O AWS Global Acelerator lida com o bloqueio de endereço IP por redes de clientes principalmente através do uso de vários endereços IP estáticos e roteamento tolerante a falhas nas zonas de rede isoladas. Cada acelerador global recebe dois endereços IPv4 estáticos (ou quatro para aceleradores de pilha dupla), que são de qualquer maneira da rede AWS Edge e servem como pontos de entrada fixos para o tráfego do cliente. Esses endereços IP vêm de sub -redes IP exclusivas em zonas de rede separadas, fornecendo redundância [10].
Se uma rede de clientes bloquear um dos endereços IP estáticos ou se houver uma interrupção de rede que afeta um IP, os aplicativos do cliente poderão tentar novamente sua conexão usando o outro endereço IP estático de uma zona de rede isolada diferente. Esse design garante alta disponibilidade e tolerância a falhas, permitindo que o tráfego seja roteado através de um endereço IP alternativo que não é bloqueado ou interrompido [3] [10].
Além disso, o Global Accelerator suporta "Bring Your Own IP" (BYOIP), permitindo que os clientes usem seus próprios faixas de endereço IP como pontos de entrada estáticos. Isso pode ajudar em cenários em que os clientes possuem listas ou restrições de IP, pois os clientes podem trazer IPs que já são confiáveis ou por permissões por redes de clientes [2] [8].
Em relação à preservação do endereço IP do cliente, o acelerador global pode preservar o endereço IP original do cliente ao encaminhar tráfego para pontos de extremidade, como balanceadores de carga de aplicativos ou balanceadores de carga de rede. Isso é importante para controles de segurança, como filtragem IP ou regras de firewall no nível do terminal. Quando a preservação do IP do cliente é ativada, o IP do cliente original aparece nos cabeçalhos (por exemplo, X-forwarded-for) e é visível para os grupos de segurança ou de segurança da AWS, permitindo o controle de acesso de granulação fina com base nos IPs do cliente em vez do IPS do acelerador global [1] [5] [7] [9].
Em resumo, o acelerador global mitiga o bloqueio de endereço IP por:
- Fornecer dois endereços IP estáticos de zonas de rede separadas para garantir redundância e tolerância a falhas. Se um IP estiver bloqueado, o tráfego poderá ser julgado no outro [3] [10].
- Permitir que os clientes tragam seus próprios endereços IP, que podem ser pré-aprovados ou permitidos pelas redes de clientes [2] [8].
- Suportando a preservação do endereço IP do cliente, permitindo que as políticas de segurança no final do ponto de extremidade sejam filtradas com base no IP original do cliente, em vez dos endereços IP do acelerador [1] [5] [7] [9].
Essa combinação de redundância de IP estática, BYOIP e preservação de IP do cliente ajuda a manter a conectividade e gerenciar o bloqueio de IP pelas redes de clientes de maneira eficaz.
Citações:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-centers/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ipfilter-on-waf-to-access-from-aws-global-accellerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-lient-ip-address.how-to-enable-preservive.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf