BestPracticesForLoadBalancer コンプライアンスパッケージテンプレートのデフォルトルールは、パブリックネットワークと Classic Load Balancer (CLB) および Application Load Balancer (ALB) インスタンスのホワイトリスト設定、ゾーン間のディザスタリカバリ機能、インスタンスの更新と有効期限、変更管理など、以下の項目がリスクにさらされているかどうかを確認するのに役立ちます。 これにより、CLB インスタンスと ALB インスタンスを想定どおりに使用できるようになり、ネットワークセキュリティリスクが軽減され、システムの安定性が向上します。 このトピックでは、BestPracticesForLoadBalancer コンプライアンスパッケージテンプレートのデフォルトルールについて説明します。
ルール名 | 説明 |
各 Server Load Balancer (SLB) インスタンスの指定ポートで HTTPS リスナーが有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 このルールは、TCP リスナーまたは UDP リスナーのみが有効になっている SLB インスタンスには適用されません。 | |
各 CLB インスタンスでアクセスログ機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 このルールは、レイヤー 7 の監視が無効になっている CLB インスタンスには適用されません。 | |
各 SLB インスタンスがマルチゾーンアーキテクチャを使用しているかどうか、および複数のゾーンのリソースが SLB インスタンスのすべてのリスナーで使用されるサーバーグループに追加されているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 | |
各 ALB インスタンスのサーバーグループの関連リソースが複数のゾーンに分散されているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 このルールは、サーバーグループに関連リソースがある ALB インスタンスにのみ適用されます。 | |
各 SLB インスタンスで少なくとも 1 つのリスナーが実行されているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 SLB インスタンスの作成日から現在の日までの期間が指定の日数以下の場合、このルールは SLB インスタンスには適用されません。 デフォルト値:7。単位:日。 | |
各 ALB インスタンスのすべてのリスナーに少なくとも 1 つのバックエンドサーバーが追加されているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 ALB インスタンスの作成日から現在の日までの期間が指定の日数以下の場合、このルールは SLB インスタンスには適用されません。 デフォルト値:7。単位:日。 | |
各 SLB インスタンスの HTTPS リスナーが指定されたセキュリティポリシースイートバージョンを使用しているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 このルールは、HTTPS リスナーが構成されていない SLB インスタンスには適用されません。 | |
各 ALB インスタンスのすべてのリスナーと転送ルールでヘルスチェック機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 | |
各 SLB インスタンスのすべてのリスナーでヘルスチェック機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 | |
各 ALB インスタンスがマルチゾーンアーキテクチャを使用しているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 1 つのゾーンにのみインスタンスをデプロイするときに ALB インスタンスで障害が発生した場合、ビジネスが中断される可能性があります。 | |
各 ALB インスタンスのリスナーのアクセス制御ホワイトリストに、指定された IP アドレスまたは CIDR ブロックが含まれているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 | |
各 ALB インスタンスのすべてのリスナーでアクセス制御機能が有効になっているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 このルールは、リスナーが構成されていない ALB インスタンスには適用されません。 | |
各 SLB インスタンスのリスナーにアクセス制御機能が構成されているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 このルールは、リスナーが構成されていない SLB インスタンスには適用されません。 | |
各 SLB インスタンスのリスナーのホワイトリストで、指定された IP アドレスまたは CIDR ブロックからのアクセスが許可されているかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 | |
各サブスクリプション SLB インスタンスで自動更新機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 | |
サブスクリプションインスタンスを使用する場合は、有効期限が切れる前にインスタンスを更新する必要があります。 これにより、リソースの有効期限切れによってインスタンスが停止されるのを防ぎます。 各サブスクリプションインスタンスの有効期限日と確認日までの期間が指定の日数よりも大きいかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 デフォルト値:30。単位:日。 各インスタンスで自動更新機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 このルールは、従量課金インスタンスには適用されません。 | |
各 SLB インスタンスのアクセス制御リスト (ACL) に 0.0.0.0/0 が含まれていないかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 | |
vpcIds パラメーターを構成する場合、各 SLB インスタンスが存在する VPC が指定された VPC のセット内にあるかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 vpcIds パラメーターを構成しない場合、各 SLB インスタンスのネットワークタイプが VPC であるかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 | |
各 SLB インスタンスでリリース保護機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 | |
使用中の各 SLB インスタンスが高性能インスタンスであるかどうかを確認します。そうである場合、評価結果は「準拠」になります。 | |
各 SLB インスタンスのバックエンドサーバーの重みが 0 に設定されていないかどうかを確認します。設定されていない場合、評価結果は「準拠」になります。 | |
指定された危険なポートが各 SLB インスタンスのリスナーに追加されているかどうかを確認します。 追加されていない場合、評価結果は「準拠」になります。 | |
誤操作によって ALB インスタンスがリリースされるのを防ぐために、削除保護機能を有効にすることができます。 各 ALB インスタンスで削除保護機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」になります。 | |
各 ALB インスタンスの「ネットワークタイプ」パラメーターがイントラネットであるかどうかを確認します。 そうである場合、評価結果は「準拠」になります。 | |
各 SLB インスタンスにパブリック IP アドレスが関連付けられているかどうかを確認します。 関連付けられていない場合、評価結果は「準拠」になります。 SLB インスタンスがパブリックネットワークにアクセスしないようにするには、SLB インスタンスにパブリック IP アドレスをバインドしないことをお勧めします。 SLB インスタンスがパブリックネットワークにアクセスするようにするには、Elastic IP アドレス (EIP) を購入し、必要な SLB インスタンスに EIP をバインドすることをお勧めします。 EIP はより高い柔軟性を提供します。 また、EIP 帯域幅プランを使用してコストを削減することもできます。 |