Infrastruktursicherheit in Elastic Load Balancing - Elastic Load Balancing

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit in Elastic Load Balancing

Als verwalteter Service ist Elastic Load Balancing durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API Aufrufe, um über das Netzwerk auf Elastic Load Balancing zuzugreifen. Kunden müssen Folgendes unterstützen:

  • Sicherheit auf Transportschicht (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Cipher-Suites mit perfekter Vorwärtsgeheimhaltung (PFS) wie (Ephemeral Diffie-Hellman) oder DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Darüber hinaus müssen Anfragen mithilfe einer Zugriffsschlüssel-ID und eines geheimen Zugriffsschlüssels, der einem Prinzipal zugeordnet ist, signiert werden. IAM Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Netzwerkisolierung

Eine virtuelle private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der AWS Cloud. Ein Subnetz ist ein Bereich von IP-Adressen in einem. VPC Wenn Sie einen Load Balancer erstellen, können Sie mindestens ein Subnetz für die Load Balancer-Knoten angeben. Sie können EC2 Instances in Ihren Subnetzen bereitstellen VPC und sie bei Ihrem Load Balancer registrieren. Weitere Informationen zu VPC Subnetzen finden Sie im VPCAmazon-Benutzerhandbuch.

Wenn Sie einen Load Balancer in einem erstellenVPC, kann er entweder mit dem Internet verbunden oder intern sein. Ein interner Load Balancer kann nur Anfragen weiterleiten, die von Clients kommen, die Zugriff auf den VPC Load Balancer haben.

Ihr Load Balancer sendet Anfragen über private IP-Adressen an seine registrierten Ziele. Daher benötigen Ihre Ziele keine öffentlichen IP-Adressen, um Anfragen von einem Load Balancer zu empfangen.

Verwenden Sie, um Elastic Load Balancing API von Ihnen aus aufzurufen, VPC indem Sie private IP-Adressen verwenden AWS PrivateLink. Weitere Informationen finden Sie unter Zugriff auf Elastic Load Balancing über einen Schnittstellen-Endpunkt (AWS PrivateLink).

Steuern des Netzwerkverkehrs

Berücksichtigen Sie die folgenden Optionen zum Sichern des Netzwerkverkehrs, wenn Sie einen Load Balancer verwenden:

  • Verwenden Sie sichere Listener, um die verschlüsselte Kommunikation zwischen Clients und Ihren Load Balancern zu unterstützen. Application Load Balancer unterstützen HTTPS Listener. Network Load Balancer unterstützen Listener. TLS Classic Load Balancer unterstützen sowohl als auch HTTPS Listener. TLS Sie können aus vordefinierten Sicherheitsrichtlinien für Ihren Load Balancer wählen, um die Verschlüsselungssammlungen und Protokollversionen anzugeben, die von Ihrer Anwendung unterstützt werden. Sie können AWS Certificate Manager (ACM) oder AWS Identity and Access Management (IAM) verwenden, um die auf Ihrem Load Balancer installierten Serverzertifikate zu verwalten. Sie können das Server Name Indication (SNI) -Protokoll verwenden, um mehrere sichere Websites mit einem einzigen sicheren Listener zu bedienen. SNIwird automatisch für Ihren Load Balancer aktiviert, wenn Sie einem sicheren Listener mehr als ein Serverzertifikat zuordnen.

  • Konfigurieren Sie die Sicherheitsgruppen für Ihre Application Load Balancer und Classic Load Balancer, um nur Datenverkehr von bestimmten Clients anzunehmen. Diese Sicherheitsgruppen müssen eingehenden Datenverkehr von Clients an die Listener-Ports und ausgehenden Datenverkehr zu den Clients zulassen.

  • Konfigurieren Sie die Sicherheitsgruppen für Ihre EC2 Amazon-Instances so, dass sie nur Traffic vom Load Balancer akzeptieren. Diese Sicherheitsgruppen müssen eingehenden Datenverkehr vom Load Balancer an die Listener-Ports und die Zustandsprüfung Ports zulassen.

  • Konfigurieren Sie Ihren Application Load Balancer, um Benutzer über einen Identitätsanbieter oder über Unternehmensidentitäten sicher zu authentifizieren. Weitere Informationen finden Sie unter Authentifizieren von Benutzern mithilfe eines Application Load Balancer.

  • Verwenden Sie diese Option AWS WAFzusammen mit Ihren Application Load Balancers, um Anfragen auf der Grundlage der Regeln in einer Web-Zugriffskontrollliste (WebACL) zuzulassen oder zu blockieren.