SLB インフラストラクチャのセキュリティ - Server Load Balancer

ネットワーク分離は、Server Load Balancer (SLB) のシステムにおける重要なセキュリティ対策です。この対策は、ネットワーク間のトラフィックを分離することで、システムのセキュリティと信頼性を向上させます。SLB のインフラストラクチャには、ネットワーク分離とネットワークトラフィック制御が含まれます。

ネットワーク分離

仮想プライベートクラウド (VPC) は、Alibaba Cloud 上で分離された仮想ネットワークです。サブネットは、VPC 内の IP アドレスの範囲を指定します。SLB インスタンスを作成する際に、1 つ以上のサブネットを指定できます。VPC のサブネットに Elastic Compute Service (ECS) インスタンスをデプロイし、ECS インスタンスをバックエンドサーバーグループに追加できます。詳細については、「VPC とは」をご参照ください。

Application Load Balancer (ALB) および Network Load Balancer (NLB) インスタンスは、次のネットワークタイプをサポートしています。
- 内部向け: ALB または NLB インスタンスの各ゾーンにプライベート IP アドレスが割り当てられます。インスタンスには、内部ネットワーク経由でのみアクセスできます。
- インターネット向け: インスタンスの各ゾーンにパブリック IP アドレスとプライベート IP アドレスが割り当てられます。インターネット向け ALB または NLB インスタンスは、Elastic IP アドレス (EIP) を使用してインターネットにアクセスできます。インターネット向け インスタンスには、EIP 料金と帯域幅またはデータ転送料金が課金されます。
Classic Load Balancer (CLB) インスタンスは、次のネットワークタイプをサポートしています。
- 内部向け: 内部向け CLB インスタンスにはプライベート IP アドレスのみが割り当てられ、内部ネットワーク経由でのみアクセスできます。
- インターネット向け: インターネット向け CLB インスタンスにはパブリック IP アドレスが割り当てられ、インターネット経由でアクセスできます。

SLB インスタンスは、内部ネットワーク経由でバックエンド ECS インスタンスと通信します。バックエンド ECS インスタンスが SLB インスタンスからのリクエストのみを受信する場合、パブリック IP アドレスは必要ありません。ECS インスタンスを EIP に関連付ける必要はありません。

ネットワークトラフィック制御

ALB、CLB、および NLB は、次の表に示すように、ネットワークトラフィックを保護するためにさまざまな対策を使用します。

ALB

対策	説明	参照
SSL 暗号化転送	データパケットは、SSL に基づいて暗号化され、傍受や改ざんを防ぐことができます。	HTTPS を設定して通信を暗号化する HTTPS リスナーで相互認証を設定する ALB インスタンスが HTTPS 経由で複数のドメイン名を提供するように設定する
Web Application Firewall (WAF)	WAF を使用して、攻撃が発生した場合にネットワークトラフィックを監視およびフィルタリングできます。	WAF 対応 ALB インスタンスをアクティブ化および管理する
セキュリティグループ	セキュリティグループは、グループ内のインスタンスに到達できるトラフィックを制御します。	セキュリティグループに ALB インスタンスを追加するセキュリティグループを使用してポートに基づいてアクセスを制御するセキュリティグループをブラックリストまたはホワイトリストとして使用する
アクセス制御リスト (ACL)	ホワイトリストとブラックリストを使用して、不正アクセスや悪意のあるリクエストをブロックできます。	ネットワーク ACL
Anti-DDoS サービス	Anti-DDoS サービスを使用して、大量の攻撃をリアルタイムで軽減できます。Anti-DDoS Origin、Anti-DDoS Pro、および Anti-DDoS Premium がサポートされています。	Anti-DDoS Origin とは Anti-DDoS Pro と Anti-DDoS Premium とは Anti-DDoS Pro/Premium で保護されている EIP を ALB インスタンスに関連付ける
TLS セキュリティポリシー	TLS セキュリティポリシーを使用して、サービスのセキュリティを向上させることができます。 HTTPS リスナーを作成するときに、TLS セキュリティポリシーを選択できます。カスタム TLS セキュリティポリシーとデフォルト TLS セキュリティポリシーがサポートされています。	TLS セキュリティポリシー

NLB

対策	説明	参照
SSL 暗号化転送	データパケットは、SSL に基づいて暗号化され、傍受や改ざんを防ぐことができます。	NLB を使用して TCP 経由の SSL オフロードを有効にする (一方向認証) NLB を使用して TCP 経由の SSL オフロードを有効にする (相互認証)
Anti-DDoS サービス	Anti-DDoS サービスを使用して、大量の攻撃をリアルタイムで軽減できます。Anti-DDoS Origin、Anti-DDoS Pro、および Anti-DDoS Premium がサポートされています。	NLB インスタンスが Anti-DDoS Pro/Premium で保護されている EIP を使用してインターネットにアクセスできるようにする NLB インスタンスのネットワークタイプを変更する
セキュリティグループ	セキュリティグループを使用して、アクセス制御を調整できます。	セキュリティグループに NLB インスタンスを追加するセキュリティグループを設定して NLB のアクセス制御を実装する
TLS セキュリティポリシー	TLS セキュリティポリシーを使用して、サービスのセキュリティを向上させることができます。 TCP 経由で SSL を使用するリスナーを作成するときに、TLS セキュリティポリシーを選択できます。カスタム TLS セキュリティポリシーとデフォルト TLS セキュリティポリシーがサポートされています。	TLS セキュリティポリシー

CLB

対策	説明	参照
SSL 暗号化転送	データパケットは、SSL に基づいて暗号化され、傍受や改ざんを防ぐことができます。	HTTPS リクエストの一方向認証を設定する相互認証用の HTTPS リスナーを設定する CLB インスタンスが HTTPS 経由で複数のドメイン名を提供するように設定する
WAF	WAF を使用して、攻撃が発生した場合にネットワークトラフィックを監視およびフィルタリングできます。	CLB の WAF 保護を有効にする方法
ACL	ホワイトリストとブラックリストを使用して、不正アクセスや悪意のあるリクエストをブロックできます。	アクセス制御を有効にする
Anti-DDoS サービス	Anti-DDoS サービスを使用して、大量の攻撃をリアルタイムで軽減できます。Anti-DDoS Origin がサポートされています。	Anti-DDoS Origin Basic
TLS セキュリティポリシー	TLS セキュリティポリシーを使用して、サービスのセキュリティを向上させることができます。 HTTPS リスナーを作成するときに、TLS セキュリティポリシーを選択できます。カスタム TLS セキュリティポリシーとデフォルト TLS セキュリティポリシーがサポートされています。	TLS セキュリティポリシー