インターネット SLB インスタンスの Alibaba Cloud Security のしきい値は、SLB コンソールで確認できます。

Anti-DDoS Basic の概要

Alibaba Cloud は、最大 5 Gbps の Anti-DDoS Basic を SLB に対して提供します。 次の図に示すように、インターネットからのすべてのトラフィックは、SLB に到着する前にまず Alibaba Cloud Security を通過する必要があります。 Anti-DDoS Basic は、一般的な DDoS 攻撃を防御し、SYN フラッド、UDP フラッド、ACK フラッド、ICMP フラッド、DNS フラッドなどの攻撃からサービスを保護します。

Anti-DDoS Basic は、インターネット SLB インスタンスの帯域幅に応じて、スクラブしきい値とブラックホールしきい値を設定します。 受信トラフィックがしきい値に達すると、スクラブまたはブラックホールがトリガーされます。

  • スクラビング:インターネットからの攻撃トラフィックが、スクラビングしきい値を超えた場合、あるいは特定の攻撃トラフィックモデルと一致した場合、Alibaba Cloud Security は攻撃トラフィックのスクラビングを開始します。 スクラビングには、パケットフィルタリング、トラフィック速度制限、パケット速度制限などがあります。
  • ブラックホール:インターネットからの攻撃トラフィックがブラックホールしきい値を超えた場合、ブラックホールが発生し、すべての受信トラフィックがドロップされます。
しきい値は、次の原則に基づいて計算されます。
  • しきい値は、SLB インスタンスの帯域幅、つまり SLB インスタンスの送信帯域幅によって決まります。 しきい値は、インスタンスの帯域幅が高い場合は大きくなり、逆の場合は小さくなります。
  • ブラックホールしきい値は、ユーザーのセキュリティクレジットスコアによって決定されます。
    セキュリティクレジットスコアは、ブラックホールしきい値にのみ影響し、スクラブしきい値には影響しません。
次の手順に従って、しきい値を計算します。
  1. SLB Backstage は、購入した帯域幅に応じてインスタンスが正常に動作できる推奨しきい値を提供します。
    従量課金インスタンスの送信帯域幅は、そのリージョンのピーク帯域幅です。 現時点では、中国本土のピーク帯域幅は 5 ビット/秒です。 詳細については、リージョンごとのピーク帯域幅 をご参照ください。
    • SLB 帯域幅とトラフィックスクラブしきい値 (ビット/秒) の関係
      • SLB 帯域幅が 100 Mbps 以下の場合、デフォルトトラフィックスクラブしきい値 (ビット/秒) は 120 Mbps となります。
      • SLB 帯域幅が 100 Mbps 以上の場合、デフォルトトラフィックスクラブしきい値 (ビット/秒) = 帯域幅 * 1.2 となります。
    • SLB帯域幅とトラフィックスクラブしきい値 (パケット/秒) の関係

      トラフィックスクラブしきい値 (パケット/秒) = (SLB 帯域幅/500) * 150000

      SLB帯域幅はMbit / 秒です。

    • SLB 帯域幅とブラックホールしきい値 (ビット/秒) の関係
      • SLB 帯域幅が 1Gbps 以下の場合、デフォルトのブラックホールしきい値 (ビット/秒) は 2Gbps となります。
      • SLB 帯域幅が 1Gbps 以上の場合、デフォルトのブラックホールしきい値 (ビット/秒) は SLB 帯域幅 * 1.5、または 2Gbps となります。
  2. Alibaba Cloud Security は、推奨値、セキュリティクレジットスコア、および異なるリージョンのリソース条件に従ってしきい値を計算します。
    • トラフィックスクラブしきい値 (ビット/秒) およびトラフィックスクラブしきい値 (パケット/秒) を決めるルール
      最小トラフィックスクラブしきい値 (ビット/秒) は 1,000 Mで、最小トラフィックスクラブしきい値 (パケット/秒) は 300,000 です。
      • SLB の推奨しきい値が最小クリーニングしきい値より小さい場合、最小しきい値が使用されます。
      • SLB の推奨しきい値が最小クリーニングしきい値より大きい場合、推奨しきい値が使用されます。
    • Alibaba Cloud Security は、ユーザーのセキュリティクレジットスコアに基づいてブラックホールしきい値を決めます。

しきい値の確認

SLB コンソールのインスタンスのしきい値は、RAM ユーザーとして確認できます。 確認できない場合は、RAM アカウントに権限を付与する必要があります。 詳細は、「Anti-DDoS Basic への読み取り専用アクセスの許可」をご参照ください。

しきい値を確認するには、以下の手順を実行します。

  1. SLB console にログインします。
  2. 目的のインスタンスのリージョンを選択します。
  3. 目的のインスタンスの横にある、DDoS アイコンにマウスポインタを合わせると、以下のしきい値が表示されます。 このリンクをクリックすると、DDoS コンソールにアクセスして詳細情報を確認できます。
    • トラフィックスクラブしきい値 (ビット/秒):受信トラフィックがこの値を超えた場合、スクラブが実行されます。
    • トラフィックスクラブしきい値 (パケット/秒) :受信トラフィックがこの値を超えた場合、スクラブが実行されます。
    • ブラックホールしきい値: 受信トラフィックがこの値を超えた場合、ブラックホールが実行されます。

Anti-DDoS Basic への読み取り専用アクセスの許可

Anti-DDoS Basic への読み取り専用アクセスを許可するには、以下の手順を実行します。

プライマリアカウントで権限を付与します。
  1. プライマリアカウントで RAM コンソールへログインします。
  2. 左側のナビゲーションメニューで、 [ユーザー管理]をクリックし、目的の RAM ユーザーを検索して [管理] をクリックします。
  3. [ユーザー権限付与ポリシー] をクリックして、[権限付与ポリシーの編集] をクリックします。
  4. 表示されるダイアログボックスで、AliyunYundunDDosReadOnlyAccess を検索して、選択された権限付与ポリシー名リストに追加します。 [OK] をクリックします。

セキュリティクレジットスコアの表示

セキュリティクレジットスコアは、攻撃を受けた履歴、購入履歴、アカウントアクティビティ、セキュリティレベル、期待値などに基づき、 Alibaba Cloud によって提供されます。 セキュリティクレジットスコアが高いほど、無料のブラックホールしきい値が大きくなり、ブラックホールの期間 (ブラックホールの状態が続く期間 ) を短くすることができます。

以下の手順に従ってセキュリティクレジットスコアを表示します。

  1. Anti-DDoS Basic コンソールへログインします。
  2. [Anti-DDoS Basic] > [インスタンス]を選択します。
  3. セキュリティ信用性 の URLをクリックしてアカウントのセキュリティクレジットスコアを確認できます。
    セキュリティ信用性はリージョンに基づいています。