Segurança de infraestrutura no Elastic Load Balancing
Por ser um serviço gerenciado, o Elastic Load Balancing é protegido pela segurança da rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte Segurança na Nuvem AWS
Você usa chamadas de API publicadas pela AWS para acessar o Elastic Load Balancing por meio da rede. Os clientes devem oferecer compatibilidade com:
-
Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Isolamento de rede
Uma nuvem virtual privada (VPC) é uma rede virtual na área isolada logicamente na Nuvem AWS. Uma sub-rede é um intervalo de endereços IP em uma VPC. Ao criar um load balancer, é possível especificar uma ou mais sub-redes para os nós do load balancer. Você pode implantar instâncias do EC2 nas sub-redes da sua VPC e registrá-las no load balancer. Para obter mais informações sobre VPC e sub-redes, consulte o Guia do usuário da Amazon VPC.
Quando você cria um load balancer em uma VPC, ele pode ser voltado para a Internet ou interno. Um load balancer interno só pode rotear solicitações de clientes com acesso à VPC para o load balancer.
O load balancer envia solicitações para seus destinos registrados usando endereços IP privados. Portanto, seus destinos não precisam de endereços IP públicos para receber solicitações de um load balancer.
Para chamar a API do Elastic Load Balancing diretamente da sua VPC usando endereços IP privados, use o AWS PrivateLink. Para obter mais informações, consulte Acessar o Elastic Load Balancing usando um endpoint de interface (AWS PrivateLink).
Controlar o tráfego de rede
Considere as opções a seguir para proteger o tráfego de rede ao usar um load balancer:
-
Use receptores protegidos para oferecer suporte à comunicação criptografada entre clientes e seus balanceadores de carga. Application Load Balancers são compatíveis com receptores HTTPS. Network Load Balancers são compatíveis com receptores TLS. Classic Load Balancers são compatíveis com receptores HTTPS e TLS. É possível escolher entre políticas de segurança predefinidas para o load balancer a fim de especificar os pacotes de criptografia e as versões de protocolo compatíveis com seu aplicativo. Você pode usar o AWS Certificate Manager (ACM) ou o AWS Identity and Access Management (IAM) para gerenciar os certificados de servidor instalados no balanceador de carga. É possível usar o protocolo SNI (Server Name Indication) para atender vários sites seguros usando um único listener seguro. O SNI é habilitado automaticamente para o load balancer ao associar mais de um certificado de servidor a um listener seguro.
-
Configure os grupos de segurança para que seus Application Load Balancers e Classic Load Balancers aceitem tráfego somente de clientes específicos. Esses grupos de segurança devem permitir tráfego de entrada de clientes nas portas do listener e tráfego de saída para os clientes.
-
Configure os grupos de segurança para que suas instâncias do Amazon EC2 aceitem tráfego somente do balanceador de carga. Esses grupos de segurança devem permitir tráfego de entrada do load balancer nas portas do listener e nas portas da verificação de integridade.
-
Configure seu Application Load Balancer para autenticar usuários com segurança por meio de um provedor de identidade ou usando identidades corporativas. Para obter mais informações, consulte Como autenticar usuários usando um Application Load Balancer.
-
Use o AWS WAF com seus Application Load Balancers para permitir ou bloquear solicitações com base nas regras de uma lista de controle de acesso da Web (ACL da Web).
