AWS Global Accelerator samhandler med sikkerhetsgrupper først og fremst gjennom elastiske nettverksgrensesnitt (ENIs) det oppretter i VPC for IP -adressestyring og trafikkruting til sluttpunktene dine. Her er en detaljert forklaring på hvordan sikkerhetsgrupper jobber med Global Accelerator:
Elastiske nettverksgrensesnitt og sikkerhetsgrupper
- Global Accelerator oppretter ett elastisk nettverksgrensesnitt per undernett der du har en sluttpunkter registrert. Disse ENI -ene er logiske grensesnitt som håndterer trafikkruting, men som ikke representerer en enkelt vert eller flaskehals; De er en del av en horisontalt skalert, svært tilgjengelig tjeneste [2] [5].
- Alle ENI -er opprettet av Global Accelerator i samme VPC deler en enkelt sikkerhetsgruppe som Global Accelerator automatisk oppretter for den VPC. Dette betyr uansett hvilken undernett en ENI som er assosiert med, bruker den den samme sikkerhetsgruppen [2].
- Sikkerhetsgruppen opprettet av Global Accelerator kontrollerer trafikken som kan flyte til endepunktene bak gasspedalen. Du bør ikke endre reglene for denne sikkerhetsgruppen fordi endringer kan forårsake helseproblemer. Hvis du trenger å justere tilgang, anbefales det å kontakte AWS -støtte [2].
Bruke sikkerhetsgrupper med endepunkter
- Du kan bruke Global Accelerator Security Group som en kildegruppe i dine egne sikkerhetsgrupper for sluttpunktene dine (f.eks. EC2 -forekomster, nettverksbelastningsbalanser, applikasjonsbelastningsbalanser). Dette lar deg begrense tilgangen slik at bare trafikk som kommer gjennom global akselerator er tillatt, og effektivt blokkerer direkte tilgang til sluttpunktene fra andre kilder [2] [8].
- For eksempel, hvis du vil at applikasjonsbelastningsbalansen (ALB) bare skal godta trafikk fra Global Accelerator, kan du konfigurere ALBs sikkerhetsgruppe for å tillate inngående trafikk bare fra Global Accelerator Security Group. Dette oppsettet forbedrer sikkerheten ved å sikre at all trafikk til sluttpunktene dine blir dirigert gjennom global akselerator [8].
IP -adressestyring og sikkerhetsgrupper
- Global Accelerator gir statiske Anycast IP -adresser som er assosiert med gasspedalen din. Disse IP -ene er frontet av ENI -ene i VPC -undernettene dine. Sikkerhetsgruppen knyttet til disse ENI -ene styrer trafikken som når sluttpunktene [4] [9].
- Når du bruker Global Accelerator med endepunkter i private undernett, må du ha en internett gateway festet til VPC. Sikkerhetsgruppene på sluttpunktene dine må konfigureres for å tillate inngående trafikk fra den globale akseleratorens sikkerhetsgruppe eller de statiske IP -adressene for å sikre riktig tilkobling [5].
Kundens IP -adresse bevaring og sikkerhetsgrupper
- For visse sluttpunkttyper (applikasjonsbelastningsbalanser, nettverksbelastningsbalanser med sikkerhetsgrupper og EC2 -forekomster), kan global akselerator bevare den opprinnelige klient -IP -adressen. For å støtte dette brukes ENI -ene som er opprettet av global akselerator, og sikkerhetsgruppene må tillate trafikk deretter [5] [6].
- Sikkerhetsgruppene på endepunktene dine gjelder all trafikk som kommer til forekomstene dine, inkludert trafikk videresendt av Global Accelerator. Derfor må du sørge for at sikkerhetsgruppene dine tillater trafikk fra den globale akselerator -ENI -ene eller tilhørende IP -områder [5].
Beste praksis
- Ikke modifiser sikkerhetsgruppen manuelt opprettet av Global Accelerator. Konfigurer i stedet dine endepunkts sikkerhetsgrupper for å tillate trafikk fra den globale akseleratorens sikkerhetsgruppe som kilde.
- Bruk private undernett for sluttpunktene dine hvis du vil begrense trafikken for bare å komme gjennom global akselerator, og forbedre sikkerheten.
- Forsikre deg om at VPC -en din har tilstrekkelig IP -adressekapasitet i undernettene til å imøtekomme ENI -ene som den globale akseleratoren vil skape.
- Hvis du vil begrense tilgangen til endepunktene dine strengt via global akselerator, konfigurerer du dine endepunkts sikkerhetsgrupper deretter ved å tillate bare den globale akseleratorens sikkerhetsgruppe som kilde [2] [3] [8].
Oppsummert administrerer Global Accelerator IP-adresser gjennom elastiske nettverksgrensesnitt i VPC-en din, hver assosiert med en global akseleratoropprettet sikkerhetsgruppe per VPC. Denne sikkerhetsgruppen brukes til å kontrollere trafikkflyt til sluttpunktene dine, og du bør konfigurere dine endepunkts sikkerhetsgrupper for å tillate trafikk fra denne gruppen for å sikre sikker og pålitelig ruting av klientforespørsler via global akselerator. Endring av den globale akseleratorens sikkerhetsgruppe frarådes for å unngå helseproblemer. Bruk den i stedet som en kilde i dine egne sikkerhetsgrupper for å begrense tilgangen til bare global akseleratortrafikk.
Sitasjoner:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-ega.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-bimit-endpoint-access-fi-securityGroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-itworks.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20User%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/