サービスが頻繁に攻撃される場合は、Web Application Firewall (WAF) が有効になっている Application Load Balancer (ALB) インスタンスを使用してサービスを保護できます。
背景情報
WAF 対応 ALB インスタンスは、特定の種類の ALB インスタンスです。WAF 対応 ALB インスタンスを使用すると、DDoS 攻撃、SQL インジェクション、クロスサイトスクリプティング、悪意のある HTTP リクエスト、SSH ブルートフォース攻撃などの一般的なネットワーク攻撃を防ぐことができます。WAF 対応 ALB インスタンスは、さまざまな HTTP プロトコルとエンコーディングアルゴリズムをサポートしており、詳細かつ正確なセキュリティシステムの構築に役立ちます。WAF 対応 ALB インスタンスの機能の詳細については、WAF 対応 ALB インスタンスの利点を参照してください。WAF の詳細については、WAF とはを参照してください。
WAF 対応 ALB インスタンスの課金ルールについては、ALB 課金ルールを参照してください。
前提条件
ALB Ingress コントローラーがクラスターにインストールされていること。
kubectl クライアントが ACK クラスターに接続されていること。詳細については、クラスターの kubeconfig ファイルを取得し、kubectl を使用してクラスターに接続するを参照してください。
WAF 対応 ALB インスタンスを構成する
ALB インスタンスを作成する場合、または既存の ALB インスタンスの構成を変更する場合は、AlbConfig の edition パラメーターを構成できます。
AlbConfig に edition パラメーターを追加し、値を StandardWithWaf に設定して、ALB インスタンスの WAF を有効にします。
apiVersion: alibabacloud.com/v1
kind: AlbConfig
metadata:
name: alb
spec:
config:
addressType: Internet
edition: StandardWithWaf # WAF保護を有効にします。
zoneMappings:
#...ALB インスタンスで WAF 保護が不要になった場合は、edition パラメーターの値を Standard に設定します。
参照
送信元 IP アドレスに基づいてアクセス制御を適用する方法の詳細については、ACL を構成してアクセス制御を有効にするを参照してください。
クライアント ID を認証する方法の詳細については、HTTPS 相互認証を使用してサービスセキュリティを強化するを参照してください。