本章處理紅隊(攻擊者視角的風險檢查)分析的第四步:辨識可被放大的合法操作,預先規劃容量保護與降載策略。目標是把可用性風險納入安全討論,讓服務在壓力情境下仍可維持核心功能。

【情境】哪些功能容易形成資源濫用

下列功能是資源濫用的高機率入口:

  • 全量匯出、批次查詢、深層搜尋
  • 多下游 fan-out 與鏈式呼叫
  • 可高頻提交的建立/更新流程
  • 自動重試與回補流程

【判讀流程】容量壓力的紅隊檢查順序

  1. 找昂貴操作:列出 CPU、IO、網路成本最高的路徑。
  2. 算放大倍率:評估單請求可觸發的下游數量與資料量。
  3. 看保護面:檢查 rate limitbackpressuretimeoutload shedding
  4. 排收斂路徑:定義壓力升高時的降級順序與回復條件。

【風險代價】可用性事件常伴隨連鎖效應

資源濫用事件通常從局部延遲開始,接著擴散到 queue、database 與外部依賴,最終形成連鎖降速。若事前已定義容量保護與降級順序,服務可在壓力下保留核心路徑,降低全面停擺機率。

【設計取捨】吞吐最大化與風險收斂

放寬配額可提升短期吞吐;同時也會提高濫用放大空間。常見策略是把高成本操作分層治理:一般流量保持體驗,高成本流量採獨立配額、佇列與回應節奏。

【最低控制面】進入實作前要先定義

  • 高成本操作清單與可接受上限
  • 限速、排隊、拒絕與降級的啟用條件
  • 連鎖失效的隔離策略與告警門檻
  • 壓力情境演練與回復判準

【判讀訊號】何時代表資源濫用風險升高

  • 高成本操作在短時間內出現異常峰值
  • 單請求觸發的下游 fan-out 數量持續上升
  • 重試與回補流量壓過正常業務流量
  • 降級啟用後仍缺少明確回復判準

【風險邊界】到哪裡仍是概念層

本章在概念層回答的是放大路徑、收斂順序與回復節奏。當討論進入配額數值、佇列策略與特定平台擴縮容配置時,章節責任會切到可靠性與部署模組。

【交接點】何時路由到實作章節

  1. 已完成高成本路徑盤點後,交接到 模組六:可靠性驗證流程
  2. 已定義降級與回復事件節奏後,交接到 8.3 止血、降級與回復策略