Keamanan infrastruktur SLB - Server Load Balancer

Isolasi jaringan merupakan langkah keamanan penting dalam sistem Server Load Balancer (SLB). Langkah ini mengisolasi lalu lintas antarjaringan untuk meningkatkan keamanan dan keandalan sistem. Infrastruktur SLB mencakup isolasi jaringan dan kontrol lalu lintas jaringan.

Isolasi jaringan

Virtual Private Cloud (VPC) adalah jaringan virtual yang diisolasi di Alibaba Cloud. Subnet menentukan rentang alamat IP dalam VPC. Saat membuat instance SLB, Anda dapat menentukan satu atau lebih subnet. Instance Elastic Compute Service (ECS) dapat diterapkan di subnet VPC Anda dan ditambahkan ke grup server backend. Untuk informasi lebih lanjut, lihat Apa itu VPC?

Instance Application Load Balancer (ALB) dan Network Load Balancer (NLB) mendukung jenis jaringan berikut:
- Akses internal: Alamat IP privat ditetapkan untuk setiap zona dari instance ALB atau NLB. Instance tersebut hanya dapat diakses melalui jaringan internal.
- Akses Internet: Alamat IP publik dan privat ditetapkan untuk setiap zona dari instance tersebut. Instance ALB atau NLB dengan akses Internet dapat mengakses Internet menggunakan Elastic IP addresses (EIP). Instance Internet-facing dikenakan biaya EIP serta biaya bandwidth atau transfer data.
Instance Classic Load Balancer (CLB) mendukung jenis jaringan berikut:
- Akses internal: Instance CLB dengan akses internal hanya diberikan alamat IP privat dan hanya dapat diakses melalui jaringan internal.
- Akses Internet: Instance CLB dengan akses Internet diberikan alamat IP publik dan dapat diakses melalui Internet.

Instance SLB berkomunikasi dengan instance ECS backend melalui jaringan internal. Jika instance ECS backend hanya menerima permintaan dari instance SLB, tidak diperlukan alamat IP publik. Instance ECS tersebut tidak perlu dikaitkan dengan EIP.

Kontrol lalu lintas jaringan

ALB, CLB, dan NLB menggunakan langkah-langkah berbeda untuk melindungi lalu lintas jaringan, seperti yang dijelaskan dalam tabel berikut.

ALB

Langkah	Deskripsi	Referensi
Transmisi terenkripsi SSL	Paket data dapat dienkripsi berdasarkan SSL untuk mencegah intersepsi dan pemalsuan.	Konfigurasikan HTTPS untuk mengenkripsi komunikasi Konfigurasikan autentikasi timbal balik pada listener HTTPS Konfigurasikan instance ALB untuk melayani beberapa nama domain melalui HTTPS
Web Application Firewall (WAF)	WAF dapat digunakan untuk memantau dan menyaring lalu lintas jaringan dalam kasus serangan.	Aktifkan dan kelola instance ALB yang dilengkapi WAF
Grup keamanan	Grup keamanan mengontrol lalu lintas yang diizinkan mencapai instance di dalamnya.	Tambahkan instance ALB ke grup keamanan Gunakan grup keamanan untuk mengontrol akses berdasarkan port Gunakan grup keamanan sebagai daftar hitam atau putih
Daftar kontrol akses (ACL)	Daftar putih dan hitam dapat digunakan untuk memblokir akses tidak sah dan permintaan jahat.	Network ACLs
Layanan Anti-DDoS	Layanan Anti-DDoS dapat digunakan untuk meredam volume besar serangan secara real-time. Anti-DDoS Origin, Anti-DDoS Pro, dan Anti-DDoS Premium didukung.	Apa itu Anti-DDoS Origin? Apa itu Anti-DDoS Pro dan Anti-DDoS Premium? Asosiasikan EIP yang dilindungi oleh Anti-DDoS Pro/Premium dengan instance ALB
Kebijakan keamanan TLS	Kebijakan keamanan TLS dapat digunakan untuk meningkatkan keamanan layanan. Anda dapat memilih kebijakan keamanan TLS saat membuat listener HTTPS. Kebijakan keamanan TLS kustom dan default didukung.	Kebijakan keamanan TLS

NLB

Langkah	Deskripsi	Referensi
Transmisi terenkripsi SSL	Paket data dapat dienkripsi berdasarkan SSL untuk mencegah intersepsi dan pemalsuan.	Gunakan NLB untuk mengaktifkan offloading SSL melalui TCP (autentikasi satu arah) Gunakan NLB untuk mengaktifkan offloading SSL melalui TCP (autentikasi timbal balik)
Layanan Anti-DDoS	Layanan Anti-DDoS dapat digunakan untuk meredam volume besar serangan secara real-time. Anti-DDoS Origin, Anti-DDoS Pro, dan Anti-DDoS Premium didukung.	Aktifkan instance NLB untuk menggunakan EIP yang dilindungi oleh Anti-DDoS Pro/Premium untuk mengakses Internet Ubah tipe jaringan instance NLB
Grup keamanan	Grup keamanan dapat digunakan untuk mengatur kontrol akses.	Tambahkan instance NLB ke grup keamanan Konfigurasikan grup keamanan untuk menerapkan kontrol akses untuk NLB
Kebijakan keamanan TLS	Kebijakan keamanan TLS dapat digunakan untuk meningkatkan keamanan layanan. Anda dapat memilih kebijakan keamanan TLS saat membuat listener yang menggunakan SSL melalui TCP. Kebijakan keamanan TLS kustom dan default didukung.	Kebijakan keamanan TLS

CLB

Langkah	Deskripsi	Referensi
Transmisi terenkripsi SSL	Paket data dapat dienkripsi berdasarkan SSL untuk mencegah intersepsi dan pemalsuan.	Konfigurasikan autentikasi satu arah untuk permintaan HTTPS Konfigurasikan listener HTTPS untuk autentikasi timbal balik Konfigurasikan instance CLB untuk melayani beberapa nama domain melalui HTTPS
WAF	WAF dapat digunakan untuk memantau dan menyaring lalu lintas jaringan dalam kasus serangan.	Bagaimana cara mengaktifkan perlindungan WAF untuk CLB?
ACL	Daftar putih dan hitam dapat digunakan untuk memblokir akses tidak sah dan permintaan jahat.	Aktifkan kontrol akses
Layanan Anti-DDoS	Layanan Anti-DDoS dapat digunakan untuk meredam volume besar serangan secara real-time. Anti-DDoS Origin didukung.	Anti-DDoS Origin Basic
Kebijakan keamanan TLS	Kebijakan keamanan TLS dapat digunakan untuk meningkatkan keamanan layanan. Anda dapat memilih kebijakan keamanan TLS saat membuat listener HTTPS. Kebijakan keamanan TLS kustom dan default didukung.	Kebijakan keamanan TLS