AWS Global Accelerator gestisce il blocco dell'indirizzo IP da parte delle reti client principalmente attraverso il suo utilizzo di più indirizzi IP statici e routing tollerante ai guasti attraverso zone di rete isolate. A ciascun acceleratore globale vengono assegnati due indirizzi IPv4 statici (o quattro per gli acceleratori a doppio stallo), che sono anycast dalla rete AWS Edge e fungono da punti di entrata fissi per il traffico del client. Questi indirizzi IP provengono da sottoreti IP univoci in zone di rete separate, fornendo ridondanza [10].
Se una rete client blocca uno degli indirizzi IP statici o se è presente un'interruzione di rete che influisce su un IP, le applicazioni client possono riprovare la propria connessione utilizzando l'altro indirizzo IP statico da una diversa zona di rete isolata. Questo progetto garantisce un'elevata disponibilità e tolleranza ai guasti consentendo di instradare il traffico tramite un indirizzo IP alternativo che non viene bloccato o interrotto [3] [10].
Inoltre, Global Accelerator supporta "Porta il proprio IP" (BYOIP), consentendo ai clienti di utilizzare i propri intervalli di indirizzo IP come punti di ingresso statici. Questo può aiutare in scenari in cui i clienti hanno IP consentono elenchi o restrizioni, poiché i clienti possono portare IP che sono già affidabili o whitelist dalle reti client [2] [8].
Per quanto riguarda la conservazione dell'indirizzo IP del client, l'acceleratore globale può preservare l'indirizzo IP del client originale quando si trasferisce il traffico verso endpoint come bilanciatori del carico dell'applicazione o bilanciatori del carico di rete. Ciò è importante per i controlli di sicurezza come il filtro IP o le regole del firewall a livello di endpoint. Quando la conservazione dell'IP client è abilitata, l'IP client originale appare nelle intestazioni (ad esempio, X-Forwarded) ed è visibile a AWS WAF o gruppi di sicurezza, consentendo il controllo di accesso a grana fine in base agli IP del client anziché su IPS Accelerator globale [1] [5] [7] [9].
In sintesi, l'acceleratore globale mitiga il blocco dell'indirizzo IP di:
- Fornire due indirizzi IP statici da zone di rete separate per garantire ridondanza e tolleranza ai guasti. Se un IP è bloccato, il traffico può essere ritenuto sull'altro [3] [10].
- consentendo ai clienti di portare i propri indirizzi IP, che possono essere pre-approvati o consentiti dalle reti client [2] [8].
- Supportare la conservazione dell'indirizzo IP client, abilitando le politiche di sicurezza all'endpoint da filtrare in base all'IP client originale anziché agli indirizzi IP dell'acceleratore [1] [5] [7] [9].
Questa combinazione di ridondanza IP statica, BYOIP e conservazione IP client aiuta a mantenere la connettività e gestire efficacemente il blocco IP dalle reti client.
Citazioni:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalackcelerator--imit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-iply-ip-filter-on-waf-to-access-from-aws-global-ackcelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalackcelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-ackcelerator-guide.pdf