高安全性
防 DDoS 攻击
当用户使用外网连接和访问 RDS 实例时,可能会遭受 DDoS 攻击。当 RDS 安全体系认为用户实例正在遭受 DDoS 攻击时,会首先启动流量清洗的功能,如果流量清洗无法抵御攻击或者攻击达到黑洞阈值时,将会进行黑洞处理。
流量清洗和黑洞处理的方法及触发条件如下:
流量清洗:只针对外网流入流量进行清洗,处于流量清洗状态的 RDS 实例可正常访问。
流量清洗的触发和结束由系统自动完成,单个 RDS 实例满足以下任一条件即触发流量清洗:PPS(Package Per Second)达到 3 万;- BPS(Bits Per Second)达到 180Mb;
- 每秒新建并发连接达到 1 万;
- 激活并发连接数达到 1 万;
- 非激活并发连接数达到 10 万。
黑洞处理:只针对外网流入流量进行黑洞处理,处于黑洞状态的 RDS 实例不可被外网访问,此时应用程序通常也处于不可用状态。黑洞处理是保证 RDS 整体服务可用性的一种手段。
黑洞触发条件如下:
- BPS(Bits Per Second)达到 2Gb;
- 流量清洗无效。
黑洞结束条件如下:
- 黑洞在 2.5 小时后自动解除。
[backcolor=transparent]说明: 建议用户通过内网访问 RDS 实例,可以使 RDS 实例免受 DDoS 攻击的风险。
访问控制策略
用户可定义允许访问 RDS 的 IP 地址,指定之外的 IP 地址将被拒绝访问。每个账号只能看到、操作自己的数据库。
系统安全
RDS 处于多层防火墙的保护之下,可以有力地抗击各种恶意攻击,保证数据的安全。RDS 服务器不允许直接登录,只开放特定的数据库服务所需要的端口。RDS 服务器不允许主动向外发起连接,只能接受被动访问。
专业安全团队
阿里云安全团队负责 RDS 的安全技术支持。
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
阿里云 AI 助理回答
阿里云为保护用户数据库实例免受DDoS(分布式拒绝服务)攻击,采取了多层防护措施。以下是针对RDS(关系型数据库服务)的防DDoS攻击策略和安全措施:
-
流量清洗:
- 当系统检测到RDS实例正遭受DDoS攻击时,会自动启动流量清洗功能,主要针对外网流入的恶意流量进行过滤。
- 触发条件包括:每秒包数(PPS)达到3万、每秒比特率(BPS)达到180Mb、每秒新建并发连接数达到1万、激活并发连接数达到1万或非激活并发连接数达到10万。
- 清洗过程无需用户干预,由系统自动执行,并在攻击减轻后自动结束。
-
黑洞处理:
- 若流量清洗无法有效抵御攻击,或者攻击流量超过特定阈值(BPS达到2Gb),系统将对受影响的RDS实例实施黑洞处理,即阻止所有外网流量进入,以保护整个RDS服务的稳定性。
- 黑洞状态会在2.5小时后自动解除,确保正常服务可以恢复。
-
访问控制策略:
- 用户可以通过配置访问控制列表,指定允许访问RDS实例的IP地址范围,增强访问安全性,限制潜在的恶意访问。
-
系统安全:
- RDS部署在多层防火墙之后,仅开放必要的数据库服务端口,且服务器不允许直接登录或主动向外发起连接,从而减少被攻击的风险。
-
专业安全团队支持:
- 阿里云拥有一支专业的安全团队,负责监控和应对各类安全威胁,包括但不限于DDoS攻击,为用户提供技术支持和保障。
建议: - 尽可能通过内网访问RDS实例,这可以显著降低受到DDoS攻击的风险,因为内网环境相对封闭且更安全。 - 定期审查和更新访问控制策略,确保只有授权的IP能够访问数据库。 - 利用阿里云的安全产品和服务,如云盾等,进一步加强整体安全防御体系。
通过这些综合措施,阿里云致力于为用户提供一个安全、稳定的关系型数据库服务环境。
有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
相关问答