Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Lampiran

Verifikasi bahwa penyeimbang beban ELB memerlukan penghentian TLS

Priyanka Chaudhary, Amazon Web Services

Ringkasan

Di Amazon Web Services (AWS) Cloud, Elastic Load Balancing (ELB) secara otomatis mendistribusikan lalu lintas aplikasi yang masuk ke beberapa target, seperti instans Amazon Elastic Compute Cloud (Amazon EC2), container, alamat IP, dan fungsi AWS Lambda. Load balancer menggunakan pendengar untuk menentukan port dan protokol yang digunakan penyeimbang beban untuk menerima lalu lintas dari pengguna. Application Load Balancers membuat keputusan routing di lapisan aplikasi dan menggunakan protokol. HTTP/HTTPS Classic Load Balancer membuat keputusan routing baik pada layer transport, dengan menggunakan protokol TCP atau Secure Sockets Layer (SSL), atau pada layer aplikasi, dengan menggunakan HTTP/HTTPS.

Pola ini menyediakan kontrol keamanan yang memeriksa beberapa jenis peristiwa untuk Application Load Balancers dan Classic Load Balancers. Saat fungsi dipanggil, AWS Lambda memeriksa peristiwa dan memastikan bahwa penyeimbang beban sesuai.

Fungsi ini memulai CloudWatch peristiwa Amazon Events pada panggilan API berikut: CreateLoadBalancer, CreateLoadBalancerListeners, DeleteLoadBalancerListeners, CreateLoadBalancerPolicy, SetLoadBalancerPoliciesOfListener, CreateListener DeleteListener, dan ModifyListener. Ketika acara mendeteksi salah satunya APIs, ia memanggil AWS Lambda, yang menjalankan skrip Python. Skrip Python mengevaluasi untuk melihat apakah listener berisi sertifikat SSL, dan apakah kebijakan yang diterapkan menggunakan Transport Layer Security (TLS). Jika kebijakan SSL ditentukan sebagai apa pun selain TLS, fungsi akan mengirimkan notifikasi Amazon Simple Notification Service (Amazon SNS) kepada pengguna dengan informasi yang relevan.

Prasyarat dan batasan

Prasyarat

Akun AWS yang aktif

Batasan

Kontrol keamanan ini tidak memeriksa penyeimbang beban yang ada, kecuali pembaruan dilakukan untuk pendengar penyeimbang beban.
Kontrol keamanan ini bersifat regional. Anda harus menerapkannya di setiap Wilayah AWS yang ingin Anda pantau.

Arsitektur

Arsitektur target

Memastikan bahwa penyeimbang beban memerlukan penghentian TLS.

Otomatisasi dan skala

Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan AWS Cloudformation StackSets untuk menerapkan template ini di beberapa akun yang ingin Anda pantau.

Alat

Layanan AWS

AWS CloudFormation — AWS CloudFormation membantu Anda memodelkan dan menyiapkan sumber daya AWS Anda, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya. Anda dapat menggunakan template untuk mendeskripsikan sumber daya Anda dan dependensinya, dan meluncurkan dan mengonfigurasinya bersama-sama sebagai tumpukan, alih-alih mengelola sumber daya secara individual.
Amazon CloudWatch Events — Amazon CloudWatch Events menghadirkan aliran peristiwa sistem yang mendekati real-time yang menjelaskan perubahan sumber daya AWS.
AWS Lambda — AWS Lambda adalah layanan komputasi yang mendukung menjalankan kode tanpa menyediakan atau mengelola server.
Amazon S3 - Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek yang sangat skalabel yang dapat digunakan untuk berbagai solusi penyimpanan, termasuk situs web, aplikasi seluler, cadangan, dan danau data.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) mengoordinasikan dan mengelola pengiriman atau pengiriman pesan antara penerbit dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan topik menerima pesan yang sama.

Kode

Pola ini mencakup lampiran berikut:

ELBRequirestlstermination.zip— Kode Lambda untuk kontrol keamanan.
ELBRequirestlstermination.yml— CloudFormation Template yang mengatur acara dan fungsi Lambda.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Tentukan bucket S3.	Di konsol Amazon S3, pilih atau buat bucket S3 untuk meng-host file kode Lambda .zip. Bucket S3 ini harus berada di Wilayah AWS yang sama dengan penyeimbang beban yang ingin Anda evaluasi. Nama bucket S3 unik secara global, dan namespace dibagikan oleh semua akun AWS. Nama bucket S3 tidak dapat menyertakan garis miring terdepan.	Arsitek awan
Unggah kode Lambda.	Unggah kode Lambda (`ELBRequirestlstermination.zip`file) yang disediakan di bagian Lampiran ke bucket S3.	Arsitek awan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Luncurkan CloudFormation template AWS.	Buka CloudFormation konsol AWS di Wilayah AWS yang sama dengan bucket S3 Anda dan terapkan template terlampir. `ELBRequirestlstermination.yml` Untuk informasi selengkapnya tentang penerapan CloudFormation templat AWS, lihat Membuat tumpukan di CloudFormation konsol AWS dalam CloudFormation dokumentasi.	Arsitek awan
Lengkapi parameter dalam template.	Ketika Anda meluncurkan template, Anda akan diminta untuk informasi berikut: Bucket S3: Tentukan bucket yang Anda buat atau pilih di epik pertama. Di sinilah Anda mengunggah kode Lambda terlampir `ELBRequirestlstermination.zip` (file). Kunci S3: Tentukan lokasi file.zip Lambda di bucket S3 Anda (misalnya, atau). `ELBRequirestlstermination.zip` `controls/ELBRequirestlstermination.zip` Jangan sertakan garis miring terdepan. Email pemberitahuan: Berikan alamat email aktif tempat Anda ingin menerima notifikasi Amazon SNS. Level logging Lambda: Tentukan level logging dan frekuensi untuk fungsi Lambda. Gunakan Info untuk mencatat pesan informasi terperinci tentang kemajuan, Kesalahan untuk peristiwa kesalahan yang masih memungkinkan penerapan dilanjutkan, dan Peringatan untuk situasi yang berpotensi berbahaya.	Arsitek awan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Konfirmasi langganan.	Ketika CloudFormation template berhasil digunakan, ia mengirimkan email berlangganan ke alamat email yang Anda berikan. Anda harus mengonfirmasi langganan email ini untuk mulai menerima pemberitahuan pelanggaran.	Arsitek awan

Sumber daya terkait

Membuat tumpukan di CloudFormation konsol AWS ( CloudFormation dokumentasi AWS)
Apa itu AWS Lambda? (Dokumentasi AWS Lambda)
Apa itu Classic Load Balancer? (Dokumentasi ELB)
Apa itu Penyeimbang Beban Aplikasi? (Dokumentasi ELB)

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengatur resolusi DNS untuk jaringan hybrid di lingkungan multi-akun AWS

Lihat log dan metrik AWS Network Firewall menggunakan Splunk