AWS Global Accelerator obsługuje blokowanie adresów IP według sieci klientów przede wszystkim poprzez użycie wielu statycznych adresów IP i routingu odpornego na awarie w izolowanych strefach sieciowych. Każdy globalny akcelerator jest przypisany dwa statyczne adresy IPv4 (lub cztery dla akceleratorów z podwójnym stosem), które są one wycofane z sieci AWS Edge i służą jako ustalone punkty wejścia dla ruchu klienta. Te adresy IP pochodzą z unikalnych podsieci IP w osobnych strefach sieciowych, zapewniając nadmiarowość [10].
Jeśli sieć klienta blokuje jeden ze statycznych adresów IP lub jeśli występuje zakłócenie sieci wpływające na jedno IP, aplikacje klientów mogą ponowić ponowne połączenie przy użyciu drugiego statycznego adresu IP z innej izolowanej strefy sieci. Ta konstrukcja zapewnia wysoką dostępność i tolerancję błędów, umożliwiając kierowanie ruchem za pomocą alternatywnego adresu IP, który nie jest zablokowany ani zakłócony [3] [10].
Ponadto globalny akcelerator obsługuje „Przynieś własny adres IP” (BYOIP), umożliwiając klientom korzystanie z własnych zakresów adresów IP jako statycznych punktów wejścia. Może to pomóc w scenariuszach, w których klienci mają IP zezwala na listy lub ograniczenia, ponieważ klienci mogą przynosić IP, które są już zaufane lub białe listy sieciowe [2] [8].
Jeśli chodzi o ochronę adresu IP klienta, globalny akcelerator może zachować oryginalny adres IP klienta podczas przekazywania ruchu na punkty końcowe, takie jak równoważenie ładunku aplikacji lub równoważenie obciążenia sieciowego. Jest to ważne dla kontroli bezpieczeństwa, takich jak filtrowanie IP lub reguły zapory ogniowej na poziomie punktu końcowego. Gdy włączono ochronę IP klienta, oryginalny adres IP klienta pojawia się w nagłówkach (np. X-forward-for) i jest widoczny dla AWS WAF lub grup bezpieczeństwa, umożliwiając dokładną kontrolę dostępu na podstawie IP klienta, a nie na IPS globalny Accelerator [1] [5] [7] [9] [9].
Podsumowując, globalny akcelerator łagodzi blokowanie adresu IP przez:
- Zapewnienie dwóch statycznych adresów IP z oddzielnych stref sieciowych w celu zapewnienia redundancji i tolerancji błędów. Jeśli jedno IP jest zablokowane, ruch można pobrać na drugim [3] [10].
- Umożliwienie klientom przyniesienia własnych adresów IP, które mogą być wstępnie zatwierdzone lub dozwolone przez sieci klientów [2] [8].
- Obsługa ochrony adresów IP klienta, umożliwiając zasady bezpieczeństwa w punkcie końcowym filtrowanie na podstawie oryginalnego IP klienta, a nie adresy IP Accelerator [1] [5] [7] [9].
Ta kombinacja statycznej redundancji IP, BYOIP i konserwacji IP klienta pomaga utrzymać łączność i skutecznie zarządzać blokowaniem IP przez sieci klientów.
Cytaty:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-cient-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaclelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaclelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-cient-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-goide.pdf