Πώς αλληλεπιδρούν οι ομάδες ασφαλείας με το Global Accelerator για τη διαχείριση διευθύνσεων IP

Ελαστικές διεπαφές δικτύου και ομάδες ασφαλείας

- Ο Global Accelerator δημιουργεί ένα ελαστικό διεπαφή δικτύου ανά υποδίκτυο όπου έχετε καταχωρήσει τα τελικά σημεία. Αυτά τα ENIs είναι λογικές διεπαφές που χειρίζονται τη δρομολόγηση της κυκλοφορίας, αλλά δεν αντιπροσωπεύουν έναν μόνο κεντρικό υπολογιστή ή συμφόρηση. Είναι μέρος μιας οριζόντια κλιμακωτής, εξαιρετικά διαθέσιμης υπηρεσίας [2] [5].

- Όλα τα ENI που δημιουργούνται από τον Global Accelerator στο ίδιο VPC μοιράζονται μια ενιαία ομάδα ασφαλείας που δημιουργεί αυτόματα η Global Accelerator για το VPC. Αυτό σημαίνει ότι ανεξάρτητα από το ποια υποδίκτυο συσχετίζεται με το ENI, χρησιμοποιεί την ίδια ομάδα ασφαλείας [2].

- Η ομάδα ασφαλείας που δημιουργήθηκε από τον Global Accelerator ελέγχει την κυκλοφορία που μπορεί να ρέει στα τελικά σημεία πίσω από τον επιταχυντή. Δεν πρέπει να τροποποιήσετε τους κανόνες αυτής της ομάδας ασφαλείας, επειδή οι αλλαγές μπορεί να προκαλέσουν προβλήματα υγείας τελικού σημείου. Εάν πρέπει να προσαρμόσετε την πρόσβαση, συνιστάται να επικοινωνήσετε με την υποστήριξη AWS [2].

Χρήση ομάδων ασφαλείας με τελικά σημεία

- Μπορείτε να χρησιμοποιήσετε την Ομάδα Ασφαλείας Global Accelerator ως ομάδα προέλευσης στις δικές σας ομάδες ασφαλείας για τα τελικά σας σημεία (π.χ. EC2 περιπτώσεις, εξισορροπητές φορτίου δικτύου, εξισορροπητές φορτίου εφαρμογής). Αυτό σας επιτρέπει να περιορίσετε την πρόσβαση, έτσι ώστε να επιτρέπεται μόνο η κυκλοφορία μέσω του Global Accelerator, εμποδίζοντας αποτελεσματικά την άμεση πρόσβαση στα τελικά σημεία από άλλες πηγές [2] [8].

- Για παράδειγμα, εάν θέλετε το Balancer Load Load Application (ALB) να αποδεχθεί την κυκλοφορία μόνο από το Global Accelerator, μπορείτε να διαμορφώσετε την ομάδα ασφαλείας του Alb για να επιτρέψετε την εισερχόμενη κυκλοφορία μόνο από την Ομάδα Ασφαλείας Global Accelerator. Αυτή η ρύθμιση ενισχύει την ασφάλεια διασφαλίζοντας ότι όλη η κυκλοφορία στα τελικά σημεία σας δρομολογείται μέσω του Global Accelerator [8].

Ομάδες Διαχείρισης Διεύθυνσης και Ασφάλειας Διεύθυνσης IP

- Το Global Accelerator παρέχει στατικές διευθύνσεις IP Anycast που σχετίζονται με τον επιταχυντή σας. Αυτά τα IPs είναι μπροστά από το ENIS στα υποδίκτυά σας VPC. Η ομάδα ασφαλείας που συνδέεται με αυτά τα ENIs διέπει την κυκλοφορία που φτάνει στα τελικά σας σημεία [4] [9].

- Όταν χρησιμοποιείτε το Global Accelerator με τελικά σημεία σε ιδιωτικά υποδίκτυα, πρέπει να έχετε μια πύλη Internet που συνδέεται με το VPC. Οι ομάδες ασφαλείας στα τελικά σας σημεία πρέπει να ρυθμιστούν ώστε να επιτρέπουν την εισερχόμενη κυκλοφορία από την Ομάδα Ασφαλείας Global Accelerator ή τις στατικές διευθύνσεις IP για να εξασφαλιστεί η σωστή συνδεσιμότητα [5].

