AWS Global Accelerator, öncelikle birden fazla statik IP adresi ve izole ağ bölgeleri arasında hataya dayanıklı yönlendirme kullanarak istemci ağları tarafından IP adresi engellemeyi işler. Her Global Hızlandırıcı, AWS Edge Network'ten Anycast olan ve istemci trafiği için sabit giriş noktaları olarak hizmet veren iki statik IPv4 adresi (veya çift yığın hızlandırıcılar için dördü) atanır. Bu IP adresleri, yedeklilik sağlayan ayrı ağ bölgelerindeki benzersiz IP alt ağlarından gelir [10].
Bir istemci ağı statik IP adreslerinden birini engellerse veya bir IP'yi etkileyen bir ağ kesintisi varsa, istemci uygulamaları farklı bir izole ağ bölgesinden diğer statik IP adresini kullanarak bağlantılarını yeniden deneyebilir. Bu tasarım, trafiğin engellenmeyen veya bozulmayan alternatif bir IP adresi aracılığıyla yönlendirilmesine izin vererek yüksek kullanılabilirlik ve arıza toleransı sağlar [3] [10].
Ayrıca, Global Hızlandırıcı "Kendi IP'nizi Getir" (BYOIP), müşterilerin kendi IP adres aralıklarını statik giriş noktaları olarak kullanmalarına izin verir. Bu, müşterilerin müşteri ağları tarafından zaten güvenilir veya beyaz liste olan IP'leri getirebileceğinden, müşterilerin IP'ye izin verdiği veya kısıtlamalara izin verdiği senaryolarda yardımcı olabilir [2] [8].
İstemci IP Adresi Koruma ile ilgili olarak, Global Hızlandırıcı, trafiği uygulama yük dengeleyicileri veya ağ yük dengeleyicileri gibi uç noktalara iletirken orijinal istemci IP adresini koruyabilir. Bu, uç nokta düzeyinde IP filtreleme veya güvenlik duvarı kuralları gibi güvenlik kontrolleri için önemlidir. İstemci IP koruması etkinleştirildiğinde, orijinal istemci IP başlıklarda (örn. X-forward-for) görünür ve AWS WAF veya güvenlik grupları tarafından görülebilir ve küresel hızlandırıcı IPS [1] [5] [7] [9] [9] yerine istemci IPS'ye dayalı ince taneli erişim kontrolüne izin verir.
Özetle, Global Hızlandırıcı IP Adresi Engellemeyi Azaltır:
- Artıklık ve arıza toleransı sağlamak için ayrı ağ bölgelerinden iki statik IP adresi sağlamak. Bir IP engellenirse, trafik diğerine retleştirilebilir [3] [10].
- Müşterilerin müşteri ağları tarafından önceden onaylanabilen veya izin verilebilen kendi IP adreslerini getirmelerine izin vermek [2] [8].
- İstemci IP adresi korumasını desteklemek, uç noktadaki güvenlik politikalarının hızlandırıcının IP adresleri yerine orijinal istemci IP'sine göre filtrelenmesini sağlar [1] [5] [7] [9].
Statik IP yedekleme, BYOIP ve istemci IP korumasının bu kombinasyonu, bağlantının korunmasına ve istemci ağlarına göre IP engellemeyi yönetmeye yardımcı olur.
Alıntılar:
[1] https://docs.aws.amazon.com/global-acelerator/latest/dg/preserve-flient-ip-address.html
[2] https://aws.amazon.com/global-accelerator/features/
[3] https://aws.amazon.com/global-accelerator/faqs/
[4] https://repost.aws/knowledge-center/globalaccelerator-mit-endpoint-aces-by-securitygroup
[5] https://www.wafcharm.com/en/blog/how-to-pply-ip-filter-on-waf-to-a-cess-from-aws-global-acelerator/
[6] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[7] https://docs.aws.amazon.com/global-acelerator/latest/dg/about-endpoints.sipp-caveats.html
[8] https://cloudchipr.com/blog/aws-global-accelerator
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-flient-ip-address.how-to-enable-preservation.html
[10] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf