天天看點

阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐背景與場景高防OSS應“雲”而生OSS高防優勢高防OSS實踐指南注意事項試用申請

背景與場景

随着企業數字化轉型的不斷深入,更多的業務上雲,更大量的業務資料産生和使用,為了更好更優的提升服務品質。更多的行業采用内容即服務的架構,存儲資料流直接面向使用者和終端,在這樣的大背景下,存儲平台的可用性至關重要。

與此同時,DDoS攻擊是近年來對企業業務危害最大的攻擊手段之一。當企業遭受DDoS攻擊時,可能會導緻業務中斷,進而導緻企業的形象受損、客戶流失、收益受損等,嚴重影響企業業務的正常營運。

如何能夠讓這些基于存儲和内容的服務更加穩定、可用,有效應對DDoS攻擊的挑戰,有效保護使用者内容/資料(對象存儲)側的網際網路業務可用性?

高防OSS應“雲”而生

為此,OSS深度內建阿裡雲DDoS高防産品,提供最高T級DDoS防護能力、百萬QPS防護、秒級攻擊切換能力,可有效抵禦SYNFlood、ACKFlood、ICMPFlood、UDPFlood、NTPFlood、SSDPFlood、DNSFlood、HTTPFlood等攻擊。非常适用于業務經常遭惡意攻擊影響服務品質的場景,實作安全防護。

高防OSS作為OSS産品的一個功能,建構于OSS平台之上,提供一站式的OSS安全(防攻擊)能力,旨在為使用者雲存儲業務提供原生“安全防護”服務。使用者在開通高防OSS後,在使用者Bucket未受到攻擊時,OSS标準域名會被解析到原生防護IP上,維持正常的網絡狀态,確定業務的低延遲時間;而當使用者Bucket受到攻擊時,相關的通路流量都将優先經過高防機房,惡意攻擊流量将在高防流量清洗中心進行清洗過濾,正常的通路流量通過端口協定轉發的方式傳回給OSS伺服器,進而保障使用者在受到攻擊時能正常通路OSS。

阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐背景與場景高防OSS應“雲”而生OSS高防優勢高防OSS實踐指南注意事項試用申請

OSS高防優勢

1)部署簡便、友善易用、無感覺(原生+高防雙重防護)

使用者隻需要在OSS控制台上進行簡易的配置,就能享受DDoS防護能力。加入防護後,在沒有攻擊的時間段獨享雲原生防護執行個體,維持正常狀态的網絡性能,確定業務無額外時延;在受到攻擊時,OSS會自動将處于防護狀态下的bucket通過高防資源池進行流量清洗,進而達到自動切換的效果,保持網絡服務可靠性。

2)T級防禦能力

基于阿裡雲安全産品的DDoS高防能力,可以提供高達T級的防護能力,同時具備完善的四七層防禦能力。在流量清洗技術方面,分别針對網絡流量型攻擊和資源耗盡型DDoS攻擊,通過自動優化防護算法和深度學習業務流量基線,達到精準識别攻擊IP并自動過濾清洗的目的。

3)DDoS防護引擎成熟度高

從應用與實踐來看,阿裡雲高防引擎已經有上萬企業使用者在使用,同時也經受了雙十一、世界杯直播等極限場景考驗,積累了豐富的防護經驗和大量的資源儲備,應用廣泛,可以確定為使用者的業務保障極緻的防攻擊能力。從架構上老看,DDoS防護引擎采用高可用網絡防護叢集,避免單點故障和備援,且處理性能支援彈性擴充。全自動檢測和攻擊政策比對,提供實時防護,清洗服務可用性達99.99%。

高防OSS實踐指南

下面将示範如何建立和使用OSS高防執行個體,及受到攻擊後防護效果。

建立OSS高防執行個體

使用者可以在OSS控制台首頁面左側的導航欄下方看到"OSS高防"标簽頁,申請試用

通過後,可以看到OSS高防功能界面

阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐背景與場景高防OSS應“雲”而生OSS高防優勢高防OSS實踐指南注意事項試用申請

點選 OSS 高防 ,進入高防配置界面。點選 建立高防 OSS執行個體後,選擇地域-确定 

阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐背景與場景高防OSS應“雲”而生OSS高防優勢高防OSS實踐指南注意事項試用申請

建立成功後可以在高防配置界面看到對應的高防執行個體。 

檢視和綁定Buckets

點選對應行右側的“檢視和綁定 Buckets”,可以看到該執行個體已綁定的bucket 。

阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐背景與場景高防OSS應“雲”而生OSS高防優勢高防OSS實踐指南注意事項試用申請
阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐背景與場景高防OSS應“雲”而生OSS高防優勢高防OSS實踐指南注意事項試用申請

點選 綁定高防 Buckets, 在下拉清單中選擇要綁定的bucket,選中并進入修改自定義域名界面。此後OSS背景會對相關bucket進行初始化操作,在初始化操作結束後會正式對該bucket進行防護。

修改自定義域名

如果您的Bucket綁定了

自定義域名

,并且希望在受到攻擊時仍能夠正常通過該自定義域名通路OSS,那麼需要在該界面選中指定的域名。可以通過 “檢視和綁定 Buckets - 操作 - 修改自定義域名” 進入該界面。

阿裡雲對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐背景與場景高防OSS應“雲”而生OSS高防優勢高防OSS實踐指南注意事項試用申請

注意事項

1) 在bucket綁定高防執行個體後,使用标準域名(如

http://mybucket.oss-cn-hangzhou.aliyuncs.com/mypic.png

)通路該bucket下object時,會自動帶上Content-Disposition: attachment; filename="mypic.png",導緻浏覽器無法直接預覽。使用自定義域名通路時不受限制。

2) 高防OSS執行個體建立後需至少使用7天,若執行個體在7天内被删除,OSS會收取剩餘時間的高防基礎資源費用。具體計費項可以參考

DDoS防護費用

3) 每個地域可以建立一個高防OSS執行個體,每個執行個體最多隻能綁定同一地域下的10個Bucket。

4)OSS預設不對Bucket關聯的自定義域名進行防護,是以在Bucket遭到攻擊時,無法通過自定義域名正常通路OSS。如果您希望在Bucket遭受攻擊時可以通過自定義域名通路Bucket,請在

OSS高防控制台

添加要防護的自定義域名。每個Bucket防護的自定義域名數量上限是5個。

5)如果Bucket中要防護的自定義域名(

www.example.com

)比對了DDoS高防産品中配置了轉發規則的相同域名(

www.example.com

)或泛域名(

*.example.com

),則需要前往

DDoS高防控制台

解綁相同域名或泛域名。否則,在該Bucket受到攻擊時,無法通過該自定義域名正常通路OSS。

有關同名或泛域名轉發規則的更多資訊,請參見

添加網站

試用申請

可以在

https://oss.console.aliyun.com/ddos

使用高防OSS功能。

繼續閱讀