檢測傳統負載均衡和應用負載均衡的公網及白名單設置、多可用容災能力、實例續費及到期、變更管理等是否存在風險,確保正確應用負載均衡實例。避免網絡安全風險,提升系統的可靠性。本文為您介紹負載均衡應用最佳實踐中的默認規則。
規則名稱 | 規則描述 |
SLB在指定端口上開啟HTTPS協議的監聽,視為“合規”。如果SLB實例只開啟TCP或者UDP協議的監聽,視為“不適用”。 | |
SLB傳統型負載均衡實例開啟訪問日志,視為“合規”。未啟用7層監聽的實例不支持開啟訪問日志,視為“不適用”。 | |
SLB實例為多可用區,并且SLB實例下所有監聽使用的服務器組中添加了多個可用區的資源,視為“合規”。 | |
ALB負載均衡的服務器組掛載資源分布在多個可用區,視為“合規”。ALB服務器組無掛載任何資源時不適用本規則,視為“不適用”。 | |
SLB負載均衡存在運行中的監聽,視為“合規”。如果負載均衡創建時間在指定天數(默認7天)內,視為“不適用”。 | |
ALB負載均衡的所有監聽都至少添加了后端服務器,視為“合規”。如果負載均衡創建時間在指定天數(默認7天)內,視為“不適用”。 | |
SLB實例的所有HTTPS類型監聽使用參數指定的安全策略套件版本,視為“合規”。未設置HTTPS類型監聽的SLB實例,視為“不適用”。 | |
ALB負載均衡的所有監聽和轉發規則均設置了健康檢查,視為“合規”。 | |
SLB負載均衡的所有運行中的監聽都開啟了健康檢查,視為“合規”。 | |
ALB實例為多可用區實例,視為“合規”。如果只選擇了一個可用區,當這個可用區出現故障時,會影響ALB實例,進而影響業務穩定性。 | |
ALB實例任意一個監聽的訪問控制白名單包含指定的IP地址或網段,視為“合規”。 | |
ALB實例所有運行中的監聽都設置了訪問控制,視為“合規”。未配置監聽的實例不適用本規則,視為“不適用”。 | |
SLB實例所有運行中的監聽都設置了訪問控制,視為“合規”。未配置監聽的實例不適用本規則,視為“不適用”。 | |
SLB實例任意一個監聽的訪問控制白名單包含指定的IP地址或網段,視為“合規”。 | |
SLB預付費實例開啟自動續費,視為“合規”。 | |
對于預付費資源,需要提前續費,避免出現因費用問題停機。預付費實例到期時間距離檢查時間大于設置的天數,視為“合規”。默認值:30天。開啟自動續費的實例,視為“合規”。后付費資源實例不適用本規則,視為“不適用”。 | |
SLB訪問控制列表中不包含0.0.0.0/0條目,視為“合規”。 | |
如果設定參數,則檢查SLB實例關聯的專有網絡在參數指定的范圍內,視為“合規”;如果未設定參數,則檢查SLB實例的網絡類型為專有網絡,視為“合規”。 | |
SLB實例開啟釋放保護,視為“合規”。 | |
SLB實例為性能保障型實例,視為“合規”。 | |
SLB實例后端服務器設置的權重不為0,視為“合規”。 | |
SLB實例監聽的端口不包含指定的風險端口,視為“合規”。 | |
開啟刪除保護功能,可以防止誤操作導致實例被釋放。如果已配置則,視為“合規”。 | |
ALB實例網絡類型為私網,視為“合規”。 | |
SLB實例未綁定公網IP,視為“合規”。如果沒有公網需求,建議SLB實例不要直接綁定公網IP地址。如果有公網需求,建議購買EIP并和相關SLB實例進行綁定,使用EIP更加靈活、同時可使用共享帶寬降低成本。 |