Global Accelerator (GA) は、仮想プライベートクラウド (VPC) にデプロイされたバックエンドサービスをサポートします。これにより、バックエンドサービスがインターネットに公開されるのを防ぎ、安全なネットワーク接続を確保します。また、GA は Alibaba Cloud セキュリティサービスと併用して、攻撃からアプリケーションを保護し、バックエンドサービスへのアクセスのセキュリティを強化することもできます。
VPC にデプロイされたバックエンドサービスへのアクセスを高速化する
GA では、VPC 内の以下のタイプのクラウドリソースをエンドポイントのバックエンドサービスとして追加できます。
インスタンスタイプ | VPC 内のクラウドリソース |
標準 GA インスタンス |
|
ベーシック GA インスタンス |
|
VPC 内の上記のバックエンドサービスを GA インスタンスのエンドポイントとして追加すると、クライアントトラフィックは GA インスタンスのアクセラレーション IP アドレスにアクセスし、Alibaba Cloud のグローバル伝送ネットワークに入ります。その後、トラフィックは VPC 内の対応するバックエンドサービスに直接ルーティングされます。これにより、VPC 内のバックエンドサービスは、パブリック IP アドレスなしでインターネットにサービスを提供できます。
エンドポイントの詳細については、「標準 Global Accelerator インスタンスのエンドポイント」および「ベーシック Global Accelerator インスタンスのエンドポイント」をご参照ください。
攻撃の緩和
GA は、Alibaba Cloud のセキュリティサービスと併用して、アプリケーションを攻撃から保護し、バックエンドサービスへのアクセスのセキュリティを強化できます。
DDoS 対策を使用して DDoS 攻撃を緩和する
DDoS 攻撃は、システムを標的としてサービスを利用できなくする悪意のあるネットワーク攻撃です。セキュリティ保護の要件に基づいて、次の DDoS 対策プロダクトのいずれかを選択できます。
保護プロダクト | |||
緩和機能 | 低 GA は Alibaba Cloud DDoS 対策と統合されています。有効にする必要はありません。これは、GA インスタンスのエンドポイントのアクセラレーション IP アドレスとパブリック IP アドレスに対して、最大 5 Gbps の基本的な DDoS 対策を無料で提供します。無料の最大緩和機能はリージョンによって異なります。 | 高 Anti-DDoS Origin では、GA インスタンスを保護対象オブジェクトとして追加できます。これは、GA インスタンスのエンドポイントのアクセラレーション IP アドレスとパブリック IP アドレスに対して、最大数百 Gbps の無制限の保護を提供します。最大緩和機能はリージョンによって異なります。 | 高 GA は Anti-DDoS Pro および Anti-DDoS Premium に接続できます。Alibaba Cloud のグローバルスクラビングセンターの機能に基づいて、GA インスタンスのセキュア CNAME (セキュアアクセラレーション IP アドレス) に対して最大数 Tbps の緩和機能を提供します。 |
仕組み | Anti-DDoS Basic は、デフォルトのクリーニングしきい値を使用します。これは手動で設定することもできます。トラフィックがクリーニングの条件を満たすと、Anti-DDoS Basic はインターネットからのすべてのインバウンドトラフィックをフィルターしてクリーニングし、UDP リフレクション攻撃や SYN/ACK フラッド攻撃などの一般的なネットワークレイヤーおよびトランスポートレイヤーの攻撃から防御します。ただし、Anti-DDoS Basic は、HTTP フラッド攻撃や CC 攻撃などのアプリケーションレイヤーの攻撃からは防御しません。 1 秒あたりのパケット数 (PPS) と 1 秒あたりのビット数 (BPS) で設定されたトラフィッククリーニングしきい値に加えて、Anti-DDoS Basic は AI 分析も使用します。Alibaba Cloud のビッグデータ機能を活用することで、Anti-DDoS Basic はビジネストラフィックのベースラインを学習し、アルゴリズムを使用して異常な攻撃を特定します。