阿里云对象存储OSS原生DDoS防护能力-高防OSS功能解析与实践

　　阿里云对象存储OSS原生DDoS防护能力-高防OSS功能解析与实践

　　背景与场景

　　随着企业数字化转型的不断深入，更多的业务上云，更大量的业务数据产生和使用，为了更好更优的提升服务质量。更多的行业采用内容即服务的架构，存储数据流直接面向用户和终端，在这样的大背景下，存储平台的可用性至关重要。

　　与此同时，DDoS攻击是近年来对企业业务危害最大的攻击手段之一。当企业遭受DDoS攻击时，可能会导致业务中断，进而导致企业的形象受损、客户流失、收益受损等，严重影响企业业务的正常运营。

　　如何能够让这些基于存储和内容的服务更加稳定、可用，有效应对DDoS攻击的挑战，有效保护用户内容/数据(对象存储)侧的互联网业务可用性？

　　高防OSS应“云”而生

　　为此，OSS深度集成阿里云DDoS高防产品，提供最高T级DDoS防护能力、百万QPS防护、秒级攻击切换能力，可有效抵御SYNFlood、ACKFlood、ICMPFlood、UDPFlood、NTPFlood、SSDPFlood、DNSFlood、HTTPFlood等攻击。非常适用于业务经常遭恶意攻击影响服务质量的场景，实现安全防护。

　　高防OSS作为OSS产品的一个功能，构建于OSS平台之上，提供一站式的OSS安全（防攻击）能力，旨在为用户云存储业务提供原生“安全防护”服务。用户在开通高防OSS后，在用户Bucket未受到攻击时，OSS标准域名会被解析到原生防护IP上，维持正常的网络状态，确保业务的低时延；而当用户Bucket受到攻击时，相关的访问流量都将优先经过高防机房，恶意攻击流量将在高防流量清洗中心进行清洗过滤，正常的访问流量通过端口协议转发的方式返回给OSS服务器，从而保障用户在受到攻击时能正常访问OSS。

　　OSS高防优势

　　1)部署简便、方便易用、无感知（原生+高防双重防护）

　　用户只需要在OSS控制台上进行简易的配置，就能享受DDoS防护能力。加入防护后，在没有攻击的时间段独享云原生防护实例，维持正常状态的网络性能，确保业务无额外时延；在受到攻击时，OSS会自动将处于防护状态下的bucket通过高防资源池进行流量清洗，从而达到自动切换的效果，保持网络服务可靠性。

　　2)T级防御能力

　　基于阿里云安全产品的DDoS高防能力，可以提供高达T级的防护能力，同时具备完善的四七层防御能力。在流量清洗技术方面，分别针对网络流量型攻击和资源耗尽型DDoS攻击，通过自动优化防护算法和深度学习业务流量基线，达到精准识别攻击IP并自动过滤清洗的目的。

　　3）DDoS防护引擎成熟度高

　　从应用与实践来看，阿里云高防引擎已经有上万企业用户在使用，同时也经受了双十一、世界杯直播等极限场景考验，积累了丰富的防护经验和大量的资源储备，应用广泛，可以确保为用户的业务保障极致的防攻击能力。从架构上老看，DDoS防护引擎采用高可用网络防护集群，避免单点故障和冗余，且处理性能支持弹性扩展。全自动检测和攻击策略匹配，提供实时防护，清洗服务可用性达99.99%。

　　高防OSS实践指南

　　下面将演示如何创建和使用OSS高防实例，及受到攻击后防护效果。

　　创建OSS高防实例

　　用户可以在OSS控制台主页面左侧的导航栏下方看到"OSS高防"标签页，申请试用

　　通过后，可以看到OSS高防功能界面

　　点击 OSS 高防 ，进入高防配置界面。点击 创建高防 OSS实例后，选择地域-确定

　　创建成功后可以在高防配置界面看到对应的高防实例。

　　查看和绑定Buckets

　　点击对应行右侧的“查看和绑定 Buckets”，可以看到该实例已绑定的bucket 。

　　点击 绑定高防 Buckets， 在下拉列表中选择要绑定的bucket，选中并进入修改自定义域名界面。此后OSS后台会对相关bucket进行初始化操作，在初始化操作结束后会正式对该bucket进行防护。

　　修改自定义域名

　　如果您的Bucket绑定了自定义域名，并且希望在受到攻击时仍能够正常通过该自定义域名访问OSS，那么需要在该界面选中指定的域名。可以通过 “查看和绑定 Buckets - 操作 - 修改自定义域名” 进入该界面。

　　注意事项

　　1) 在bucket绑定高防实例后，使用标准域名（如http://mybucket.oss-cn-hangzhou.aliyuncs.com/mypic.png）访问该bucket下object时，会自动带上Content-Disposition: attachment; filename="mypic.png"，导致浏览器无法直接预览。使用自定义域名访问时不受限制。

　　2) 高防OSS实例创建后需至少使用7天，若实例在7天内被删除，OSS会收取剩余时间的高防基础资源费用。具体计费项可以参考DDoS防护费用。

　　3) 每个地域可以创建一个高防OSS实例，每个实例最多只能绑定同一地域下的10个Bucket。

　　4）OSS默认不对Bucket关联的自定义域名进行防护，因此在Bucket遭到攻击时，无法通过自定义域名正常访问OSS。如果您希望在Bucket遭受攻击时可以通过自定义域名访问Bucket，请在OSS高防控制台添加要防护的自定义域名。每个Bucket防护的自定义域名数量上限是5个。

　　5）如果Bucket中要防护的自定义域名（www.example.com）匹配了DDoS高防产品中配置了转发规则的相同域名（www.example.com）或泛域名（*.example.com），则需要前往DDoS高防控制台解绑相同域名或泛域名。否则，在该Bucket受到攻击时，无法通过该自定义域名正常访问OSS。

　　有关同名或泛域名转发规则的更多信息，请参见添加网站。