Keamanan infrastruktur SLB - Server Load Balancer - Alibaba Cloud Documentation Center

Isolasi jaringan merupakan langkah keamanan utama untuk SLB. Langkah ini mengisolasi lalu lintas jaringan guna meningkatkan keamanan dan keandalan sistem. Keamanan infrastruktur SLB terdiri atas isolasi jaringan dan kontrol lalu lintas jaringan.

Isolasi jaringan

Virtual Private Cloud (VPC) adalah jaringan virtual yang secara logis terisolasi di dalam Alibaba Cloud. Subnet adalah rentang alamat IP di dalam VPC. Saat membuat instans SLB, Anda dapat menentukan satu atau beberapa subnet untuk instans tersebut. Anda dapat membuat instans Elastic Compute Service (ECS) di dalam subnet VPC Anda dan menambahkan instans tersebut ke kelompok server backend instans SLB. Untuk informasi selengkapnya, lihat Apa itu VPC?.

Instans Application Load Balancer (ALB) dan Network Load Balancer (NLB) mendukung jenis jaringan berikut:
- Private network: Instans diberi alamat IP pribadi di setiap zona ketersediaan. Instans ALB atau NLB hanya dapat diakses melalui jaringan pribadi Alibaba Cloud dan tidak dari internet.
- Public network: Instans diberi alamat IP publik dan alamat IP pribadi di setiap zona ketersediaan. Instans ALB atau NLB publik menggunakan Elastic IP Address (EIP) untuk menyediakan kemampuan akses publik. Jika Anda memilih Public network, biaya akan dikenakan untuk instans EIP, bandwidth, dan transfer data.
Instans Classic Load Balancer (CLB) mendukung jenis jaringan berikut:
- Private network: Instans hanya diberi alamat IP pribadi dan hanya dapat diakses melalui jaringan pribadi Alibaba Cloud, bukan dari internet.
- Public network: Instans diberi alamat IP publik dan dapat diakses dari internet.

Instans SLB berkomunikasi dengan instans ECS backend melalui jaringan pribadi. Jika instans ECS backend Anda hanya perlu menerima permintaan dari instans SLB, instans tersebut tidak memerlukan alamat IP publik. Artinya, Anda tidak perlu mengaitkan EIP dengan instans ECS tersebut.

Kontrol lalu lintas jaringan

Setiap produk SLB menyediakan metode berbeda untuk mengamankan lalu lintas jaringan.

ALB

Metode	Deskripsi	Referensi
SSL-encrypted transmission	Sertifikat SSL mengenkripsi data yang sedang ditransmisikan untuk mencegahnya dicegat atau dimodifikasi.	Deploy an HTTPS service on an ALB instance (one-way authentication) Deploy an HTTPS service on an ALB instance (mutual authentication) Host multiple HTTPS websites on a single ALB instance
WAF	Aktifkan Web Application Firewall (WAF) untuk memantau dan memfilter lalu lintas jaringan secara real time, melindungi layanan Anda dari serangan berbahaya.	Enable WAF for an ALB instance
Security groups	Konfigurasikan aturan grup keamanan untuk mengontrol lalu lintas masuk.	Add an ALB instance to a security group Use a security group to control access to an ALB instance by listener or port Use a security group to configure a blacklist or whitelist for an ALB instance
ACL	Gunakan Access Control List (ACL) untuk membuat daftar putih/blacklist yang memblokir lalu lintas tidak sah dan berbahaya.	Access control for ALB
DDoS protection	Gunakan layanan Perlindungan DDoS untuk mempertahankan diri dari serangan skala besar secara real time. ALB mendukung Anti-DDoS Origin dan Anti-DDoS Pro/Premium.	What is Anti-DDoS Origin? What is Anti-DDoS Pro/Premium? Use an Anti-DDoS-enabled EIP to provide public access for an ALB instance
TLS security policies	Kebijakan keamanan TLS meningkatkan keamanan layanan. Saat mengonfigurasi pendengar HTTPS, Anda dapat menerapkan kebijakan default sistem atau kebijakan kustom.	TLS security policies for ALB

NLB

Metode	Deskripsi	Referensi
SSL-encrypted transmission	Sertifikat SSL mengenkripsi data yang sedang ditransmisikan untuk mencegahnya dicegat atau dimodifikasi.	Use an NLB instance for TCP/SSL offloading (one-way authentication) Gunakan instans NLB untuk offloading TCP/SSL (Otentikasi timbal balik)
DDoS protection	Gunakan layanan Perlindungan DDoS untuk mempertahankan diri dari serangan skala besar secara real time. NLB mendukung Anti-DDoS Origin dan Anti-DDoS Pro/Premium.	Menggunakan EIP yang mendukung Anti-DDoS untuk menyediakan akses publik bagi instans NLB Mengubah jenis jaringan instans NLB
Security groups	Konfigurasikan aturan grup keamanan untuk mengontrol lalu lintas masuk.	Add an NLB instance to a security group Use a security group to control access to an NLB instance by listener or port
TLS security policies	Kebijakan keamanan TLS meningkatkan keamanan layanan. Saat mengonfigurasi pendengar TCP/SSL, Anda dapat menerapkan kebijakan default sistem atau kebijakan kustom.	TLS security policies for NLB

CLB

Metode	Deskripsi	Referensi
SSL-encrypted transmission	Sertifikat SSL mengenkripsi data yang sedang ditransmisikan untuk mencegahnya dicegat atau dimodifikasi.	Deploy an HTTPS service on a CLB instance (one-way authentication) Deploy an HTTPS service on a CLB instance (mutual authentication) Host multiple HTTPS websites on a single CLB instance
WAF	Aktifkan Web Application Firewall (WAF) untuk memantau dan memfilter lalu lintas jaringan secara real time, melindungi layanan Anda dari serangan berbahaya.	Instructions for enabling WAF for CLB
ACL	Gunakan Access Control List (ACL) untuk membuat daftar putih/blacklist yang memblokir lalu lintas tidak sah dan berbahaya.	Access control for CLB
DDoS protection	Gunakan layanan Perlindungan DDoS untuk mempertahankan diri dari serangan skala besar secara real time. CLB hanya mendukung Anti-DDoS Origin.	Anti-DDoS Origin Basic for CLB
TLS security policies	Kebijakan keamanan TLS meningkatkan keamanan layanan. Saat Anda mengonfigurasi pendengar HTTPS, Anda dapat menerapkan kebijakan default sistem atau kebijakan kustom.	TLS security policies for CLB