Aturan default dari template paket kepatuhan BestPracticesForLoadBalancer membantu Anda memeriksa apakah item berikut memiliki risiko: pengaturan jaringan publik dan daftar putih pada instance Classic Load Balancer (CLB) dan Application Load Balancer (ALB), kemampuan pemulihan bencana lintas zona, perpanjangan serta kedaluwarsa instance, dan manajemen perubahan. Aturan ini memastikan bahwa instance CLB dan ALB berfungsi sesuai harapan, mengurangi risiko keamanan jaringan, serta meningkatkan stabilitas sistem. Topik ini menjelaskan aturan default dari template paket kepatuhan BestPracticesForLoadBalancer.
Nama Aturan | Deskripsi |
Memeriksa apakah listener HTTPS diaktifkan pada port tertentu dari setiap instance Server Load Balancer (SLB). Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance SLB yang hanya memiliki listener TCP atau UDP yang diaktifkan. | |
Memeriksa apakah fitur log akses diaktifkan untuk setiap instance CLB. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance CLB yang pemantauan Lapisan 7 dinonaktifkan. | |
Memeriksa apakah setiap instance SLB menggunakan arsitektur multi-zona dan sumber daya dari beberapa zona ditambahkan ke grup server yang digunakan oleh semua listener dari instance SLB tersebut. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah sumber daya terkait dari grup server setiap instance ALB didistribusikan di beberapa zona. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini hanya berlaku untuk instance ALB yang grup servernya memiliki sumber daya terkait. | |
Memeriksa apakah setidaknya satu listener sedang berjalan pada setiap instance SLB. Jika ya, hasil evaluasi adalah Sesuai. Jika durasi antara tanggal pembuatan instance SLB dan tanggal saat ini kurang dari atau sama dengan jumlah hari tertentu, aturan ini tidak berlaku untuk instance SLB tersebut. Nilai default: 7. Satuan: hari. | |
Memeriksa apakah setidaknya satu server backend ditambahkan ke semua listener dari setiap instance ALB. Jika ya, hasil evaluasi adalah Sesuai. Jika durasi antara tanggal pembuatan instance ALB dan tanggal saat ini kurang dari atau sama dengan jumlah hari tertentu, aturan ini tidak berlaku untuk instance SLB tersebut. Nilai default: 7. Satuan: hari. | |
Memeriksa apakah listener HTTPS dari setiap instance SLB menggunakan versi suite kebijakan keamanan tertentu. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance SLB yang tidak dikonfigurasi dengan listener HTTPS. | |
Memeriksa apakah fitur pemeriksaan kesehatan diaktifkan untuk semua listener dan aturan pengalihan dari setiap instance ALB. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur pemeriksaan kesehatan diaktifkan untuk semua listener dari setiap instance SLB. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah setiap instance ALB menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Sesuai. Jika terjadi kegagalan pada instance ALB ketika Anda menerapkan instance hanya di satu zona, bisnis mungkin terganggu. | |
Memeriksa apakah daftar kontrol akses putih dari listener setiap instance ALB mencakup alamat IP atau blok CIDR tertentu. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur kontrol akses diaktifkan untuk semua listener dari setiap instance ALB. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance ALB yang tidak dikonfigurasi dengan listener. | |
Memeriksa apakah fitur kontrol akses dikonfigurasi untuk listener dari setiap instance SLB. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance SLB yang tidak dikonfigurasi dengan listener. | |
Memeriksa apakah daftar putih dari listener setiap instance SLB mengizinkan akses dari alamat IP atau blok CIDR tertentu. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur perpanjangan otomatis diaktifkan untuk setiap instance SLB berlangganan. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika Anda menggunakan instance berlangganan, Anda harus memperpanjang instance sebelum masa berlakunya habis. Ini mencegah instance Anda dihentikan karena sumber daya yang kedaluwarsa. Memeriksa apakah durasi antara tanggal kedaluwarsa dan tanggal pemeriksaan dari setiap instance berlangganan lebih besar dari jumlah hari tertentu. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 30. Satuan: hari. Memeriksa apakah fitur perpanjangan otomatis diaktifkan untuk setiap instance. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance bayar sesuai pemakaian. | |
Memeriksa apakah daftar kontrol akses (ACL) dari setiap instance SLB tidak mencakup 0.0.0.0/0. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah VPC tempat setiap instance SLB berada termasuk dalam set VPC tertentu jika Anda mengonfigurasi parameter vpcIds. Jika ya, hasil evaluasi adalah Sesuai. Memeriksa apakah tipe jaringan dari setiap instance SLB adalah VPC jika Anda tidak mengonfigurasi parameter vpcIds. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur perlindungan pelepasan diaktifkan untuk setiap instance SLB. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah setiap instance SLB yang digunakan adalah instance berperforma tinggi, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah bobot server backend dari setiap instance SLB tidak disetel ke 0. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah port berisiko tertentu ditambahkan ke listener dari setiap instance SLB. Jika tidak, hasil evaluasi adalah Sesuai. | |
Anda dapat mengaktifkan fitur perlindungan penghapusan untuk mencegah instance ALB dilepaskan oleh operasi yang salah. Memeriksa apakah fitur perlindungan penghapusan diaktifkan untuk setiap instance ALB. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah parameter Tipe Jaringan dari setiap instance ALB adalah Intranet. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah alamat IP publik terkait dengan setiap instance SLB. Jika tidak, hasil evaluasi adalah Sesuai. Jika Anda tidak ingin instance SLB mengakses jaringan publik, kami sarankan agar Anda tidak mengikat alamat IP publik ke instance SLB. Jika Anda ingin instance SLB mengakses jaringan publik, kami sarankan agar Anda membeli alamat IP elastis (EIP) dan mengikat EIP ke instance SLB yang diperlukan. EIP memberikan fleksibilitas lebih. Anda juga dapat menggunakan rencana bandwidth EIP untuk mengurangi biaya. |