檢測傳統負載平衡和應用負載平衡的公網及白名單設定、多可用容災能力、執行個體續約及到期、變更管理等是否存在風險,確保正確應用Server Load Balancer執行個體。避免網路安全風險,提升系統的可靠性。本文為您介紹負載平衡應用最佳實務中的預設規則。
規則名稱 | 規則描述 |
SLB在指定連接埠上開啟HTTPS協議的監聽,視為“合規”。如果SLB執行個體只開啟TCP或者UDP協議的監聽,視為“不適用”。 | |
SLB傳統型Server Load Balancer執行個體開啟訪問日誌,視為“合規”。未啟用7層監聽的執行個體不支援開啟訪問日誌,視為“不適用”。 | |
SLB執行個體為多可用性區域,並且SLB執行個體下所有監聽使用的伺服器組中添加了多個可用性區域的資源,視為“合規”。 | |
ALB負載平衡的伺服器組掛載資源分布在多個可用性區域,視為“合規”。ALB伺服器組無掛載任何資源時不適用本規則,視為“不適用”。 | |
SLB負載平衡存在運行中的監聽,視為“合規”。如果負載平衡建立時間在指定天數(預設7天)內,視為“不適用”。 | |
ALB負載平衡的所有監聽都至少添加了後端伺服器,視為“合規”。如果負載平衡建立時間在指定天數(預設7天)內,視為“不適用”。 | |
SLB執行個體的所有HTTPS類型監聽使用參數指定的安全性原則套件版本,視為“合規”。未設定HTTPS類型監聽的SLB執行個體,視為“不適用”。 | |
ALB負載平衡的所有監聽和轉寄規則均設定了健全狀態檢查,視為“合規”。 | |
SLB負載平衡的所有運行中的監聽都開啟了健全狀態檢查,視為“合規”。 | |
ALB執行個體為多可用性區域執行個體,視為“合規”。如果只選擇了一個可用性區域,當這個可用性區域出現故障時,會影響ALB執行個體,進而影響業務穩定性。 | |
ALB執行個體任意一個監聽的存取控制白名單包含指定的IP地址或網段,視為“合規”。 | |
ALB執行個體所有運行中的監聽都設定了存取控制,視為“合規”。未配置監聽的執行個體不適用本規則,視為“不適用”。 | |
SLB執行個體所有運行中的監聽都設定了存取控制,視為“合規”。未配置監聽的執行個體不適用本規則,視為“不適用”。 | |
SLB執行個體任意一個監聽的存取控制白名單包含指定的IP地址或網段,視為“合規”。 | |
SLB預付費執行個體開啟自動續約,視為“合規”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體,視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
SLB存取控制清單中不包含0.0.0.0/0條目,視為“合規”。 | |
如果設定參數,則檢查SLB執行個體關聯的專用網路在參數指定的範圍內,視為“合規”;如果未設定參數,則檢查SLB執行個體的網路類型為專用網路,視為“合規”。 | |
SLB執行個體開啟釋放保護,視為“合規”。 | |
SLB執行個體為效能保障型執行個體,視為“合規”。 | |
SLB執行個體後端伺服器設定的權重不為0,視為“合規”。 | |
SLB執行個體監聽的連接埠不包含指定的風險連接埠,視為“合規”。 | |
開啟刪除保護功能,可以防止誤操作導致執行個體被釋放。如果已配置則,視為“合規”。 | |
ALB執行個體網路類型為私網,視為“合規”。 | |
SLB執行個體未綁定公網IP,視為“合規”。如果沒有公網需求,建議SLB執行個體不要直接綁定公網IP地址。如果有公網需求,建議購買EIP並和相關SLB執行個體進行綁定,使用EIP更加靈活、同時可使用共用頻寬降低成本。 |