AWS Global Accelerator spracováva blokovanie IP adries podľa klientskych sietí predovšetkým prostredníctvom použitia viacerých statických IP adries a smerovania odolných voči poruchám v izolovaných sieťových zónach. Každému globálnemu akcelerátorovi sú priradené dve statické adresy IPv4 (alebo štyri pre akcelerátory s dvoma stĺpcami), ktoré sú Anycast z siete AWS Edge a slúžia ako pevné vstupné body pre prenos klienta. Tieto adresy IP pochádzajú z jedinečných podsiete IP v samostatných sieťových zónach, ktoré poskytujú redundanciu [10].
Ak klientska sieť blokuje jednu zo statických IP adries alebo ak dôjde k narušeniu siete, ktorá ovplyvňuje jednu IP, klientske aplikácie môžu opakovať svoje pripojenie pomocou inej statickej adresy IP z inej izolovanej sieťovej zóny. Táto konštrukcia zaisťuje vysokú dostupnosť a toleranciu porúch tým, že umožní smerovanie prenosu prostredníctvom alternatívnej IP adresy, ktorá nie je blokovaná alebo narušená [3] [10].
Globálny akcelerátor navyše podporuje „Prineste si vlastnú IP“ (BYOIP), čo zákazníkom umožňuje používať svoje vlastné rozsahy IP adresy ako statické vstupné body. To môže pomôcť v scenároch, v ktorých majú klienti IP umožňujú zoznamy alebo obmedzenia, pretože zákazníci môžu priniesť IP, ktoré sú už dôveryhodné alebo biele zaoberajúce sa klientskymi sieťami [2] [8].
Pokiaľ ide o zachovanie adresy IP IP, globálny akcelerátor si môže zachovať pôvodnú adresu IP klienta pri preposielaní prenosu do koncových bodov, ako sú vyvažovatelia zaťaženia aplikácií alebo vyvažovatelia siete. Je to dôležité pre bezpečnostné ovládacie prvky, ako je Filtrovanie IP alebo pravidlá firewall na úrovni koncového bodu. Ak je povolená ochrana IP klienta, pôvodná klientska IP sa objaví v hlavičkách (napr. X-vpred-for) a je viditeľná pre AWS WAF alebo bezpečnostné skupiny, čo umožňuje skôr obmedzený riadenie prístupu na základe IP klientov ako na globálnom IP IPS [1] [5] [9].
Stručne povedané, globálny akcelerátor zmierňuje blokovanie IP adresy podľa:
- Poskytovanie dvoch statických IP adries zo samostatných sieťových zón na zabezpečenie redundancie a tolerancie porúch. Ak je jedna IP zablokovaná, prenos sa môže vyzdvihnúť na druhej strane [3] [10].
- umožňujú zákazníkom priviesť svoje vlastné adresy IP, ktoré môžu byť vopred schválené alebo povolené klientskymi sieťami [2] [8].
- Podpora zachovania adresy klienta IP, ktorá umožňuje bezpečnostné zásady v koncovom bode filtrovať skôr na základe pôvodnej IP klienta ako IP adresy IP [1] [7] [9].
Táto kombinácia statickej redundancie IP, BYOIP a zachovania IP klienta pomáha udržiavať pripojenie a efektívne spravovať blokovanie IP klientskymi sieťami.
Citácie:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroupgroup
[5] https://www.wafcharm.com/en/blog/how-to-aply-ip-filter-on-waf-access-from-aws-aws-aws-awal-accelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.how-to-enable-reservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf