当您的OSS存储空间(Bucket)遭受攻击或通过Bucket分享违法内容,OSS会自动将Bucket切入沙箱。沙箱中的Bucket仍可以正常响应请求,但服务质量将被降级,您的应用可能会有明显感知。
注意事项
- 对于被攻击的Bucket,OSS会将其切入沙箱。如果您的Bucket遭受攻击,您需要自行承担因攻击而产生的全额费用。
- 如果您的用户通过您的Bucket分享涉黄、涉政、涉恐等违法内容,也会导致您的Bucket被切入沙箱。情节严重者,将被追究法律责任。
针对攻击的预防措施
为防止您的Bucket因DDoS和CC攻击等原因被切入沙箱,您可以配置OSS高防或者配置ECS反向代理并绑定高防IP。这两种方案的优劣势如下表所示:
| 方案名称 | 说明 | 优势 | 劣势 |
|---|---|---|---|
| 方案一:配置OSS高防 | OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。为Bucket配置OSS高防后,在Bucket遭受大流量攻击时,OSS高防会将攻击流量牵引至高防集群进行清洗,并将正常访问流量回源到目标Bucket,确保业务的正常进行。 |
|
防护Bucket的数量有限:每个地域仅可以创建一个高防OSS实例,每个实例最多只能绑定同一地域下的10个Bucket。 |
| 方案2:配置ECS反向代理并配置高防IP | 基于安全考虑,Bucket默认域名解析的IP地址是随机变化的。如果您期望使用固定IP地址访问,推荐使用ECS搭建反向代理的方式访问OSS。ECS上的EIP可以绑定高防IP以抵御DDoS攻击和CC攻击。 | 适合通过固定IP地址访问OSS的场景。 |
|
两种方案实现步骤如下:
- 方案一:配置OSS高防
通过OSS控制台为Bucket配置OSS高防的步骤如下:
- 创建高防OSS实例。
- 绑定Bucket。
- 如果需要防护自定义域名,请添加对应的自定义域名。
有关配置OSS高防的注意事项,请参见配置OSS高防。
- 方案二:配置ECS反向代理并绑定高防IP
请按如下步骤配置ECS反向代理并绑定高防IP:
针对违法内容的预防措施
为防止您的Bucket因分享涉黄、涉政、涉恐等违法内容被切入沙箱,建议您使用阿里云内容安全服务的OSS违规检测功能,对您选中的Bucket进行定期的多样化场景检测,有效降低涉黄、涉政、涉恐的风险。
有关使用OSS违规检测功能的更多信息,请参见OSS违规检测。
Bucket被切入沙箱如何处理
针对被切入沙箱的Bucket,阿里云不提供Bucket的迁出服务。以下介绍了因攻击或者发布违法内容的原因导致Bucket被切入沙箱后的处理方式。
- 因攻击原因导致Bucket被切入沙箱
针对以下两种情况,您需要为Bucket配置OSS高防。
- 因多次攻击已被切入沙箱的Bucket。
- 某个账号下的Bucket多次遭受攻击,则在相同账号下新建的Bucket默认也会进入沙箱。
配置步骤,请参见配置OSS高防。OSS高防配置完成后,进入沙箱的Bucket会自动从沙箱中切换至您的原生IP或者高防IP。
- 因发布违法内容导致Bucket被切入沙箱
- 针对已切入沙箱的Bucket,请执行以下操作:
- 如果您账号下多个Bucket同时发布违法内容,或单个Bucket多次发布违法内容,则后续在相同账号下新建的Bucket默认也会进入沙箱。针对这种情况,您需要执行如下步骤:
- 开通内容安全服务。
- 通过工单系统提交新建Bucket默认不进入沙箱申请。
- 申请通过后,配置内容安全检测,定期检测您新建的Bucket。