お客様のドメイン名に対する悪意ある攻撃やトラフィックの不正使用などが原因で、帯域幅が増加または膨大なトラフィックが発生した場合、いつもより遥かに超えた消費金額が発生する恐れがありますが、悪意ある攻撃やトラフィックの不正使用によって発生した高額の消費金額を免除または返金できません。このような潜在的リスクを極力回避するため、ここでは、このような状況への対策をご紹介します。
コンソールで、ドメイン名を対象とするアクセスコントロール機能(無料)を有効にし、不要なトラフィックや帯域幅の消費が生じるのを防ぐことをお勧めします。
アクセスコントロール項目 | 機能説明 |
---|---|
ホットリンク防止の設定 | ユーザーのHTTP Request Headerのrefererフィールド値にアクセスコントロールポリシーを設定することにより、アクセス元を制限し、悪意あるユーザーのなりすましを防ぎます。 |
IPブラックリスト/ホワイトリストの設定 | リクエスト側のIPアドレスに対してアクセスコントロールポリシーを設定することにより、アクセス元を効果的に制限し、不正なIPスプーフィング、悪意ある攻撃などをブロックできます。 |
IPアクセス制限の設定 | ユーザー側のIPアドレスを対象に、各ノードの1秒あたりのアクセス回数を制限することで、高頻度なCC攻撃の防御、悪意あるユーザーのなりすましの防止などが可能となります。 |
認証設定 | 設定すると、クライアントは、リクエスト送信時に設定に基づき署名を計算しサーバーに渡す必要があり、CDNノードでサーバーの検証を行い、検証に合格すると、その後の通行が許可されます。 |
UAブラックリスト/ホワイトリストの設定 | ユーザーのHTTPリクエストヘッダーのUser-Agentに対してルールをもとに判断を行い、必要に応じてユーザーのアクセスを許可または拒否します。 |
ダウンストリーム速度制限設定 | Tencent Cloud CDNではダウンストリーム速度制限設定を提供し、単一リンクでのサーバーのダウンストリーム最大スループット速度を設定できるようにしています。 |
トラフィック/帯域幅管理の関連設定(無料)を有効にすることをお勧めします。これにより、ドメイン名のトラフィックまたは帯域幅の消費状況を監視して、アラームを受信し、トラフィック消費の関連情報を速やかに把握できます。
トラフィック管理項目 | 機能説明 |
---|---|
使用量上限の設定 | ドメイン名のトラフィック/帯域幅の使用量を制限したければ、使用量の上限を設定する機能を利用できます。統計サイクル(5分間)で発生したトラフィック/帯域幅が設定した閾値を超えると、CDNサービスを無効にする(すべてのリクエストには404が返されます)ため、異常な消費金額の発生を防げます。 |
Basic Cloud Monitor | Basic Cloud Monitor製品のクラウドサービス監視機能を利用して、CDNサービス下の指定ドメイン名またはプロジェクトのトラフィック・帯域幅の使用状況の監視を設定できます。設定したピーク値に達するとアラーム(Short Message Service、メール、WeChat)が送信されますので、潜在的リスクをすみやかに発見することができます。 |
トラフィックパッケージ管理 | トラフィック課金のユーザーの場合は、コンソール-トラフィックパッケージ管理のところでアラームポリシーを設定し、すべての有効なトラフィックパッケージに対して、その残高が設定した比率に満たなくなった時にアラームを送信するようにできます。 |
お客様の業務に攻撃を受ける潜在的リスクがある場合は、Secure Content Delivery Network (SCDN)のセキュリティアクセラレーションをアクティブにすることをお勧めします。セキュリティアクセラレーションには、分散型DDoSスクラビング、CC攻撃アダプティブレコグニション、インテリジェントWAF防御、BOT行為解析などの多数のセキュリティ保護機能が備わり、ユーザーの業務のためにスピーディーで安定したコンテンツ配信サービスを提供するという前提のもと、全面的なネットワーク攻撃対策機能を提供しています。
Tencent Cloud Content Delivery Network (CDN)またはEnterprise Content Delivery Network (ECDN)のドメイン名に接続し、アクティブにしている場合は、SCDNセキュリティアクセラレーションのワンタッチ起動によって、Web攻撃、DDoS攻撃、CC攻撃などのネットワーク攻撃に対する全方位的な防御を行い、業務の安全性をしっかりと守ることができます。
セキュリティアクセラレーション | 機能概要 |
---|---|
分散型DDoSスクラビング | Content Delivery Network (CDN)の全国に広がる1100+アクセラレーションノードを支えとし、良質なノードを選別して高性能な自社開発DDoSスクラビングモジュールを搭載しています。先進的な特徴認識アルゴリズムをベースに正確なスクラビングを行い、SYN Flood、TCP Flood、ICMP Floodなどのさまざまなトラフィック攻撃を防御します。Tencent Cloudの高い防御性能を誇るマシンルームと連動させ、シングルポイントで最大1TbpsのDDoS攻撃を防御可能です。 |
CC攻撃アダプティブレコグニション | 自社開発のインテリジェントなCC攻撃判定、ブロック特許技術により、プラットフォームに応じてブロックポリシーを推奨し、ユーザーがカスタマイズした多元的ルールと結合させて、不正な攻撃を解析し、ブロックします。回数制限、トラフィック制限などの手段による不正アクセスのフィルタリングが可能です。 |
インテリジェントWAF防御 | Tencentの膨大なWeb攻撃サンプルDBをベースに、アクセスに対して特性のマッチングを行うことで、SQLインジェクション、XSS攻撃、ローカルファイルインクルードなどの各種Web攻撃を効果的に防御し、ユーザーのオリジンサーバーをリアルタイムに保護します。独自のAIエンジンに、Tencentの億単位の脅威情報を融合させて、更にスマートな脅威識別インテリジェンスを構築し、正確かつ効果的に Webの脅威をブロックします。 |
BOT行為解析 | Tencent Cloud WAF(Web Application Firewall)のAI+ルールを融合させたBotプログラム管理機能により、すべてのアクセラレーションリクエストを対して行為の解析を行って、友好的および悪意のあるBotクローラーを選別し、カスタムポリシーの管理にも対応しています。豊富な既知のBot行為DBにより広告、スクリーンショットツール、検索エンジン、サイト監視、リンククエリなどのクローラータイプをカバーし、独自のAI技術で、ユーザーのすべてのリクエスト行為をモデリングし、異常なトラフィックソースをインテリジェントに選別します。 |
高度なアクセスコントロール | 基本IPアドレス、referer、UAブラックリスト/ホワイトリスト以外に、カスタマイズした複雑なアクセスコントロールルールにも対応し、クライアントIP、URI、Referer、User-Agent、Paramsなどのフィールドを指定し、「と等しい」、「を含む」、「を含まない」などのルールによるマッチングを行うことが可能です。業務シナリオに応じ、複数の条件を組み合わせたフィルタリングを行うことができます。 |
この記事はお役に立ちましたか?