文档首页/ 弹性负载均衡 ELB/ 最佳实践/ 安全防护/ ELB安全最佳实践
更新时间:2025-08-28 GMT+08:00
查看PDF
分享

ELB安全最佳实践

  1. 建议合理地使用身份凭证,提升账号安全

    无论用户通过ELB控制台还是API、SDK访问ELB,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。ELB服务基于统一身份认证服务(Identity and Access Management,IAM),支持四种身份认证方式:用户名密码、访问密钥、临时访问密钥、AccessCode凭证。同时还提供登录保护登录验证策略

    1. 建议使用临时AK/SK进行业务处理,减小凭证泄露导致数据泄露的风险。

      使用ELB API或SDK查询指标、告警等资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥通过委托获取临时AK/SK

    2. 定期轮转永久AK/SK减小凭证泄漏导致数据泄露的风险。
    3. 定期修改用户名密码,避免使用弱密码。

      定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少安全威胁,提高用户的安全意识。同时建议您提高配置密码的复杂度,避免使用弱密码。详情请参见密码策略

  2. 建议针对不同的用户授予不同的API的管理权限

    ELB的API的权限管理,参见ELB权限管理ELB权限授权项说明

  3. 建议关闭API接口的“证书私钥显示”功能

    在业务在使用ELB的HTTPS监听器/TLS监听器时,需要用户首先将证书托管到ELB服务,ELB服务查询证书的API能够返回证书和私钥。如果证书API授权不合理,容易导致私钥泄露,可能引发安全风险。一旦私钥泄露,可能带来攻击者劫持拦截伪造数据的风险。提供如下操作建议:

    1. 关闭“证书私钥显示”功能

      您可以通过API关闭该功能,关闭方法请参见修改证书私钥字段回显开关

    2. 限制用户权限

      所有者将ELB的证书私钥显示开关的API修改禁用。

      在IAM权限管理控制台中设置自定义权限策略,示例如下:

      {     
     "Version": "1.1",  
     "Statement": [  
         {  
             "Effect": "Deny",  
             "Action": [  
                 "elb:certificates:setPrivateKeyEcho"  
             ]  
         }  
     ]  
 }
  4. 建议设置监听器访问控制,提升访问安全

    用户可以通过设置白名单和黑名单的方式控制访问负载均衡监听器的IP。

    通过白名单能够设置允许特定IP访问,而其它IP不许访问。

    通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。

    详情参见访问控制策略

  5. 建议HTTP监听器重定向到HTTPS监听器,提升业务安全性

    将HTTP监听器重定向HTTPS监听器,可以提升业务的安全性,详情请参见HTTP请求重定向到HTTPS

  6. 建议针对高安全的业务,使用HTTPS的双向认证以及自定义TLS安全策略
    1. HTTPS双向认证

      一般的HTTPS业务场景只对服务器做认证,因此只需要配置服务器的证书即可。某些关键业务,需要对通信双方的身份都要做认证,以确保业务的安全性。

      此时,除了配置服务器的证书之外,还需要配置客户端的证书,以实现通信双方的双向认证功能。 具体操作,参见通过ELB部署HTTPS双向认证

    2. 自定义TLS安全策略

      对于需要加密传输的应用,通常会配置HTTPS加密以确保数据的安全传输。弹性负载均衡默认支持部分常用的TLS安全策略来满足您的安全加密需求。

      在创建和配置HTTPS监听器时,您可以选择使用合适的默认安全策略,或者创建自定义策略,来提高您的业务安全性。TLS安全策略包含TLS协议版本和配套的加密算法套件。 具体操作,参见配置TLS安全策略

  7. 建议开通审计日志功能,记录ELB的操作事件用于审计。

    云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

    用户开通云审计服务后,ELB可记录ELB的操作事件用于审计。

    1. CTS的详细介绍和开通配置方法,请参见CTS快速入门
    2. ELB支持审计的操作事件请参见支持审计的关键操作
    3. 查看审计日志请参见查看审计日志
  8. 建议订阅ELB业务监控的关键告警指标,以防业务过载。

    云监控(Cloud Eye)服务是面向华为云资源的监控平台,提供了实时监控、及时告警、资源分组、站点监控等能力,使您全面了解云上资源的使用情况和业务的运行状况。

    通过云监控,可以按时间轴查看ELB的网络流量,错误日志相关情况,动态告警分析潜在风险。

    关于弹性负载均衡服务支持的监控指标,以及如何创建监控告警规则等内容,请参见监控弹性负载均衡

    主要业务监控项的告警配置操作,请参见通过CES监控ELB业务状况并设置告警

父主题: 安全防护