防 DDoS 攻击
当用户使用外网连接和访问 RDS 实例时,可能会遭受 DDoS 攻击。当 RDS 安全体系认为用户实例正在遭受 DDoS 攻击时,会首先启动流量清洗的功能,如果流量清洗无法抵御攻击或者攻击达到黑洞阈值时,将会进行黑洞处理。
流量清洗和黑洞处理的方法及触发条件如下:
流量清洗:只针对外网流入流量进行清洗,处于流量清洗状态的 RDS 实例可正常访问。
流量清洗的触发和结束由系统自动完成,单个 RDS 实例满足以下任一条件即触发流量清洗:PPS(Package Per Second)达到 3 万;- BPS(Bits Per Second)达到 180Mb;
- 每秒新建并发连接达到 1 万;
- 激活并发连接数达到 1 万;
- 非激活并发连接数达到 10 万。
黑洞处理:只针对外网流入流量进行黑洞处理,处于黑洞状态的 RDS 实例不可被外网访问,此时应用程序通常也处于不可用状态。黑洞处理是保证 RDS 整体服务可用性的一种手段。
黑洞触发条件如下:
- BPS(Bits Per Second)达到 2Gb;
- 流量清洗无效。
黑洞结束条件如下:
[backcolor=transparent]说明: 建议用户通过内网访问 RDS 实例,可以使 RDS 实例免受 DDoS 攻击的风险。
访问控制策略
用户可定义允许访问 RDS 的 IP 地址,指定之外的 IP 地址将被拒绝访问。每个账号只能看到、操作自己的数据库。
系统安全
RDS 处于多层防火墙的保护之下,可以有力地抗击各种恶意攻击,保证数据的安全。RDS 服务器不允许直接登录,只开放特定的数据库服务所需要的端口。RDS 服务器不允许主动向外发起连接,只能接受被动访问。
专业安全团队
阿里云安全团队负责 RDS 的安全技术支持。