Comment les groupes de sécurité interagissent-ils avec l'accélérateur mondial pour la gestion des adresses IP

Interfaces de réseau élastique et groupes de sécurité

- L'accélérateur global crée une interface réseau élastique par sous-réseau où vous avez enregistré les points de terminaison. Ces EIS sont des interfaces logiques qui gèrent le routage du trafic mais ne représentent pas un seul hôte ou un goulot d'étranglement; Ils font partie d'un service hautement disponible à l'échelle horizontale [2] [5].

- Tous les EIS créés par Global Accelerator au sein du même VPC partagent un seul groupe de sécurité que Global Accelerator crée automatiquement pour ce VPC. Cela signifie quel que soit le sous-réseau à laquelle un ENI est associé, il utilise le même groupe de sécurité [2].

- Le groupe de sécurité créé par Global Accelerator contrôle le trafic qui peut passer aux points de terminaison derrière l'accélérateur. Vous ne devez pas modifier les règles de ce groupe de sécurité car les modifications peuvent entraîner des problèmes de santé. Si vous devez ajuster l'accès, il est recommandé de contacter le support AWS [2].

Utilisation de groupes de sécurité avec des points de terminaison

- Vous pouvez utiliser le Global Accelerator Security Group en tant que groupe source dans vos propres groupes de sécurité pour vos points de terminaison (par exemple, les instances EC2, les équilibreurs de charge de réseau, les équilibreurs de charge d'application). Cela vous permet de restreindre l'accès afin que seul le trafic provenant de l'accélérateur global soit autorisé, bloquant efficacement l'accès direct aux points de terminaison provenant d'autres sources [2] [8].

- Par exemple, si vous souhaitez que votre équilibreur de chargement d'application (ALB) n'accepte le trafic uniquement à partir de l'accélérateur global, vous pouvez configurer le groupe de sécurité Alb's pour autoriser le trafic entrant uniquement à partir du groupe de sécurité accélérateur mondial. Cette configuration améliore la sécurité en s'assurant que tout le trafic vers vos points de terminaison est acheminé via Global Accelerator [8].

Gestion des adresses IP et des groupes de sécurité

- Global Accelerator fournit des adresses IP Anycast statiques associées à votre accélérateur. Ces IPS sont frontière par l'EIS dans vos sous-réseaux VPC. Le groupe de sécurité attaché à ces EIS régit le trafic qui atteint vos points de terminaison [4] [9].

- Lorsque vous utilisez l'accélérateur global avec des points de terminaison dans des sous-réseaux privés, vous devez avoir une passerelle Internet attachée au VPC. Les groupes de sécurité sur vos points de terminaison doivent être configurés pour permettre le trafic entrant du groupe de sécurité accélérateur global ou les adresses IP statiques pour assurer une connectivité appropriée [5].

groupes de préservation et de sécurité des adresses IP du client

- Pour certains types de points de terminaison (équilibreurs de charge d'application, équilibreurs de charge de réseau avec des groupes de sécurité et des instances EC2), Global Accelerator peut préserver l'adresse IP du client d'origine. Pour soutenir cela, les EIS créés par l'accélérateur global sont utilisés et les groupes de sécurité doivent permettre le trafic en conséquence [5] [6].

- Les groupes de sécurité de vos points de terminaison s'appliquent à tout le trafic arrivant à vos instances, y compris le trafic transmis par Global Accelerator. Par conséquent, vous devez vous assurer que vos groupes de sécurité permettent le trafic de l'accélérateur mondial ENIS ou de leurs gammes IP associées [5].

meilleures pratiques

- Ne modifiez pas manuellement le groupe de sécurité créé par Global Accelerator. Au lieu de cela, configurez vos groupes de sécurité Endpoint pour permettre le trafic du groupe de sécurité accélérateur global comme source.

- Utilisez des sous-réseaux privés pour vos points de terminaison si vous souhaitez restreindre le trafic pour passer uniquement par accélérateur global, améliorant la sécurité.

- Assurez-vous que votre VPC a une capacité d'adresse IP suffisante dans les sous-réseaux pour accueillir l'EIS que l'accélérateur global créera.

- Si vous souhaitez limiter strictement l'accès à vos points de terminaison via Global Accelerator, configurez vos groupes de sécurité de terminaison en conséquence en autorisant uniquement le Global Accelerator Security Group en tant que source [2] [3] [8].

En résumé, l'accélérateur global gère les adresses IP via des interfaces de réseau élastiques dans votre VPC, chacune associée à un groupe de sécurité créé par accélérateur par accélérateur par VPC. Ce groupe de sécurité est utilisé pour contrôler le flux de trafic vers vos points de terminaison, et vous devez configurer vos groupes de sécurité de point de terminaison pour permettre le trafic de ce groupe pour assurer un routage sécurisé et fiable des demandes du client via l'accélérateur global. La modification du groupe mondial de sécurité des accélérateurs est découragée pour éviter les problèmes de santé des points finaux. Au lieu de cela, utilisez-le comme source dans vos propres groupes de sécurité pour restreindre l'accès au seul trafic d'accélérateur mondial.

Citations:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20User%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/