OSS (Object Storage Service) バケットが攻撃を受けている場合、または違法なコンテンツの配信に使用されている場合、OSSはバケットを自動的にサンドボックスに移動します。 サンドボックス内にあるバケットは、依然として要求に応答することができるが、サービスの劣化が生じる可能性がある。 この場合、ネットワークの可用性が影響を受ける可能性があり、要求タイムアウトエラーが返されます。 OSSが自動的にバケットをサンドボックスに移動した後、アプリケーションが操作を認識する可能性があります。
使用上の注意
バケットが攻撃を受けている場合、バケットは自動的にサンドボックスに移動します。 この場合、攻撃に起因するコストを負担する必要があります。
ユーザーがバケットを使用してポルノやテロを伴う違法なコンテンツを配布する場合、OSSはバケットもサンドボックスに移動します。 ユーザーは法律違反に対して責任を負います。
攻撃に対する予防策
DDoS攻撃やChallenge Collapsar (CC) 攻撃などの攻撃によってバケットがサンドボックスに移動されないようにするには、バケットのOSS DDoS保護を設定します。 Elastic Compute Service (ECS) インスタンスを使用してバケットにアクセスし、ECSインスタンスにAnti-DDoS Proインスタンスを設定することで、リバースプロキシを設定することもできます。 次の表は、2つのソリューションの利点と欠点を示しています。
解決策 | 説明 | 利点 | デメリット |
解決策1: OSS DDoS保護の設定 | OSS DDoS保護は、OSSとAnti-DDoSを統合するプロキシベースの攻撃軽減サービスです。 OSS DDoS保護が有効になっているバケットがDDoS攻撃を受けると、OSS DDoS保護は、受信トラフィックをAnti-DDoSインスタンスに転送してスクラブし、通常のトラフィックをバケットにリダイレクトします。 これにより、DDoS攻撃が発生した場合のビジネスの継続性が保証されます。 |
| 限られた数の保護されたバケット: リージョン内に作成できるOSS DDoS保護インスタンスは1つだけです。 各インスタンスは、同じリージョンにある最大10個のバケットにアタッチできます。 |
解決策2: ECSインスタンスを使用してバケットにアクセスし、ECSインスタンスにAnti-DDoS Proインスタンスを設定してリバースプロキシを設定する | データのセキュリティを確保するため、バケットにアクセスするたびに、バケットのデフォルトドメイン名がランダムなIPアドレスに解決されます。 静的IPアドレスを使用してバケットにアクセスする場合は、ECSインスタンスを使用してバケットにアクセスすることでリバースプロキシを設定できます。 ECSインスタンスのelastic IPアドレス (EIP) をAnti-DDoS Proインスタンスに関連付けて、バケットからのDDoS攻撃やCC攻撃を防ぐことができます。 | 静的IPアドレスを使用してOSSにアクセスする場合、このソリューションを使用してバケットを保護できます。 |
|
手順
解決策1: OSS DDoS保護の設定
以下の手順を実行します。
Anti-DDoSインスタンスを作成します。
保護するバケットをAnti-DDoSインスタンスにアタッチします。
その後、Anti-DDoSインスタンスは、バケットのパブリックエンドポイントを使用して、バケットへのアクセスを保護し始めます。
OSS DDoS保護は、
oss-cn-hangzhou.aliyuncs.com
などのバケットのパブリックエンドポイントのみを使用してアクセスを保護できます。 OSS DDoS Protectionは、次のエンドポイントを使用してアクセスを保護できません。アクセラレーションエンドポイントには、グローバルアクセラレーションエンドポイント (
oss-accelerate.aliyuncs.com
) と中国本土以外のリージョンのアクセラレーションエンドポイント (oss-accelerate-overseas.aliyuncs.com
) が含まれます。ap-01-3b00521f653d2b3223680ec39dbbe2 **** -ossalias.oss-cn-hangzhou.aliyuncs.com
などのアクセスポイントのエンドポイント。fc-ap-01-3b00521f653d2b3223680ec39dbbe2 **** -opapalias.oss-cn-hangzhou.aliyuncs.com
などのオブジェクトFCアクセスポイントのエンドポイント。cn-hangzhou.oss.aliyuncs.com
など、IPv6経由でアクセスされるエンドポイント。Amazon Simple Storage Service (S3)
s3.oss-cn-hongkong.aliyuncs.com
などのエンドポイント。
詳細については、「OSS DDoS保護」をご参照ください。
解決策2: ECSインスタンスを使用してバケットにアクセスし、ECSインスタンスにAnti-DDoS Proインスタンスを設定してリバースプロキシを設定する
以下の手順を実行します。
ECSインスタンスを使用してバケットにアクセスし、リバースプロキシを設定します。
CentOSまたはUbuntuを実行するECSインスタンスを作成します。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
重要バケットでネットワークトラフィックのバーストやアクセス要求のスパイクが発生した場合は、ECSのハードウェア設定をアップグレードするか、ECSクラスターを作成する必要があります。
ECSインスタンスを使用してバケットにアクセスし、リバースプロキシを設定します。 詳細については、「CentOSを実行するECSインスタンスを使用して、OSSにアクセスするためのリバースプロキシを設定する」をご参照ください。
Anti-DDoS Proインスタンスを設定します。
ビジネス要件に基づいてAnti-DDoS Proインスタンスを購入します。 詳細については、 Anti-DDoS Proのページを購入。
Anti-DDoS Proインスタンスを設定します。 [ドメイン] でECSリバースプロキシを使用して保護するバケットのエンドポイントを入力します。 サーバーIPに [オリジンサーバーIP] を選択し、フィールドにECSインスタンスのパブリックIPアドレスを入力します。 他のパラメーターを設定する方法の詳細については、「1つ以上のWebサイトの追加」をご参照ください。