SLB インフラストラクチャセキュリティ - Server Load Balancer

ネットワーク分離は、SLB の重要なセキュリティ対策です。ネットワークトラフィックを分離することで、システムのセキュリティと信頼性を向上させます。SLB のインフラストラクチャセキュリティは、ネットワーク分離とネットワークトラフィック制御で構成されます。

ネットワーク分離

Virtual Private Cloud (VPC) は、Alibaba Cloud 内で論理的に分離された仮想ネットワークです。サブネットは、VPC 内の IP アドレスの範囲です。SLB インスタンスを作成する際、インスタンスに 1 つ以上のサブネットを指定できます。ご利用の VPC のサブネットに Elastic Compute Service (ECS) インスタンスを作成し、これらのインスタンスを SLB インスタンスのバックエンドサーバーグループに追加できます。詳細については、「VPC とは」をご参照ください。

Application Load Balancer (ALB) および Network Load Balancer (NLB) インスタンスは、以下のネットワークタイプをサポートしています：
- プライベートネットワーク：インスタンスには、各アベイラビリティゾーンにプライベート IP アドレスが割り当てられます。ALB または NLB インスタンスは、Alibaba Cloud プライベートネットワーク経由でのみアクセス可能で、インターネットからはアクセスできません。
- パブリックネットワーク：インスタンスには、各アベイラビリティゾーンにパブリック IP アドレスとプライベート IP アドレスが割り当てられます。パブリック ALB または NLB インスタンスは、Elastic IP Address (EIP) を使用して、パブリック向けの機能を提供します。[パブリックネットワーク] を選択した場合、EIP インスタンス、帯域幅、およびデータ転送に対して料金が発生します。
クラシックロードバランサー (CLB) インスタンスは、以下のネットワークタイプをサポートしています：
- プライベートネットワーク：インスタンスにはプライベート IP アドレスのみが割り当てられ、Alibaba Cloud プライベートネットワーク経由でのみアクセス可能で、インターネットからはアクセスできません。
- パブリックネットワーク：インスタンスにはパブリック IP アドレスが割り当てられ、インターネットからアクセスできます。

SLB インスタンスは、プライベートネットワークを介してバックエンドの ECS インスタンスと通信します。ご利用のバックエンド ECS インスタンスが SLB インスタンスからのリクエストを受信するだけでよい場合、パブリック IP アドレスは必要ありません。つまり、ECS インスタンスに EIP を関連付ける必要はありません。

ネットワークトラフィック制御

各 SLB プロダクトは、ネットワークトラフィックを保護するためのさまざまな方式を提供しています。

ALB

方式	説明	参考
SSL 暗号化伝送	SSL 証明書は転送中のデータを暗号化し、傍受や改ざんを防ぎます。	ALB インスタンスでの HTTPS サービスのデプロイ (片方向認証) ALB インスタンスでの HTTPS サービスのデプロイ (相互認証) 単一の ALB インスタンスでの複数 HTTPS ウェブサイトのホスト
WAF	Web Application Firewall (WAF) を有効にして、ネットワークトラフィックをリアルタイムで監視およびフィルタリングし、悪意のある攻撃からサービスを保護します。	ALB インスタンスでの WAF の有効化
セキュリティグループ	セキュリティグループルールを設定して、インバウンドトラフィックを制御します。	ALB インスタンスのセキュリティグループへの追加セキュリティグループを使用したリスナーまたはポートによる ALB インスタンスへのアクセス制御セキュリティグループを使用した ALB インスタンスのブラックリストまたはホワイトリストの設定
ACL	アクセスコントロールリスト (ACL) を使用してブラックリスト/ホワイトリストを作成し、不正なトラフィックや悪意のあるトラフィックをブロックします。	ALB のアクセス制御
DDoS 対策	DDoS 対策サービスを使用して、大規模な攻撃からリアルタイムで防御します。ALB は Anti-DDoS Origin と Anti-DDoS Pro/Premium の両方をサポートしています。	Anti-DDoS Origin とは Anti-DDoS Pro/Premium とは Anti-DDoS が有効化された EIP を使用した ALB インスタンスへのパブリックアクセスの提供
TLS セキュリティポリシー	TLS セキュリティポリシーは、サービスのセキュリティを強化します。 HTTPS リスナーを設定する際に、カスタムポリシーまたはシステムのデフォルトポリシーを適用できます。	ALB の TLS セキュリティポリシー

NLB

方式	説明	参考
SSL 暗号化伝送	SSL 証明書は転送中のデータを暗号化し、傍受や改ざんを防ぎます。	NLB インスタンスを使用した TCP/SSL オフロード (片方向認証) NLB インスタンスを使用した TCP/SSL オフロード (相互認証)
DDoS 対策	DDoS 対策サービスを使用して、大規模な攻撃からリアルタイムで防御します。NLB は Anti-DDoS Origin と Anti-DDoS Pro/Premium の両方をサポートしています。	Anti-DDoS が有効化された EIP を使用した NLB インスタンスへのパブリックアクセスの提供 NLB インスタンスのネットワークタイプを変更する
セキュリティグループ	セキュリティグループルールを設定して、インバウンドトラフィックを制御します。	NLB インスタンスのセキュリティグループへの追加セキュリティグループを使用したリスナーまたはポートによる NLB インスタンスへのアクセス制御
TLS セキュリティポリシー	TLS セキュリティポリシーは、サービスのセキュリティを強化します。 TCP/SSL リスナーを設定する際に、カスタムポリシーまたはシステムのデフォルトポリシーを適用できます。	NLB の TLS セキュリティポリシー

CLB

方式	説明	参考
SSL 暗号化伝送	SSL 証明書は転送中のデータを暗号化し、傍受や改ざんを防ぎます。	CLB インスタンスでの HTTPS サービスのデプロイ (片方向認証) CLB インスタンスでの HTTPS サービスのデプロイ (相互認証) 単一の CLB インスタンスでの複数 HTTPS ウェブサイトのホスト
WAF	Web Application Firewall (WAF) を有効にして、ネットワークトラフィックをリアルタイムで監視およびフィルタリングし、悪意のある攻撃からサービスを保護します。	CLB での WAF の有効化手順
ACL	アクセスコントロールリスト (ACL) を使用してブラックリスト/ホワイトリストを作成し、不正なトラフィックや悪意のあるトラフィックをブロックします。	CLB のアクセス制御
DDoS 対策	DDoS 対策サービスを使用して、大規模な攻撃からリアルタイムで防御します。CLB は Anti-DDoS Origin のみをサポートしています。	CLB の Anti-DDoS Origin Basic
TLS セキュリティポリシー	TLS セキュリティポリシーは、サービスのセキュリティを強化します。 HTTPS リスナーを設定する際に、カスタムポリシーまたはシステムのデフォルトポリシーを適用できます。	CLB の TLS セキュリティポリシー