Ομάδες Διατήρησης Διεύθυνσης και Ασφαλείας Διεύθυνσης Πελατών

- Για ορισμένους τύπους τελικού σημείου (εξισορροπητές φορτίου εφαρμογής, εξισορροπητές φορτίου δικτύου με ομάδες ασφαλείας και περιπτώσεις EC2), ο Global Accelerator μπορεί να διατηρήσει την αρχική διεύθυνση IP πελάτη. Για να υποστηρίξει αυτό, χρησιμοποιείται το ENIS που δημιουργείται από το Global Accelerator και οι ομάδες ασφαλείας πρέπει να επιτρέπουν ανάλογα την κυκλοφορία [5] [6].

- Οι ομάδες ασφαλείας στα τελικά σας σημεία ισχύουν για όλες τις κυκλοφορίες που φτάνουν στις περιπτώσεις σας, συμπεριλαμβανομένης της κυκλοφορίας που προωθείται από το Global Accelerator. Επομένως, πρέπει να διασφαλίσετε ότι οι ομάδες ασφαλείας σας επιτρέπουν την κυκλοφορία από τον παγκόσμιο επιταχυντή ENIS ή τις σχετικές περιοχές IP [5].

Βέλτιστες πρακτικές

- Μην τροποποιείτε με μη αυτόματο τρόπο την ομάδα ασφαλείας που δημιουργήθηκε από το Global Accelerator. Αντ 'αυτού, διαμορφώστε τις ομάδες ασφαλείας του τελικού σημείου για να επιτρέψετε την κυκλοφορία από την Ομάδα Ασφαλείας Global Accelerator ως πηγή.

- Χρησιμοποιήστε ιδιωτικά υποδίκτυα για τα τελικά σας σημεία, εάν θέλετε να περιορίσετε την επισκεψιμότητα για να έρθετε μόνο μέσω του Global Accelerator, ενισχύοντας την ασφάλεια.

- Βεβαιωθείτε ότι το VPC σας διαθέτει επαρκή χωρητικότητα διεύθυνσης IP στα υποδίκτυα για να φιλοξενήσει το ENIS που θα δημιουργήσει το Global Accelerator.

- Εάν θέλετε να περιορίσετε την πρόσβαση στα τελικά σημεία σας αυστηρά μέσω του Global Accelerator, διαμορφώστε ανάλογα τις ομάδες ασφαλείας του τελικού σημείου, επιτρέποντας μόνο την ομάδα ασφαλείας Global Accelerator ως πηγή [2] [3] [8].

Συνοπτικά, ο Global Accelerator διαχειρίζεται τις διευθύνσεις IP μέσω ελαστικών διεπαφών δικτύου στο VPC σας, το καθένα που σχετίζεται με μια παγκόσμια ομάδα ασφαλείας που δημιουργείται από επιταχυντή ανά VPC. Αυτή η ομάδα ασφαλείας χρησιμοποιείται για τον έλεγχο της ροής της κυκλοφορίας στα τελικά σας σημεία και θα πρέπει να διαμορφώσετε τις ομάδες ασφαλείας του τελικού σημείου για να επιτρέψετε την κυκλοφορία από αυτήν την ομάδα για να εξασφαλίσετε ασφαλή και αξιόπιστη δρομολόγηση των αιτημάτων πελατών μέσω του Global Accelerator. Η τροποποίηση της Ομάδας Ασφαλείας του Global Accelerator αποθαρρύνεται για να αποφευχθούν τα θέματα υγείας του τελικού σημείου. Αντ 'αυτού, χρησιμοποιήστε το ως πηγή στις δικές σας ομάδες ασφαλείας για να περιορίσετε την πρόσβαση μόνο σε παγκόσμια κυκλοφορία επιταχυντών.

Αναφορές:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://suppor
[8] https://repost.aws/questions/qufcukxyddttt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/