„AWS Global Accelerator“ tvarko IP adresų blokavimą pagal klientų tinklus, pirmiausia naudodama kelis statinius IP adresus ir gedimus atsparius maršrutus per izoliuotas tinklo zonas. Kiekvienam pasauliniam akceleratoriui priskiriami du statiniai IPv4 adresai (arba keturi-dvigubo kamieno greitintuvams), kurie yra bet kokie FORST iš AWS Edge tinklo ir tarnauja kaip fiksuoti klientų srauto įėjimo taškai. Šie IP adresai yra kilę iš unikalių IP potinklių atskirose tinklo zonose, užtikrinant atleidimą [10].
Jei kliento tinklas blokuoja vieną iš statinių IP adresų arba jei yra tinklo sutrikimas, turintis įtakos vienam IP, kliento programos gali pakartoti jų ryšį naudodamos kitą statinį IP adresą iš skirtingos izoliuotos tinklo zonos. Šis dizainas užtikrina aukštą prieinamumą ir toleranciją gedimams, nes srautas bus nukreiptas per alternatyvų IP adresą, kuris nėra užblokuotas ar sutrikdytas [3] [10].
Be to, „Global Accelerator“ palaiko „Atnešk savo IP“ (BYOIP), leisdamas klientams naudoti savo IP adresų diapazonus kaip statinius įėjimo taškus. Tai gali padėti scenarijuose, kai klientai turi IP leisti sąrašus ar apribojimus, nes klientai gali atsinešti IP, kuriais jau pasitiki ar įtraukiami klientų tinklai [2] [8].
Kalbant apie kliento IP adresų išsaugojimą, „Global Accelerator“ gali išsaugoti originalų kliento IP adresą, kai srautas į galinius taškus, pavyzdžiui, programų apkrovos balansuotojai ar tinklo apkrovos balanseriai. Tai svarbu saugos valdikliams, tokiems kaip IP filtravimo ar ugniasienės taisyklės, esančiuose galutinio taško lygyje. Kai įjungtas kliento IP išsaugojimas, originalus kliento IP pasirodo antraštėse (pvz., „X-Forwarded-for“) ir yra matomas AWS WAF ar saugos grupėms, leidžiančias plonią prieigos valdymą, pagrįstą kliento IP, o ne visuotinio greitintuvo IP [1] [5] [7] [9].
Apibendrinant galima pasakyti, kad „Global Accelerator“ sušvelnina IP adresų blokavimą:
- Du statinius IP adresus iš atskirų tinklo zonų, kad būtų užtikrintas perteklius ir tolerancija gedimams. Jei vienas IP yra užblokuotas, srautą galima pakartoti kitame [3] [10].
- leisti klientams atsinešti savo IP adresus, kuriuos gali iš anksto patvirtinti arba leisti klientų tinklai [2] [8].
- Palaiko kliento IP adresų išsaugojimą, įgalinant saugumo politiką „Endpoint“ filtruoti pagal pradinį kliento IP, o ne akceleratoriaus IP adresus [1] [5] [7] [9].
Šis statinio IP pertekliaus, BYOIP ir kliento IP išsaugojimo derinys padeda palaikyti ryšį ir efektyviai valdyti IP blokavimą pagal klientų tinklus.
Citatos:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-lient-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-apply-ipfilter-on-waf-to-access-from-aws-global-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-lient-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf