AWS Global Accelerator interaguje s bezpečnostními skupinami především prostřednictvím elastických síťových rozhraní (ENIS), které vytváří ve vašem VPC pro správu IP adresy a směrování provozu do vašich koncových bodů. Zde je podrobné vysvětlení toho, jak skupiny bezpečnosti pracují s globálním akcelerátorem:
Elastická síťová rozhraní a skupiny zabezpečení
- Globální akcelerátor vytvoří jedno elastické síťové rozhraní na podsíť, kde máte registrované koncové body. Tato ENIS jsou logická rozhraní, která zpracovávají směrování provozu, ale nepředstavují jediného hostitele nebo úzkého místa; Jsou součástí horizontálně upravené, vysoce dostupné služby [2] [5].
- Všechny Enis vytvořené globálním akcelerátorem ve stejném VPC sdílejí jednu skupinu zabezpečení, kterou Global Accelerator pro tento VPC automaticky vytváří. To znamená bez ohledu na to, s jakou podsítou je ENI spojen, používá stejnou skupinu bezpečnosti [2].
- Skupina bezpečnosti vytvořená Global Accelerator řídí provoz, který může proudit do koncových bodů za akcelerátorem. Neměli byste upravit pravidla této skupiny bezpečnosti, protože změny mohou způsobit zdravotní problémy s koncovým bodem. Pokud potřebujete upravit přístup, doporučuje se kontaktovat podporu AWS [2].
Používání skupin zabezpečení s koncovými body
- Skupinu Security Global Accelerator můžete použít jako zdrojovou skupinu ve svých vlastních skupinách zabezpečení pro vaše koncové body (např. Instance EC2, vyvažovače síťového zatížení, vyvažovače zatížení aplikací). To vám umožní omezit přístup tak, aby byl povolen pouze provoz přicházející prostřednictvím globálního akcelerátoru, což účinně blokuje přímý přístup k koncovým bodům z jiných zdrojů [2] [8].
- Například, pokud chcete, aby váš aplikační zátěž (Alb) přijímal provoz pouze z globálního akcelerátoru, můžete nakonfigurovat skupinu Security Group tak, aby umožňovala příchozí provoz pouze ze skupiny Global Accelerator Security Group. Toto nastavení zvyšuje zabezpečení zajištěním, že veškerý provoz do vašich koncových bodů bude směrován prostřednictvím globálního akcelerátoru [8].
Skupiny správy a zabezpečení IP adresy
- Global Accelerator poskytuje statické IP adresy Anycast, které jsou spojeny s vaším akcelerátorem. Tyto IP jsou před ENIS ve vašich podsítích VPC. Skupina bezpečnosti připojená k těmto Enis řídí provoz, který dosahuje vašich koncových bodů [4] [9].
- Pokud používáte globální akcelerátor s koncovými body v soukromých podsítích, musíte mít internetovou bránu připojenou k VPC. Skupiny zabezpečení ve vašich koncových bodech musí být nakonfigurovány tak, aby umožňovaly příchozí provoz ze skupiny Global Accelerator Security Group nebo statické IP adresy, aby bylo zajištěno správné připojení [5].
Skupiny pro ochranu a zabezpečení IP adresy klienta
- U některých typů koncových bodů (vyvažovače zatížení aplikací, vyvažovače síťového zatížení se skupinami zabezpečení a instance EC2) může globální akcelerátor zachovat původní klientskou IP adresu. Abychom to podpořili, používají se ENIS vytvořený globálním akcelerátorem a skupiny bezpečnosti musí odpovídajícím způsobem umožnit provoz [5] [6].
- Skupiny zabezpečení ve vašich koncových bodech se vztahují na veškerý provoz, který přichází ve vašem instancích, včetně provozu předávaným globálním akcelerátorem. Proto musíte zajistit, aby vaše skupiny zabezpečení umožnily provoz z globálního akcelerátoru Enis nebo jejich přidružených rozsahů IP [5].
osvědčené postupy
- Neměňte ručně skupinu zabezpečení vytvořenou globálním akcelerátorem. Místo toho nakonfigurujte skupiny zabezpečení koncových bodů tak, aby jako zdroj umožňovaly provoz ze skupiny Global Accelerator Security Group.
- Pro své koncové body použijte soukromé podsítky, pokud chcete omezit provoz tak, aby prošel pouze globálním akcelerátorem a zvýšil zabezpečení.
- Ujistěte se, že váš VPC má v podsítěch dostatečnou kapacitu IP adresy, aby vyhovoval Enis, který vytvoří globální akcelerátor.
- Pokud chcete omezit přístup k koncovým bodům striktně prostřednictvím globálního akcelerátoru, nakonfigurujte své skupiny zabezpečení koncových bodů odpovídajícím způsobem tak, že jako zdroj umožňují pouze skupinu Global Accelerator Security Group [2] [3] [8].
Stručně řečeno, Global Accelerator spravuje IP adresy prostřednictvím elastických síťových rozhraní ve vašem VPC, z nichž každá je spojena s globální skupinou bezpečnosti vytvořené akcelerátorem na VPC. Tato skupina zabezpečení se používá k řízení toku provozu do vašich koncových bodů a měli byste nakonfigurovat skupiny zabezpečení koncových bodů tak, aby provoz z této skupiny umožnil zajistit bezpečné a spolehlivé směrování klientských požadavků prostřednictvím globálního akcelerátoru. Úprava skupiny Global Accelerator Security Group je odrazena, aby se zabránilo zdravotním problémům koncových bodů. Místo toho jej použijte jako zdroj ve svých vlastních bezpečnostních skupinách k omezení přístupu pouze k provozu globálního akcelerátoru.
Citace:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-pactices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-cliet-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/