ルールを活用して、オリジンサーバーに向けられた突然の攻撃トラフィックを削減します。
デフォルトでは、保護は [普通] レベルで有効になっています。リスク評価に応じて、セキュリティを強化したり、誤検知を最小限に抑えたりするために調整できます。
HTTP DDoS 攻撃対策の設定
ESA コンソールで、[Webサイト] を選択し、管理する Web サイトの名前をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[防御設定] タブで、[HTTP DDoS 攻撃対策] セクションの [設定] をクリックします。
デフォルトレベルは [普通] です。ニーズに応じて、保護を強化したり、ブロッキングを減らしたりするには、別のレベルを選択します。
[OK] をクリックします。
ディープラーニングと保護
ベストエフォート保護のみがディープ ラーニングと保護をサポートしています。
請求
ディープラーニングと保護によってブロックされた HTTP リクエストは、課金やプラン クォータの対象にはなりません。
ディープラーニングと保護とは
HTTP DDoS 攻撃対策は、一般的なルールを使用して、オリジンサーバーに向けられた攻撃リクエストの量を即座に削減します。ただし、これらのルールは動的な CC 攻撃に対しては不十分な場合があります。
この場合、ディープラーニングと保護がより良い選択肢です。ディープラーニング保護は、インシデント発生後、攻撃の特徴を継続的に分析し、動的な戦略を生成します。これには数分かかる場合があります(一般的なルールでは、リアルタイムで攻撃を軽減し続けます)。これらのインテリジェントな戦略は保護を強化しますが、誤検知が発生する可能性があります。
デフォルトでは、保護は [普通] レベルで有効になっています。リスク評価に応じて、セキュリティを強化したり、誤検知を最小限に抑えたりするために調整できます。
ディープ ラーニングと保護の設定ディープラーニングと保護
ESA コンソールで、[Webサイト] を選択し、管理する Web サイトの名前をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[防御設定] タブで、[ディープ ラーニングと保護] セクションの [設定] をクリックします。
[OK] をクリックします。
保護機能
保護機能は仕様によって異なり、中国本土の保護は、中国本土以外の地域の保護とは独立しています。
攻撃が制限を超えた場合、ブラックホールフィルタリングがアクティブになり、さらなる損傷を防ぐためにすべてのトラフィックが一時的にブロックされます。これにより、Web サイトのサービスが中断されます。
中国本土の場合
30 ~ 300 Gbit/s の保護容量:この保護は、少なくとも 30 Gbps の攻撃から保護し、最大 300 Gbps(例:200 Gbps)の構成可能なバースト対応保護帯域幅を備えています。 30 から設定した制限までの実際の攻撃帯域幅は、バースト対応保護の価格で課金されます。
60 ~ 600 Gbit/s の保護容量:この保護は、少なくとも 60 Gbps の攻撃から保護し、最大 600 Gbps(例:500 Gbps)の構成可能なバースト対応保護帯域幅を備えています。 60 から設定した制限までの実際の攻撃帯域幅は、バースト対応保護の価格で課金されます。
中国本土以外の場合
Anycast を使用した最大 300 Gbit/s の保護容量バースト可能な保護帯域幅の料金なしで、最大 300 Gbit/s の攻撃から保護します。:バースト対応保護帯域幅料金なしで最大 300 Gbit/s の攻撃から保護します。
最大 1 Tbit/s の Anycast による保護容量: バースト可能な保護帯域幅の料金なしで、Tbps レベルの攻撃から保護します。
Anycast を使用した最大 1 Tbit/s の保護容量(月 2 回): バースト可能な保護帯域幅料金なしで、Tbps レベルの攻撃から保護します。ただし、1 か月あたり 2 つの保護セッションのみが提供されます。
バースト対応保護の請求の詳細については、お問い合わせください。
よくある質問
攻撃帯域幅が保護制限を超えた場合、請求はどのように処理されますか?
攻撃帯域幅が保護制限を超えた場合、攻撃帯域幅はバースト対応保護帯域幅の請求に含まれません。
例 1:30 ~ 300 Gbps の容量のベストエフォート保護を購入し、実際の着信攻撃トラフィックが 500 Gbps に達しました。ESA はブラックホールフィルタリングを実行しました。この場合、30 Gbps から 300 Gbps までのバースト対応保護帯域幅は課金されません。
例 2:60 ~ 600 Gbps の容量のベストエフォート保護を購入しました。ただし、同時大規模攻撃によるリソース不足のため、着信攻撃トラフィックが 500 Gbps に達したときに ESA はブラックホールフィルタリングを実装しました。この場合、60 Gbps から 500 Gbps までのバースト対応保護帯域幅は課金されません。
Web サイトのサービスロケーションが購入した保護サービスと異なる場合はどうなりますか?
たとえば、Web サイトのサービスロケーションがグローバルであるが、中国本土のベストエフォート保護のみを購入した場合、ESA は、中国本土以外での攻撃中にトラフィックスクラビングのためにリクエストを中国本土にルーティングします。ただし、ICP 登録規制に準拠するために、中国本土以外で加速された Web サイトでは、地域間の保護は利用できません。
提供状況
Entrance | Pro | Premium | Enterprise | |
DDoS 対策 | 基本 DDoS 対策 | 基本 DDoS 対策 | 基本 DDoS 対策 | 全力防御 |