In che modo i gruppi di sicurezza interagiscono con l'acceleratore globale per la gestione degli indirizzi IP

Interfacce di rete elastiche e gruppi di sicurezza

- L'acceleratore globale crea un'interfaccia di rete elastica per sottorete in cui si registrano endpoint. Questi ENIS sono interfacce logiche che gestiscono il routing del traffico ma non rappresentano un singolo host o un collo di bottiglia; Fanno parte di un servizio altamente disponibile in scala orizzontalmente [2] [5].

- Tutti gli ENIS creati da Global Accelerator all'interno dello stesso VPC condividono un singolo gruppo di sicurezza che l'acceleratore globale crea automaticamente per quel VPC. Ciò significa indipendentemente dalla sottorete a cui un ENI è associato, utilizza lo stesso gruppo di sicurezza [2].

- Il gruppo di sicurezza creato da Global Accelerator controlla il traffico che può fluire verso gli endpoint dietro l'acceleratore. Non è necessario modificare le regole di questo gruppo di sicurezza perché le modifiche possono causare problemi di salute degli endpoint. Se è necessario regolare l'accesso, si consiglia di contattare il supporto AWS [2].

Utilizzo di gruppi di sicurezza con endpoint

- È possibile utilizzare il gruppo di sicurezza dell'acceleratore globale come gruppo di origine nei tuoi gruppi di sicurezza per i tuoi endpoint (ad esempio, istanze EC2, bilanciatori del carico di rete, bilanciatori del carico dell'applicazione). Ciò consente di limitare l'accesso in modo da consentire solo il traffico che si verifica attraverso l'acceleratore globale, bloccando efficacemente l'accesso diretto agli endpoint da altre fonti [2] [8].

- Ad esempio, se si desidera che il bilanciamento del carico dell'applicazione (ALB) accetti il ​​traffico solo dall'acceleratore globale, è possibile configurare il gruppo di sicurezza di Alb per consentire il traffico in entrata solo dal gruppo di sicurezza dell'acceleratore globale. Questa configurazione migliora la sicurezza garantendo che tutto il traffico per gli endpoint sia instradato attraverso l'acceleratore globale [8].

Gruppi di gestione e sicurezza degli indirizzi IP

- Global Accelerator fornisce indirizzi IP statici ANVECHATS associati all'acceleratore. Questi IP sono fronteggiati dagli ENIS nelle tue sottoreti VPC. Il gruppo di sicurezza allegato a questi ENIS regola il traffico che raggiunge i tuoi endpoint [4] [9].

- Quando si utilizza l'acceleratore globale con gli endpoint in sottoreti privati, è necessario disporre di un gateway Internet allegato al VPC. I gruppi di sicurezza sui tuoi endpoint devono essere configurati per consentire il traffico in entrata dal gruppo di sicurezza dell'acceleratore globale o dagli indirizzi IP statici per garantire la corretta connettività [5].

Gruppi di conservazione e sicurezza dell'indirizzo IP client

- Per alcuni tipi di endpoint (bilanciatori del carico dell'applicazione, bilanciatori del carico di rete con gruppi di sicurezza e istanze EC2), l'acceleratore globale può preservare l'indirizzo IP del client originale. Per supportare questo, vengono utilizzati gli ENI creati dall'acceleratore globale e i gruppi di sicurezza devono consentire il traffico di conseguenza [5] [6].

- I gruppi di sicurezza sui tuoi endpoint si applicano a tutto il traffico che arriva nelle tue istanze, incluso il traffico inoltrato da Global Accelerator. Pertanto, è necessario assicurarsi che i tuoi gruppi di sicurezza consentano il traffico dall'Acceleratore globale ENIS o dalle loro gamme IP associate [5].

Best practice

- Non modificare manualmente il gruppo di sicurezza creato da Global Accelerator. Invece, configura i gruppi di sicurezza endpoint per consentire il traffico dal gruppo di sicurezza dell'acceleratore globale come fonte.

- Utilizza sottoreti privati ​​per i tuoi endpoint se si desidera limitare il traffico per arrivare solo attraverso l'acceleratore globale, migliorando la sicurezza.

- Assicurati che il VPC abbia una capacità di indirizzo IP sufficiente nelle sottoreti per accogliere l'ENIS che l'acceleratore globale creerà.

- Se si desidera limitare l'accesso ai tuoi endpoint rigorosamente tramite l'acceleratore globale, configurare di conseguenza i gruppi di sicurezza endpoint consentendo solo il gruppo di sicurezza dell'acceleratore globale come fonte [2] [3] [8].

In sintesi, Global Accelerator gestisce gli indirizzi IP attraverso interfacce di rete elastiche nel VPC, ciascuna associata a un gruppo di sicurezza creato dall'acceleratore globale per VPC. Questo gruppo di sicurezza viene utilizzato per controllare il flusso di traffico ai tuoi endpoint e è necessario configurare i gruppi di sicurezza endpoint per consentire il traffico da questo gruppo per garantire un routing sicuro e affidabile delle richieste dei clienti tramite Accelerator globale. La modifica del gruppo di sicurezza dell'acceleratore globale è scoraggiata per evitare problemi di salute degli endpoint. Invece, usalo come fonte nei tuoi gruppi di sicurezza per limitare l'accesso al solo traffico di acceleratori globali.

Citazioni:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalackcelerator--imit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20ackelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-ackcelerars.eip-accuterator.html
[10] https://tutorialsdojo.com/aws-global-ackcelerator/