阿里云對象存儲OSS原生DDoS防護能力-高防OSS功能解析與實踐

　　背景與場景

　　隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷深入，更多的業(yè)務(wù)上云，更大量的業(yè)務(wù)數(shù)據(jù)產(chǎn)生和使用，為了更好更優(yōu)的提升服務(wù)質(zhì)量。更多的行業(yè)采用內(nèi)容即服務(wù)的架構(gòu)，存儲數(shù)據(jù)流直接面向用戶和終端，在這樣的大背景下，存儲平臺的可用性至關(guān)重要。

　　與此同時，DDoS攻擊是近年來對企業(yè)業(yè)務(wù)危害最大的攻擊手段之一。當(dāng)企業(yè)遭受DDoS攻擊時，可能會導(dǎo)致業(yè)務(wù)中斷，進而導(dǎo)致企業(yè)的形象受損、客戶流失、收益受損等，嚴重影響企業(yè)業(yè)務(wù)的正常運營。

　　如何能夠讓這些基于存儲和內(nèi)容的服務(wù)更加穩(wěn)定、可用，有效應(yīng)對DDoS攻擊的挑戰(zhàn)，有效保護用戶內(nèi)容/數(shù)據(jù)(對象存儲)側(cè)的互聯(lián)網(wǎng)業(yè)務(wù)可用性？

　　高防OSS應(yīng)“云”而生

　　為此，OSS深度集成阿里云DDoS高防產(chǎn)品，提供最高T級DDoS防護能力、百萬QPS防護、秒級攻擊切換能力，可有效抵御SYNFlood、ACKFlood、ICMPFlood、UDPFlood、NTPFlood、SSDPFlood、DNSFlood、HTTPFlood等攻擊。非常適用于業(yè)務(wù)經(jīng)常遭惡意攻擊影響服務(wù)質(zhì)量的場景，實現(xiàn)安全防護。

　　高防OSS作為OSS產(chǎn)品的一個功能，構(gòu)建于OSS平臺之上，提供一站式的OSS安全（防攻擊）能力，旨在為用戶云存儲業(yè)務(wù)提供原生“安全防護”服務(wù)。用戶在開通高防OSS后，在用戶Bucket未受到攻擊時，OSS標(biāo)準域名會被解析到原生防護IP上，維持正常的網(wǎng)絡(luò)狀態(tài)，確保業(yè)務(wù)的低時延；而當(dāng)用戶Bucket受到攻擊時，相關(guān)的訪問流量都將優(yōu)先經(jīng)過高防機房，惡意攻擊流量將在高防流量清洗中心進行清洗過濾，正常的訪問流量通過端口協(xié)議轉(zhuǎn)發(fā)的方式返回給OSS服務(wù)器，從而保障用戶在受到攻擊時能正常訪問OSS。

　　OSS高防優(yōu)勢

　　1)部署簡便、方便易用、無感知（原生+高防雙重防護）

　　用戶只需要在OSS控制臺上進行簡易的配置，就能享受DDoS防護能力。加入防護后，在沒有攻擊的時間段獨享云原生防護實例，維持正常狀態(tài)的網(wǎng)絡(luò)性能，確保業(yè)務(wù)無額外時延；在受到攻擊時，OSS會自動將處于防護狀態(tài)下的bucket通過高防資源池進行流量清洗，從而達到自動切換的效果，保持網(wǎng)絡(luò)服務(wù)可靠性。

　　2)T級防御能力

　　基于阿里云安全產(chǎn)品的DDoS高防能力，可以提供高達T級的防護能力，同時具備完善的四七層防御能力。在流量清洗技術(shù)方面，分別針對網(wǎng)絡(luò)流量型攻擊和資源耗盡型DDoS攻擊，通過自動優(yōu)化防護算法和深度學(xué)習(xí)業(yè)務(wù)流量基線，達到精準識別攻擊IP并自動過濾清洗的目的。

　　3）DDoS防護引擎成熟度高

　　從應(yīng)用與實踐來看，阿里云高防引擎已經(jīng)有上萬企業(yè)用戶在使用，同時也經(jīng)受了雙十一、世界杯直播等極限場景考驗，積累了豐富的防護經(jīng)驗和大量的資源儲備，應(yīng)用廣泛，可以確保為用戶的業(yè)務(wù)保障極致的防攻擊能力。從架構(gòu)上老看，DDoS防護引擎采用高可用網(wǎng)絡(luò)防護集群，避免單點故障和冗余，且處理性能支持彈性擴展。全自動檢測和攻擊策略匹配，提供實時防護，清洗服務(wù)可用性達99.99%。

　　高防OSS實踐指南

　　下面將演示如何創(chuàng)建和使用OSS高防實例，及受到攻擊后防護效果。

　　創(chuàng)建OSS高防實例

　　用戶可以在OSS控制臺主頁面左側(cè)的導(dǎo)航欄下方看到"OSS高防"標(biāo)簽頁，申請試用

　　通過后，可以看到OSS高防功能界面

　　點擊 OSS 高防 ，進入高防配置界面。點擊 創(chuàng)建高防 OSS實例后，選擇地域-確定

　　創(chuàng)建成功后可以在高防配置界面看到對應(yīng)的高防實例。

　　查看和綁定Buckets

　　點擊對應(yīng)行右側(cè)的“查看和綁定 Buckets”，可以看到該實例已綁定的bucket 。

　　點擊 綁定高防 Buckets， 在下拉列表中選擇要綁定的bucket，選中并進入修改自定義域名界面。此后OSS后臺會對相關(guān)bucket進行初始化操作，在初始化操作結(jié)束后會正式對該bucket進行防護。

　　修改自定義域名

　　如果您的Bucket綁定了自定義域名，并且希望在受到攻擊時仍能夠正常通過該自定義域名訪問OSS，那么需要在該界面選中指定的域名?？梢酝ㄟ^ “查看和綁定 Buckets - 操作 - 修改自定義域名” 進入該界面。

　　注意事項

　　1) 在bucket綁定高防實例后，使用標(biāo)準域名（如http://mybucket.oss-cn-hangzhou.aliyuncs.com/mypic.png）訪問該bucket下object時，會自動帶上Content-Disposition: attachment; filename="mypic.png"，導(dǎo)致瀏覽器無法直接預(yù)覽。使用自定義域名訪問時不受限制。

　　2) 高防OSS實例創(chuàng)建后需至少使用7天，若實例在7天內(nèi)被刪除，OSS會收取剩余時間的高防基礎(chǔ)資源費用。具體計費項可以參考DDoS防護費用。

　　3) 每個地域可以創(chuàng)建一個高防OSS實例，每個實例最多只能綁定同一地域下的10個Bucket。

　　4）OSS默認不對Bucket關(guān)聯(lián)的自定義域名進行防護，因此在Bucket遭到攻擊時，無法通過自定義域名正常訪問OSS。如果您希望在Bucket遭受攻擊時可以通過自定義域名訪問Bucket，請在OSS高防控制臺添加要防護的自定義域名。每個Bucket防護的自定義域名數(shù)量上限是5個。

　　5）如果Bucket中要防護的自定義域名（www.example.com）匹配了DDoS高防產(chǎn)品中配置了轉(zhuǎn)發(fā)規(guī)則的相同域名（www.example.com）或泛域名（*.example.com），則需要前往DDoS高防控制臺解綁相同域名或泛域名。否則，在該Bucket受到攻擊時，無法通過該自定義域名正常訪問OSS。

　　有關(guān)同名或泛域名轉(zhuǎn)發(fā)規(guī)則的更多信息，請參見添加網(wǎng)站。