Object Storage Service (OSS) の DDoS 対策は、プロキシ型サービスであり、OSS を Anti-DDoS Pro および Anti-DDoS Premium と統合することで DDoS 攻撃を緩和します。保護対象のバケットがボリューム型攻撃を受けた場合、OSS の DDoS 対策は攻撃トラフィックを Anti-DDoS インスタンスに迂回し、クリーニング処理を行います。その後、悪意のないトラフィックのみを宛先バケットへ再転送することで、業務継続性を確保します。
シナリオ
DDoS 攻撃は、企業に対して最も有害な攻撃の一つです。企業が DDoS 攻撃を受けると、サービスが中断される可能性があります。これにより、企業イメージの損失、顧客離反、金銭的損失などが生じ、ビジネス運用に深刻な影響を及ぼします。
これらの課題を緩和するため、OSS は Anti-DDoS Pro および Anti-DDoS Premium と深く統合されています。この統合により、数百 Gbps 級の DDoS 攻撃緩和能力、1 秒あたり数百万クエリ(QPS)の保護、数秒単位での攻撃トラフィック切り替えが実現します。これにより、数百 Gbps 級の DDoS フラッド攻撃や、SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood などの攻撃に対しても効果的に防御でき、攻撃中でもサービスの可用性を維持できます。
注意事項
OSS の DDoS 対策は、通常のリクエストを模倣した低流量の不正トラフィックには対応しません。このようなトラフィックを防止するには、ポリシーまたはアクセス制御リスト(ACL)によるアクセスの制御、または Web Application Firewall(WAF)による保護を設定してください。詳細については、「OSS への不正トラフィックのアクセスを防ぐ方法」をご参照ください。
OSS の DDoS 対策は、中規模の CC 攻撃を効果的に緩和できません。
仕組み
以下の図は、OSS の DDoS 対策の動作概要を示しています。
デフォルトでは、OSS は Anti-DDoS Origin を使用してご利用のバケットを保護します。ただし、攻撃トラフィックが Anti-DDoS Origin の保護しきい値を超えると、有効な保護が提供できなくなり、バケットへのアクセスが中断される可能性があります。
OSS の DDoS 対策を有効化すると、攻撃トラフィックが Anti-DDoS Origin の保護しきい値を超えた場合、OSS は攻撃対象のバケットへの全トラフィックを自動的に Anti-DDoS インスタンスへ迂回します。悪意のあるトラフィックはクリーニングセンターでスクラビングおよびフィルタリングされ、悪意のないトラフィックはポートおよびプロトコル転送を通じて宛先バケットへ転送されます。これにより、攻撃中でもバケットへの安定したアクセスが確保されます。
攻撃終了後、バケットへのトラフィックは再度 Anti-DDoS Origin へ切り戻され、保護が継続されます。
制限事項
OSS の DDoS 対策は、以下のリージョンで利用可能です:中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (深セン)、および中国 (香港)。
OSS の DDoS 対策は、
oss-cn-hangzhou.aliyuncs.comのようなバケットのパブリックエンドポイントのみを保護します。以下のタイプのドメイン名は保護対象外です:アクセラレーションエンドポイント(例:
oss-accelerate.aliyuncs.com、oss-accelerate-overseas.aliyuncs.com)アクセスポイントエンドポイント(例:
ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com)オブジェクト FC アクセスポイントエンドポイント(例:
fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com)IPv6 経由でアクセスされるエンドポイント(例:
cn-hangzhou.oss.aliyuncs.com)Amazon S3 エンドポイント(例:
s3.oss-cn-hongkong.aliyuncs.com)
Anti-DDoS インスタンスは、作成後最低 7 日間の利用期間が定められています。この期間内にインスタンスを削除した場合、残りの 7 日分の基本リソース料金が課金されます。課金に関する詳細については、「DDoS 対策の料金」をご参照ください。
各リージョンでは、1 つの Anti-DDoS インスタンスのみを作成できます。また、各インスタンスには、同一リージョン内の最大 10 個のバケットをアタッチできます。
バケットを Anti-DDoS インスタンスにアタッチした後、ブラウザからそのバケット内のリソースをプレビューすることはできません。また、OSS はデフォルトで、バケットに関連付けられたカスタムドメイン名を保護しません。そのため、バケットが攻撃を受けている場合、カスタムドメイン名を使用してそのバケットにアクセスすることはできません。攻撃中でもカスタムドメイン名でバケットにアクセスしたい場合は、OSS の DDoS 対策コンソールで該当のカスタムドメイン名を保護リストに追加する必要があります。各バケットにつき、保護リストに登録できるカスタムドメイン名は最大 5 個です。
保護対象のバケットに設定したいカスタムドメイン名(例:
www.example.com)が、Anti-DDoS Pro および Anti-DDoS Premium の転送ルールで設定された完全一致ドメイン名(例:www.example.com)またはワイルドカードドメイン名(例:*.example.com)と一致する場合、Anti-DDoS Pro コンソール に移動し、該当する完全一致またはワイルドカードドメイン名をデタッチする必要があります。これを実行しないと、攻撃中はカスタムドメイン名経由で OSS にアクセスできなくなります。完全一致またはワイルドカードドメイン名の転送ルールに関する詳細については、「Web サイト構成の追加」をご参照ください。
OSS コンソールを使用した操作手順
Anti-DDoS インスタンスを作成します。
OSS コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
(任意):初めて OSS の DDoS 対策を利用する場合は、Anti-DDoS Pro ページで、今すぐアクティブ化 をクリックします。
Anti-DDoS Pro ページで、Anti-DDoS インスタンスの作成 をクリックし、リージョン を選択します。
OK をクリックします。
バケットをアタッチします。
対象インスタンスの [操作] 列で、バケットの表示およびアタッチ をクリックします。
[バケットの表示とアタッチ] パネルで、[保護されたバケットのアタッチ] をクリックします。
[保護バケットのアタッチ] ダイアログボックスの バケット ドロップダウンリストから、アタッチするバケットを選択します。
既に Anti-DDoS インスタンスにアタッチ済みのバケットは、[保護対象バケット] ドロップダウンリストには表示されません。
OK をクリックします。
バケットをアタッチすると、そのステータスは 初期化中 になります。保護中 にステータスが変更された時点で、Anti-DDoS インスタンスがバケットのドメイン名の保護を開始します。
カスタムドメイン名を保護するには、保護リストにカスタムドメイン名を追加します。
重要OSS はデフォルトで、バケットに関連付けられたカスタムドメイン名を保護しません。そのため、攻撃中はカスタムドメイン名を使用してバケットにアクセスできません。攻撃中でもカスタムドメイン名でバケットにアクセスしたい場合は、保護リストにカスタムドメイン名を追加する必要があります。各バケットにつき、保護リストに登録できるカスタムドメイン名は最大 5 個です。また、登録可能なカスタムドメイン名は、最大 4 つの異なるサイトに属している必要があります。たとえば、
a.mycname.comおよびb.mycname.comは同一サイトに属しますが、c.othercname.comは別のサイトに属します。カスタムドメイン名がバケットにアタッチされていない場合は、まずアタッチする必要があります。詳細については、「カスタムドメイン名のアタッチ」をご参照ください。
カスタムドメイン名が既にバケットにアタッチ済みの場合は、以下の手順で保護リストに追加します:
保護されたバケットの[アクション] 列で、カスタムドメイン名の変更 をクリックします。
保護対象とするカスタムドメイン名を選択します。
OK をクリックします。
Anti-DDoS インスタンスが選択されたカスタムドメイン名の保護を開始します。