AWS Global Accelerator on vuorovaikutuksessa tietoturvaryhmien kanssa pääasiassa Elastic Network -rajapintojen (ENIS) kautta, jonka se luo VPC: hen IP -osoitteiden hallintaa ja liikenteen reititystä päätepisteisiisi. Tässä on yksityiskohtainen selitys siitä, kuinka turvallisuusryhmät työskentelevät globaalin kiihdyttimen kanssa:
Elastiset verkkorajapinnat ja suojausryhmät
- Globaali kiihdytin luo yhden elastisen verkkoliittymän aliverkkoa kohden, jossa päätepisteet rekisteröidään. Nämä ENIS ovat loogisia rajapintoja, jotka käsittelevät liikenteen reititystä, mutta eivät edusta yhtä isäntää tai pullonkaulaa; Ne ovat osa vaakasuoraan skaalaista, erittäin saatavilla olevaa palvelua [2] [5].
- Kaikki Global Accelerator -sovelluksen luomat ENIS: n samassa VPC: ssä jakavat yhden turvallisuusryhmän, jonka Global Accelerator luo automaattisesti kyseiselle VPC: lle. Tämä tarkoittaa riippumatta siitä, mihin aliverkkoon ENI liittyy, se käyttää samaa suojausryhmää [2].
- Globaalin kiihdyttimen luoma turvallisuusryhmä hallitsee liikennettä, joka voi virtaa kaasupolkimen takana oleviin päätepisteisiin. Sinun ei pitäisi muokata tämän tietoturvaryhmän sääntöjä, koska muutokset voivat aiheuttaa päätepisteiden terveysongelmia. Jos joudut säätämään pääsyä, on suositeltavaa ottaa yhteyttä AWS -tukeen [2].
Päätepisteiden turvallisuusryhmien käyttäminen
- Voit käyttää Global Accelerator Security Group -ryhmää lähderyhmänä omissa tietoturvaryhmäsi päätepisteissäsi (esim. EC2 -esiintymät, verkkokuorman tasapainottajat, sovelluskuorman tasapainottajat). Tämän avulla voit rajoittaa pääsyä siten, että vain globaalin kiihdyttimen kautta tulevan liikenteen on sallittu, mikä estää tehokkaasti suoran pääsyn muista lähteistä oleviin päätepisteisiin [2] [8].
- Jos haluat esimerkiksi, että sovelluskuorman tasapainottaja (ALB) hyväksyy liikenteen vain globaalista kiihdyttimestä, voit määrittää Alb: n tietoturvaryhmän sallimaan saapuvan liikenteen vain globaalista kiihdyttimen turvallisuusryhmästä. Tämä asennus parantaa turvallisuutta varmistamalla, että kaikki päätepisteihisi liikenne reititetään globaalin kiihdyttimen kautta [8].
IP -osoitteiden hallinta- ja tietoturvaryhmät
- Global Accelerator tarjoaa staattiset Anycast IP -osoitteet, jotka liittyvät kiihdyttimeen. VPC -aliverkkoihisi ENIS: llä on nämä IP: t. Näihin ENIS: ään kiinnitetty turvallisuusryhmä hallitsee päätepisteiden saavuttavaa liikennettä [4] [9].
- Kun käytät globaalia kiihdytintä, jolla on päätepisteet yksityisissä aliverkoilla, sinulla on oltava Internet -yhdyskäytävä VPC: hen. Päätepisteiden suojausryhmät on määritettävä sallimaan saapuva liikenne globaalista kiihdyttimen tietoturvaryhmästä tai staattisista IP -osoitteista asianmukaisen yhteyden varmistamiseksi [5].
Asiakkaan IP -osoitteen säilyttämis- ja tietoturvaryhmät
- Tietyille päätepistetyypeille (sovelluskuorman tasapainottajat, verkon kuormituksen tasapainottajat turvaryhmillä ja EC2 -esiintymät) globaali kiihdytin voi säilyttää alkuperäisen asiakkaan IP -osoitteen. Tämän tukemiseksi käytetään globaalin kiihdyttimen luomaa ENIS: ää, ja turvallisuusryhmien on sallittava liikenne vastaavasti [5] [6].
- Päätepisteiden turvallisuusryhmät koskevat kaikkia tapauksiin saapuvia liikennettä, mukaan lukien globaalin kiihdyttimen toimittama liikenne. Siksi sinun on varmistettava, että turvallisuusryhmäsi sallivat liikenteen globaalista kiihdyttimestä Enis tai niiden niihin liittyvät IP -alueet [5].
parhaat käytännöt
- Älä muokkaa manuaalisesti globaalin kiihdyttimen luomaa turvallisuusryhmää. Sen sijaan määritä päätepisteen suojausryhmäsi sallimaan liikenne Global Accelerator -turvallisuusryhmästä lähteenä.
- Käytä yksityisiä aliverkkoja päätepisteisiisi, jos haluat rajoittaa liikennettä vain globaalin kiihdyttimen kautta, mikä parantaa turvallisuutta.
- Varmista, että VPC: lläsi on riittävä IP -osoitekapasiteetti aliverkkoissa, jotta Global Accelerator luo ENIS: n.
- Jos haluat rajoittaa pääsyä päätepisteihisi tiukasti globaalin kiihdyttimen kautta, määritä päätepisteen suojausryhmäsi vastaavasti sallimalla vain globaalin kiihdytinturvallisuusryhmän lähteenä [2] [3] [8].
Yhteenvetona voidaan todeta, että Global Accelerator hallitsee IP-osoitteita VPC: n elastisten verkkarajapintojen kautta, joista kukin liittyy globaaliin kiihdyttimen luomiseen tietoturvaryhmään VPC: n kohdalla. Tätä tietoturvaryhmää käytetään ohjaamaan liikennevirtausta päätepisteisiisi, ja sinun on määritettävä päätepisteiden suojausryhmäsi sallimaan tämän ryhmän liikenne, jotta varmistetaan asiakaspyyntöjen turvallinen ja luotettava reititys globaalin kiihdyttimen kautta. Globaalin kiihdyttimen turvallisuusryhmän muuttaminen on lannistunut päätepisteiden terveyskysymysten välttämiseksi. Käytä sen sijaan sitä lähteenä omissa turvallisuusryhmäsi rajoittaaksesi pääsyä vain globaaliin kiihdytinliikenteeseen.
Viittaukset:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20user%20guide-pdf.pdf
.
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/