Sicurezza dell'infrastruttura in Elastic Load Balancing - Sistema di bilanciamento del carico elastico
Isolamento della reteControllo del traffico di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in Elastic Load Balancing

In quanto servizio gestito, Elastic Load Balancing è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizzi chiamate API AWS pubblicate per accedere a Elastic Load Balancing attraverso la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Isolamento della rete

Un cloud privato virtuale (VPC) è una rete virtuale nella propria area logicamente isolata nel cloud. AWS Una sottorete è un intervallo di indirizzi IP in un VPC. Quando si crea un sistema di bilanciamento del carico, occorre specificare una o più sottoreti per i nodi del sistema di bilanciamento del carico. Puoi distribuire EC2 istanze nelle sottoreti del tuo VPC e registrarle con il tuo sistema di bilanciamento del carico. Per ulteriori informazioni su VPC e sottoreti, consulta la Guida per l'utente di Amazon VPC.

Quando si crea un sistema di bilanciamento del carico in un VPC, può essere collegato a Internet o interno. Un sistema di bilanciamento del carico interno può instradare solo le richieste provenienti da client con accesso al VPC per il sistema di bilanciamento del carico.

Il sistema di bilanciamento del carico invia le richieste alle destinazioni registrate utilizzando gli indirizzi IP privati. Pertanto, le tue destinazioni non necessitano di indirizzi IP pubblici per ricevere le richieste da un sistema di bilanciamento del carico.

Per chiamare l'API di Elastic Load Balancing dal tuo VPC utilizzando indirizzi IP privati, utilizza AWS PrivateLink. Per ulteriori informazioni, consulta Accesso a Elastic Load Balancing utilizzando un endpoint di interfaccia (AWS PrivateLink).

Controllo del traffico di rete

Considera le seguenti opzioni per proteggere il traffico di rete quando si utilizza un sistema di bilanciamento del carico:

  • Utilizza ascoltatori sicuri per supportare la comunicazione crittografata tra i client e i sistemi di bilanciamento del carico. I sistemi Application Load Balancer supportano gli ascoltatori HTTPS. I sistemi Network Load Balancer supportano gli ascoltatori TLS. I sistemi Classic Load Balancer supportano ascoltatori sia HTTPS che TLS. È possibile scegliere tra le policy di sicurezza predefinite per il sistema di bilanciamento del carico per specificare le suite di crittografia e le versioni del protocollo supportate dall'applicazione. Puoi utilizzare AWS Certificate Manager (ACM) o AWS Identity and Access Management (IAM) per gestire i certificati del server installati sul tuo sistema di bilanciamento del carico. È possibile utilizzare il protocollo SNI (Server Name Indication) per servire più siti Web sicuri utilizzando un unico listener sicuro. Il protocollo SNI viene abilitato automaticamente per il sistema di bilanciamento del carico quando si associano più certificati del server a un listener sicuro.

  • Configura i gruppi di sicurezza affinché i sistemi Application Load Balancer e Classic Load Balancer accettino il traffico solo da client specifici. Questi gruppi di sicurezza devono consentire il traffico in ingresso dai client sulle porte del listener e il traffico in uscita verso i client.

  • Configura i gruppi di sicurezza per le tue EC2 istanze Amazon in modo che accettino il traffico solo dal sistema di bilanciamento del carico. Questi gruppi di sicurezza devono consentire il traffico in ingresso dal sistema di bilanciamento del carico sulle porte del listener e sulle porte di controllo dello stato.

  • Configura l'Application Load Balancer affinché autentichi in modo sicuro gli utenti tramite un provider di identità o utilizzando le identità aziendali. Per ulteriori informazioni, consulta Autenticazione degli utenti tramite Application Load Balancer.

  • Utilizza AWS WAF con gli Application Load Balancers per consentire o bloccare le richieste in base alle regole in una lista di controllo accessi Web (ACL Web).