すべてのプロダクト
Search

このプロダクト

    Object Storage Service:OSS サンドボックス

    ドキュメントセンター

    Object Storage Service:OSS サンドボックス

    最終更新日:Feb 22, 2024

    OSS (Object Storage Service) バケットが攻撃を受けている場合、または違法なコンテンツの配信に使用されている場合、OSSはバケットを自動的にサンドボックスに移動します。 サンドボックス内にあるバケットは、依然として要求に応答することができるが、サービスの劣化が生じる可能性がある。 この場合、ネットワークの可用性が影響を受ける可能性があり、要求タイムアウトエラーが返されます。 OSSが自動的にバケットをサンドボックスに移動した後、アプリケーションが操作を認識する可能性があります。

    使用上の注意

    • バケットが攻撃を受けている場合、バケットは自動的にサンドボックスに移動します。 この場合、攻撃に起因するコストを負担する必要があります。

    • ユーザーがバケットを使用してポルノやテロを伴う違法なコンテンツを配布する場合、OSSはバケットもサンドボックスに移動します。 ユーザーは法律違反に対して責任を負います。

    攻撃に対する予防策

    DDoS攻撃やChallenge Collapsar (CC) 攻撃などの攻撃によってバケットがサンドボックスに移動されないようにするには、バケットのOSS DDoS保護を設定します。 Elastic Compute Service (ECS) インスタンスを使用してバケットにアクセスし、ECSインスタンスにAnti-DDoS Proインスタンスを設定することで、リバースプロキシを設定することもできます。 次の表は、2つのソリューションの利点と欠点を示しています。

    解決策

    説明

    利点

    デメリット

    解決策1: OSS DDoS保護の設定

    OSS DDoS保護は、OSSとAnti-DDoSを統合するプロキシベースの攻撃軽減サービスです。 OSS DDoS保護が有効になっているバケットがDDoS攻撃を受けると、OSS DDoS保護は、受信トラフィックをAnti-DDoSインスタンスに転送してスクラブし、通常のトラフィックをバケットにリダイレクトします。 これにより、DDoS攻撃が発生した場合のビジネスの継続性が保証されます。

    • 多様なシナリオ: このソリューションを使用して、バケットドメイン名とバケットにマップされているカスタムドメイン名を保護できます。

    • 低コスト: バケットに設定したAnti-DDoSインスタンスの数、これらのインスタンスによって保護されているトラフィック、およびバケットに送信されたAPIリクエストの数に基づいて、OSS DDoS保護の料金が請求されます。 詳細については、「OSS DDoS保護料金」をご参照ください。

    • シンプルな設定: OSSコンソールでOSS DDoS保護を設定できます。

    限られた数の保護されたバケット: リージョン内に作成できるOSS DDoS保護インスタンスは1つだけです。 各インスタンスは、同じリージョンにある最大10個のバケットにアタッチできます。

    解決策2: ECSインスタンスを使用してバケットにアクセスし、ECSインスタンスにAnti-DDoS Proインスタンスを設定してリバースプロキシを設定する

    データのセキュリティを確保するため、バケットにアクセスするたびに、バケットのデフォルトドメイン名がランダムなIPアドレスに解決されます。 静的IPアドレスを使用してバケットにアクセスする場合は、ECSインスタンスを使用してバケットにアクセスすることでリバースプロキシを設定できます。 ECSインスタンスのelastic IPアドレス (EIP) をAnti-DDoS Proインスタンスに関連付けて、バケットからのDDoS攻撃やCC攻撃を防ぐことができます。

    静的IPアドレスを使用してOSSにアクセスする場合、このソリューションを使用してバケットを保護できます。

    • 複雑な設定: NGINXリバースプロキシを手動で設定する必要があります。

    • 高コスト: NGINXリバースプロキシを設定するには、ECSインスタンスを購入する必要があります。

    手順

    • 解決策1: OSS DDoS保護の設定

      以下の手順を実行します。

      1. Anti-DDoSインスタンスを作成します。

      2. 保護するバケットをAnti-DDoSインスタンスにアタッチします。

        その後、Anti-DDoSインスタンスは、バケットのパブリックエンドポイントを使用して、バケットへのアクセスを保護し始めます。

        OSS DDoS保護は、oss-cn-hangzhou.aliyuncs.comなどのバケットのパブリックエンドポイントのみを使用してアクセスを保護できます。 OSS DDoS Protectionは、次のエンドポイントを使用してアクセスを保護できません。

        • アクセラレーションエンドポイントには、グローバルアクセラレーションエンドポイント (oss-accelerate.aliyuncs.com) と中国本土以外のリージョンのアクセラレーションエンドポイント (oss-accelerate-overseas.aliyuncs.com) が含まれます。

        • ap-01-3b00521f653d2b3223680ec39dbbe2 **** -ossalias.oss-cn-hangzhou.aliyuncs.comなどのアクセスポイントのエンドポイント。

        • fc-ap-01-3b00521f653d2b3223680ec39dbbe2 **** -opapalias.oss-cn-hangzhou.aliyuncs.comなどのオブジェクトFCアクセスポイントのエンドポイント。

        • cn-hangzhou.oss.aliyuncs.comなど、IPv6経由でアクセスされるエンドポイント。

        • Amazon Simple Storage Service (S3) s3.oss-cn-hongkong.aliyuncs.comなどのエンドポイント。

        詳細については、「OSS DDoS保護」をご参照ください。

    • 解決策2: ECSインスタンスを使用してバケットにアクセスし、ECSインスタンスにAnti-DDoS Proインスタンスを設定してリバースプロキシを設定する

      以下の手順を実行します。

      1. ECSインスタンスを使用してバケットにアクセスし、リバースプロキシを設定します。

        1. CentOSまたはUbuntuを実行するECSインスタンスを作成します。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

          重要

          バケットでネットワークトラフィックのバーストやアクセス要求のスパイクが発生した場合は、ECSのハードウェア設定をアップグレードするか、ECSクラスターを作成する必要があります。

        2. ECSインスタンスを使用してバケットにアクセスし、リバースプロキシを設定します。 詳細については、「CentOSを実行するECSインスタンスを使用して、OSSにアクセスするためのリバースプロキシを設定する」をご参照ください。

      2. Anti-DDoS Proインスタンスを設定します。

        1. ビジネス要件に基づいてAnti-DDoS Proインスタンスを購入します。 詳細については、 Anti-DDoS Proのページを購入

        2. Anti-DDoS Proインスタンスを設定します。 [ドメイン] でECSリバースプロキシを使用して保護するバケットのエンドポイントを入力します。 サーバーIPに [オリジンサーバーIP] を選択し、フィールドにECSインスタンスのパブリックIPアドレスを入力します。 他のパラメーターを設定する方法の詳細については、「1つ以上のWebサイトの追加」をご参照ください。3