トラフィッククリーニングは、AI 分析が DDoS 攻撃を検出し、トラフィックが設定された BPS または PPS のしきい値に達した場合にのみアクティブになり、通常のトラフィック変動による誤検知を防ぎます。 インバウンドトラフィックが緩和機能 (ブラックホールトリガーしきい値) を超えると、クラウドプロダクトはブラックホールフィルタリングの対象となります。これにより、DDoS 攻撃がクラウドプロダクトにさらなる損害を与えたり、他の資産に影響を与えたりするのを防ぎます。ブラックホールフィルタリングとは、Alibaba Cloud がインターネットからクラウドプロダクトへのすべてのインバウンドトラフィックを一時的にブロックすることを意味します。詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。 | Anti-DDoS Origin は、レイヤー 3 およびレイヤー 4 の分散型サービス妨害 (DDoS) 攻撃を緩和します。インバウンドトラフィックがデフォルトのクリーニングしきい値を超えると、Anti-DDoS Origin は自動的にトラフィックをクリーニングして DDoS 攻撃を緩和します。 Anti-DDoS Origin は、プライマリ防御メカニズムとしてパッシブスクラビングを使用し、セカンダリ防御メカニズムとしてアクティブブロッキングを使用します。リバース検出、ブラックリストとホワイトリスト、パケットコンプライアンスなどの標準技術を使用して、攻撃中に保護されたクラウドプロダクトがサービスを提供し続けられるようにします。Anti-DDoS Origin は、Alibaba Cloud データセンターの出口でバイパスモードで DDoS 攻撃検出およびスクラビングシステムをデプロイします。 | Anti-DDoS Pro および Anti-DDoS Premium でサービスに設定した転送ルール (つまり、Web サイトのドメイン名を指定し、GA のセキュア CNAME をサーバーアドレスとして使用する) に基づいて、GA は、サービスの名前解決またはサービス IP アドレスを Anti-DDoS Pro または Anti-DDoS Premium インスタンスの IP アドレスに向けることで、トラフィックをリダイレクトします。
|
リファレンス |
GA と WAF を統合してアプリケーションのセキュリティを確保する
Web Application Firewall (WAF) は、Web サイトまたはアプリケーションのサービストラフィック内の悪意のあるリクエストを特定し、保護します。WAF がトラフィックを検査してフィルターした後、正当なトラフィックをサーバーに転送します。これにより、サーバーのパフォーマンスを低下させる可能性のある悪意のある侵入を防ぎ、Web サイトサービスとデータのセキュリティを確保します。
WAF の詳細については、「Web Application Firewall とは」および「WAF 3.0 の使用を開始する」をご参照ください。
GA と Cloud Firewall を統合して詳細なトラフィックコントロールを実装する
Cloud Firewall は、インターネット境界、VPC 境界、および内部境界でクラウドネットワーク資産に統一されたセキュリティ分離およびコントロールソリューションを提供します。インターネットファイアウォールはインターネット境界で動作し、すべてのパブリック資産のインバウンドおよびアウトバウンドトラフィックに統一されたコントロールと保護を提供します。インターネットファイアウォールを使用して、パブリック資産とインターネットの間を流れるトラフィックに対して詳細なアクセスの制御を実装できます。これにより、インターネット上でのパブリック資産の公開が減少し、サービストラフィックへのセキュリティリスクが緩和されます。
インターネットファイアウォールによって保護されるパブリック資産には、GA のアクセラレーション IP アドレスが含まれます。GA のアクセラレーション IP アドレスに対してインターネット境界保護を有効にする方法の詳細については、「インターネットファイアウォール」をご参照ください。
GA と Cloud Firewall を使用してトラフィックのリージョン固有のアクセスの制御を実装する方法の詳細については、「GA と Cloud Firewall を使用してリージョン固有のアクセスの制御とアクセラレーションを実装する」をご参照ください。