Elastic Load Balancing 中的基础设施安全性 - Elastic Load Balancing
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Elastic Load Balancing 中的基础设施安全性

作为一项托管服务,Elastic Load Balancing 由 Amazon Web Services:安全流程概述白皮书中所述的 AWS 全球网络安全程序提供保护。

您可以使用 AWS 发布的 API 调用通过网络访问 Elastic Load Balancing。客户端必须支持传输层安全性 (TLS) 1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Ephemeral Diffie-Hellman (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 AWS Security Token Service (AWS STS) 生成临时安全凭证来对请求进行签名。

网络隔离

Virtual Private Cloud (VPC) 是 AWS 云内您自己的逻辑隔离区域中的虚拟网络。子网是 VPC 中的 IP 地址范围。当您创建负载均衡器时,可以为负载均衡器节点指定一个或多个子网。您可以在您的 VPC 的子网中部署 EC2 实例,并将这些实例注册到您的负载均衡器。有关 VPC 和子网的更多信息,请参阅Amazon VPC 用户指南

当您在 VPC 中创建负载均衡器时,它可以面向 Internet,也可以面向内部。内部负载均衡器可路由的请求只能来自对负载均衡器的 VPC 具有访问权限的客户端。

您的负载均衡器会使用私有 IP 地址向已注册目标发送请求。因此,您的目标无需使用公有 IP 地址,即可接收来自负载均衡器的请求。

要从 VPC 调用 Elastic Load Balancing API,而不通过公共 Internet 发送流量,请使用 AWS PrivateLink。有关更多信息,请参阅Elastic Load Balancing 和接口 VPC 终端节点

控制网络流量

Elastic Load Balancing 支持三种类型的负载均衡器:Application Load Balancer、Network Load Balancer 和 Classic Load Balancer。Application Load Balancer 在开放系统互连 (OSI) 模型的请求级别(第 7 层)操作。Network Load Balancer 在 OSI 模型的连接级别(第 4 层)操作。Classic Load Balancer 则同时在请求级别和连接级别操作。

当您使用负载均衡器时,请考虑使用以下选项来保护网络流量:

  • 使用安全侦听器来支持客户端与您的负载均衡器之间的加密通信。Application Load Balancer 支持 HTTPS 侦听器。Network Load Balancer 支持 TLS 侦听器。Classic Load Balancer 则同时支持 HTTPS 和 TLS 侦听器。您可以从您的负载均衡器的预定义安全策略中选择,指定您的应用程序支持的密码套件和协议版本。可以使用 AWS Certificate Manager (ACM) 或 AWS Identity and Access Management (IAM) 管理安装在您的负载均衡器上的服务器证书。您可以利用服务器名称指示 (SNI) 协议,使用单个安全侦听器为多个安全网站提供服务。当您将多个服务器证书与安全侦听器关联时,会自动为您的负载均衡器启用 SNI。

  • 为您的 Application Load Balancer 和 Classic Load Balancer 配置安全组,以便以仅接受来自特定客户端的流量。这些安全组必须在侦听器端口上允许来自客户端的入站流量以及流向客户端的出站流量。

  • 为您的 Amazon EC2 实例配置安全组,以仅接受来自负载均衡器的流量。这些安全组必须在侦听器端口和运行状况检查端口上允许来自负载均衡器的入站流量。

  • 配置您的 应用程序负载均衡器,以便通过身份提供商或使用公司身份安全地对用户进行身份验证。有关更多信息,请参阅使用 应用程序负载均衡器 对用户进行身份验证

  • 您可以将 AWS WAF 与您的 Application Load Balancer 结合使用,以根据 Web 访问控制列表 (Web ACL) 中的规则允许或阻止请求。