OSS沙箱

当您的OSS存储空间(Bucket)遭受攻击或通过Bucket分享违法内容,OSS会自动将Bucket切入沙箱。沙箱中的Bucket仍可以正常响应请求,但服务质量将被降级,具体表现为网络可用性受影响,例如请求超时等。OSS切入沙箱后,您的应用可能会有明显感知。

注意事项

  • 对于被攻击的Bucket,OSS会将其切入沙箱。如果您的Bucket遭受攻击,您需要自行承担因攻击而产生的全额费用。

  • 如果您的用户通过您的Bucket分享涉黄、涉政、涉恐等违法内容,也会导致您的Bucket被切入沙箱。情节严重者,将被追究法律责任。

针对攻击的预防措施

为防止您的Bucket因DDoS和CC攻击等原因被切入沙箱,您可以配置OSS高防或者配置ECS反向代理并绑定高防IP。这两种方案的优劣势说明请参见下表。

方案名称

说明

优势

劣势

方案一:配置OSS高防

OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。为Bucket配置OSS高防后,在Bucket遭受大流量攻击时,OSS高防会将攻击流量牵引至高防集群进行清洗,并将正常访问流量回源到目标Bucket,确保业务的正常进行。

  • 使用场景多样化:同时支持防护Bucket域名以及自定义域名。

  • 成本较低:根据您的高防实例数量、高防防护流量和高防请求次数等收取DDoS防护费用。更多信息,请参见DDoS防护费用

  • 配置简单:支持控制台图形化设置。

防护Bucket的数量有限:每个地域仅可以创建一个高防OSS实例,每个实例最多只能绑定同一地域下的10个Bucket。

方案二:配置ECS反向代理并绑定高防IP

基于安全考虑,Bucket默认域名解析的IP地址是随机变化的。如果您期望使用固定IP地址访问,推荐使用ECS搭建反向代理的方式访问OSS。ECS上的EIP可以绑定高防IP以抵御DDoS攻击和CC攻击。

适合通过固定IP地址访问OSS的场景。

  • 配置复杂:需自行搭建Nginx反向代理。

  • 成本高:需额外购买ECS搭建反向代理。

两种方案实现步骤如下:

  • 方案一:配置OSS高防

    通过OSS控制台为Bucket配置OSS高防的步骤如下:

    1. 创建高防OSS实例。

    2. 绑定Bucket。

      绑定Bucket后,表明高防OSS实例已对Bucket外网域名开始实施保护。

      OSS高防仅支持防护Bucket外网域名(例如oss-cn-hangzhou.aliyuncs.com),不支持防护以下域名类型,例如:

      • 传输加速域名(oss-accelerate.aliyuncs.comoss-accelerate-overseas.aliyuncs.com

      • 接入点域名(例如ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com

      • 对象FC接入点域名(例如fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com

      • 通过IPv6协议访问的Endpoint(例如cn-hangzhou.oss.aliyuncs.com

      • Amazon S3Endpoint(例如s3.oss-cn-hongkong.aliyuncs.com)。

      更多信息,请参见OSS高防

  • 方案二:配置ECS反向代理并绑定高防IP

    配置ECS反向代理并绑定高防IP的步骤如下:

    1. 配置ECS反向代理。

      1. 创建一个CentOS或Ubuntu的ECS实例。具体操作,请参见创建ECS实例

        重要

        如果Bucket有较大的网络流量或访问请求,请提高ECS硬件配置或者搭建ECS集群。

      2. 配置以ECS反向代理的方式访问OSS。具体操作,请参见配置OSS反向代理

    2. 绑定高防IP。

      1. 结合业务情况购买合适的高防IP。购买页面,请参见高防IP

      2. 绑定高防IP。其中,网站填写您ECS绑定的域名,服务器地址选择源站IP,并填写ECS的外网IP地址。其他参数的配置说明,请参见添加网站3

针对违法内容的预防措施

为防止您的Bucket因分享涉黄、涉政、涉恐等违法内容被切入沙箱,建议您使用阿里云内容安全服务的OSS违规检测功能,对您选中的Bucket进行定期的多样化场景检测,有效降低涉黄、涉政、涉恐的风险。

更多信息,请参见OSS内容安全检测

Bucket被切入沙箱如何处理

针对被切入沙箱的Bucket,阿里云不提供Bucket的迁出服务。以下介绍了因攻击或者发布违法内容的原因导致Bucket被切入沙箱后的处理方式。

  • 因攻击原因导致Bucket被切入沙箱

    针对以下两种情况,您需要为Bucket配置OSS高防。

    • 因多次攻击已被切入沙箱的Bucket。

    • 某个账号下的Bucket多次遭受攻击,则该账号下已有的Bucket以及后续新建的Bucket默认也会切入沙箱。

    具体步骤,请参见配置OSS高防。OSS高防配置完成后,进入沙箱的Bucket会自动从沙箱中切换至您的原生IP或者高防IP。

  • 因发布违法内容导致Bucket被切入沙箱

    • 针对已切入沙箱的Bucket,请执行以下操作:

      1. 通过阿里云内容安全服务定期检测您的Bucket,保证不再发布违规内容。具体操作,请参见OSS违规检测

      2. 配置ECS反向代理,并通过代理服务器进行访问。具体操作,请参见方案二:配置ECS反向代理并绑定高防IP

        重要

        请在Bucket所在的Region搭建ECS,并且将proxy_pass填写为Bucket内网域名地址。

    • 如果您账号下多个Bucket同时发布违法内容或单个Bucket多次发布违法内容,则该账号下已有的Bucket以及后续新建的Bucket默认也会切入沙箱。针对这种情况,您需要执行如下步骤:

      1. 开通内容安全服务

      2. 申请新建Bucket默认不进入沙箱

      3. 申请通过后,配置内容安全检测,定期检测您新建的Bucket。