Infrastructure security in Elastic Load Balancing - Elastic Load Balancing
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Infrastructure security in Elastic Load Balancing

作为托管服务, Elastic Load Balancing 受到 AWS 在 Amazon Web Services: 安全流程概述 白皮书。

您可以使用 AWS 发布的 API 调用通过网络访问 Elastic Load Balancing。客户端必须支持传输层安全性 (TLS) 1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Ephemeral Diffie-Hellman (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 AWS Security Token Service (AWS STS) 生成临时安全凭证来对请求进行签名。

Network isolation

Virtual Private Cloud (VPC) 是 AWS 云上您自己的逻辑隔离区域中的虚拟网络。子网是 VPC 中的 IP 地址范围。当您创建负载均衡器时,可以为负载均衡器节点指定一个或多个子网。您可以在您的 VPC 的子网中部署 EC2 实例,并将这些实例注册到您的负载均衡器。有关 VPC 和子网的更多信息,请参阅Amazon VPC 用户指南

当您在 VPC 中创建负载均衡器时,它可以面向 Internet,也可以面向内部。内部负载均衡器可路由的请求只能来自对负载均衡器的 VPC 具有访问权限的客户端。

您的负载均衡器会使用私有 IP 地址向已注册目标发送请求。因此,您的目标无需使用公有 IP 地址,即可接收来自负载均衡器的请求。

要从 VPC 中调用 Elastic Load Balancing API 而不通过公有 Internet 发送流量,请使用 AWS PrivateLink。有关更多信息,请参阅 Elastic Load Balancing and interface VPC endpoints。)

Controlling network traffic

Elastic Load Balancing 支持三种类型的负载均衡器:Application Load Balancer、Network Load Balancer 和 Classic Load Balancer。Application Load Balancer 在开放系统互连 (OSI) 模型的请求级别(第 7 层)操作。Network Load Balancer 在 OSI 模型的连接级别(第 4 层)操作。Classic Load Balancer 则同时在请求级别和连接级别操作。

当您使用负载均衡器时,请考虑使用以下选项来保护网络流量:

  • Use secure listeners to support encrypted communication between clients and your load balancers. Application Load Balancer support HTTPS listeners. Network Load Balancer support TLS listeners. Classic Load Balancer support both HTTPS and TLS listeners. You can choose from predefined security policies for your load balancer to specify the cipher suites and protocol versions that are supported by your application. You can use AWS Certificate Manager (ACM) or AWS Identity and Access Management (IAM) to manage the server certificates installed on your load balancer. You can use the Server Name Indication (SNI) protocol to serve multiple secure websites using a single secure listener. SNI is automatically enabled for your load balancer when you associate more than one server certificate with a secure listener.

  • Configure the security groups for your Application Load Balancer and Classic Load Balancer to accept traffic only from specific clients. These security groups must allow inbound traffic from clients on the listener ports and outbound traffic to the clients.

  • Configure the security groups for your Amazon EC2 instances to accept traffic only from the load balancer. These security groups must allow inbound traffic from the load balancer on the listener ports and the health check ports.

  • Configure your 应用程序负载均衡器 to securely authenticate users through an identity provider or using corporate identities. For more information, see Authenticate users using an 应用程序负载均衡器.

  • Use AWS WAF with your Application Load Balancer to allow or block requests based on the rules in a web access control list (web ACL).