AWS Global Accelerator maneja el bloqueo de direcciones IP por redes de clientes principalmente mediante el uso de múltiples direcciones IP estáticas y enrutamiento tolerante a fallas a través de zonas de red aisladas. A cada acelerador global se le asigna dos direcciones IPv4 estáticas (o cuatro para aceleradores de doble pila), que se están castando desde la red AWS Edge y sirven como puntos de entrada fijos para el tráfico del cliente. Estas direcciones IP provienen de subredes IP únicas en zonas de red separadas, proporcionando redundancia [10].
Si una red de cliente bloquea una de las direcciones IP estáticas o si hay una interrupción de la red que afecta a una IP, las aplicaciones del cliente pueden volver a intentar su conexión utilizando la otra dirección IP estática desde una zona de red aislada diferente. Este diseño garantiza una alta disponibilidad y tolerancia a fallas al permitir que el tráfico se enrute a través de una dirección IP alternativa que no está bloqueada o interrumpida [3] [10].
Además, Global Accelerator admite "Traiga su propia IP" (BYOIP), lo que permite a los clientes usar sus propios rangos de direcciones IP como puntos de entrada estáticos. Esto puede ayudar en escenarios en los que los clientes tienen listas o restricciones de Permitir IP, ya que los clientes pueden traer IP que ya son confiables o con la lista blanca por las redes de clientes [2] [8].
Con respecto a la preservación de las direcciones IP del cliente, Global Accelerator puede preservar la dirección IP del cliente original al reenviar el tráfico a puntos finales como equilibradores de carga de aplicaciones o equilibradores de carga de red. Esto es importante para controles de seguridad como el filtrado de IP o las reglas de firewall en el nivel de punto final. Cuando la preservación de IP del cliente está habilitada, la IP del cliente original aparece en los encabezados (por ejemplo, X-Forwarded-For) y es visible para AWS WAF o grupos de seguridad, lo que permite el control de acceso de grano fino basado en IP del cliente en lugar del Acelerador Global IP [1] [5] [7] [9].
En resumen, el acelerador global mitiga el bloqueo de la dirección IP por:
- Proporcionar dos direcciones IP estáticas de zonas de red separadas para garantizar la redundancia y la tolerancia a las fallas. Si se bloquea una IP, el tráfico se puede volver a jugar en el otro [3] [10].
- Permitir a los clientes traer sus propias direcciones IP, que pueden ser aprobadas o permitidas por redes de clientes [2] [8].
- Admitiendo la preservación de las direcciones IP del cliente, permitiendo las políticas de seguridad en el punto final para filtrar en función de la IP del cliente original en lugar de las direcciones IP del acelerador [1] [5] [7] [9].
Esta combinación de redundancia de IP estática, BYOIP y preservación de IP del cliente ayuda a mantener la conectividad y administrar el bloqueo de IP por las redes de clientes de manera efectiva.
Citas:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ip-filter-on-kaf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-endable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf