检测传统负载均衡和应用负载均衡的公网及白名单设置、多可用容灾能力、实例续费及到期、变更管理等是否存在风险,确保正确应用负载均衡实例。避免网络安全风险,提升系统的可靠性。本文为您介绍负载均衡应用最佳实践中的默认规则。
规则名称 | 规则描述 |
SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。 | |
SLB传统型负载均衡实例开启访问日志,视为“合规”。未启用7层监听的实例不支持开启访问日志,视为“不适用”。 | |
SLB实例为多可用区,并且SLB实例下所有监听使用的服务器组中添加了多个可用区的资源,视为“合规”。 | |
ALB负载均衡的服务器组挂载资源分布在多个可用区,视为“合规”。ALB服务器组无挂载任何资源时不适用本规则,视为“不适用”。 | |
SLB负载均衡存在运行中的监听,视为“合规”。如果负载均衡创建时间在指定天数(默认7天)内,视为“不适用”。 | |
ALB负载均衡的所有监听都至少添加了后端服务器,视为“合规”。如果负载均衡创建时间在指定天数(默认7天)内,视为“不适用”。 | |
SLB实例的所有HTTPS类型监听使用参数指定的安全策略套件版本,视为“合规”。未设置HTTPS类型监听的SLB实例,视为“不适用”。 | |
ALB负载均衡的所有监听和转发规则均设置了健康检查,视为“合规”。 | |
SLB负载均衡的所有运行中的监听都开启了健康检查,视为“合规”。 | |
ALB实例为多可用区实例,视为“合规”。如果只选择了一个可用区,当这个可用区出现故障时,会影响ALB实例,进而影响业务稳定性。 | |
ALB实例任意一个监听的访问控制白名单包含指定的IP地址或网段,视为“合规”。 | |
ALB实例所有运行中的监听都设置了访问控制,视为“合规”。未配置监听的实例不适用本规则,视为“不适用”。 | |
SLB实例所有运行中的监听都设置了访问控制,视为“合规”。未配置监听的实例不适用本规则,视为“不适用”。 | |
SLB实例任意一个监听的访问控制白名单包含指定的IP地址或网段,视为“合规”。 | |
SLB预付费实例开启自动续费,视为“合规”。 | |
对于预付费资源,需要提前续费,避免出现因费用问题停机。预付费实例到期时间距离检查时间大于设置的天数,视为“合规”。默认值:30天。开启自动续费的实例,视为“合规”。后付费资源实例不适用本规则,视为“不适用”。 | |
SLB访问控制列表中不包含0.0.0.0/0条目,视为“合规”。 | |
如果设定参数,则检查SLB实例关联的专有网络在参数指定的范围内,视为“合规”;如果未设定参数,则检查SLB实例的网络类型为专有网络,视为“合规”。 | |
SLB实例开启释放保护,视为“合规”。 | |
SLB实例为性能保障型实例,视为“合规”。 | |
SLB实例后端服务器设置的权重不为0,视为“合规”。 | |
SLB实例监听的端口不包含指定的风险端口,视为“合规”。 | |
开启删除保护功能,可以防止误操作导致实例被释放。如果已配置则,视为“合规”。 | |
ALB实例网络类型为私网,视为“合规”。 | |
SLB实例未绑定公网IP,视为“合规”。如果没有公网需求,建议SLB实例不要直接绑定公网IP地址。如果有公网需求,建议购买EIP并和相关SLB实例进行绑定,使用EIP更加灵活、同时可使用共享带宽降低成本。 |