ApsaraDB RDS (RDS) は、複数の組み込みデータ保護レイヤーを提供します。Alibaba Cloud は基盤となるインフラストラクチャを保護しますが、インスタンスのアクセスの制御を設定する責任はお客様にあります。
仕組み
RDS セキュリティは、ネットワーク境界から内側に向かって、3 つのレイヤーで動作します。
| レイヤー | メカニズム | 機能 |
|---|---|---|
| ネットワーク境界 | DDoS 攻撃の検出と緩和 | インスタンスに到達する前に、悪意のあるトラフィックをブロックします。 |
| アクセスの制御 | IP アドレスホワイトリストとアカウント隔離 | 誰が接続でき、何にアクセスできるかを制限します。 |
| システム隔離 | ファイアウォール、制限されたホストアクセス、およびインバウンドのみの接続 | 各インスタンスの攻撃対象領域を制限します。 |
DDoS 攻撃防止
インターネットに公開されている RDS インスタンスは、分散型サービス拒否 (DDoS) 攻撃に対して脆弱です。攻撃が検出されると、セキュリティシステムは 2 段階で対応します。
トラフィックスクラブ — 悪意のあるインバウンドトラフィックをフィルタリングし、正当なリクエストを通過させます。
ブラックホールフィルタリング — トラフィックスクラブが効果的でない場合、または攻撃ボリュームがブラックホールフィルタリングしきい値を超えた場合、インスタンスの可用性を保護するためにブラックホールフィルタリングがトリガーされます。
重要
RDS インスタンスへのアクセスには、DDoS 攻撃を防ぐために内部ネットワークを使用することを推奨します。詳細については、「攻撃に対する保護」をご参照ください。
アクセスの制御
RDS は、データベースにアクセスできるユーザーを制御するための 2 つのメカニズムをサポートしています。
| メカニズム | 説明 |
|---|---|
| IP アドレスホワイトリスト | ホワイトリスト上の IP アドレスからのリクエストのみが RDS インスタンスへの接続を許可されます。 |
| アカウント隔離 | Alibaba Cloud アカウント間のリソースは論理的に分離されており、各アカウントは自身のデータベースのみを表示および管理できます。 |
詳細については、「アクセスの制御」をご参照ください。
システムセキュリティ
各 RDS インスタンスは、以下のシステムレベルのコントロールによって保護されています。
| コントロール | 説明 |
|---|---|
| 多層ファイアウォール | インスタンスに到達する前に、広範囲のネットワークベースの攻撃をブロックします。 |
| 直接的なホストアクセスなし | RDS インスタンスを実行している物理ホストには直接アクセスできません。インスタンスは、割り当てられたエンドポイントとポートを介してのみ到達可能です。 |
| インバウンドのみの接続 | RDS インスタンスはアウトバウンド接続を開始できません。受信アクセスリクエストのみを受け入れます。 |
詳細については、「ネットワークの隔離」をご参照ください。「」をご参照ください。
プロフェッショナルセキュリティチーム
Alibaba Cloud のセキュリティ専門家は、ApsaraDB RDS インスタンスのセキュリティを確保するためにテクニカルサポートを提供します。