AWS Global Accelerator wchodzi w interakcje z grupami bezpieczeństwa przede wszystkim poprzez elastyczne interfejsy sieciowe (ENIS), które tworzy w VPC w celu zarządzania adresami IP i ruchu ruchu do punktów końcowych. Oto szczegółowe wyjaśnienie, w jaki sposób grupy bezpieczeństwa współpracują z globalnym akceleratorem:
Elastyczne interfejsy sieciowe i grupy bezpieczeństwa
- Globalny akcelerator tworzy jeden elastyczny interfejs sieciowy na podsieć, w którym masz zarejestrowane punkty końcowe. Te ENI są logicznymi interfejsami, które obsługują routing ruchu, ale nie reprezentują jednego hosta ani wąskiego gardła; Są częścią skalowanej poziomej, wysoce dostępnej usługi [2] [5].
- Wszystkie ENI utworzone przez Global Accelerator w ramach tego samego VPC udostępnia jedną grupę bezpieczeństwa, którą globalny akcelerator automatycznie tworzy dla tego VPC. Oznacza to, że niezależnie od tego, z którym podsiecią jest ENI, używa tej samej grupy bezpieczeństwa [2].
- Grupa bezpieczeństwa stworzona przez globalny akcelerator kontroluje ruch, który może przepływać do punktów końcowych za przyspieszeniem. Nie należy modyfikować zasad tej grupy bezpieczeństwa, ponieważ zmiany mogą powodować problemy zdrowotne. Jeśli chcesz dostosować dostęp, zaleca się skontaktowanie się z obsługą AWS [2].
Korzystanie z grup bezpieczeństwa z punktami końcowymi
- Możesz użyć Global Accelerator Security Group jako grupy źródłowej we własnych grupach bezpieczeństwa dla swoich punktów końcowych (np. Instancje EC2, równoważenie obciążenia sieciowego, równoważenie ładunku aplikacji). Umożliwia to ograniczenie dostępu, aby dozwolony był tylko ruch przychodzący przez globalny akcelerator, skutecznie blokując bezpośredni dostęp do punktów końcowych z innych źródeł [2] [8].
- Na przykład, jeśli chcesz, aby Twoja aplikacja Balancer (ALB) zaakceptował ruch tylko z globalnego akceleratora, możesz skonfigurować grupę bezpieczeństwa Albr, aby umożliwić ruch przychodzący tylko z Global Accelerator Security Group. Ta konfiguracja zwiększa bezpieczeństwo, zapewniając, że cały ruch do punktów końcowych jest kierowany przez globalny akcelerator [8].
Grupy zarządzania adresami IP i bezpieczeństwa
- Global Accelerator zapewnia statyczne adresy IP Anycast, które są powiązane z akceleratorem. Te IPS są przodowane przez ENI w podsieci VPC. Grupa bezpieczeństwa dołączona do tych ENI reguluje ruch, który osiąga punkty końcowe [4] [9].
- Gdy korzystasz z globalnego akceleratora z punktami końcowymi w prywatnych podsieciach, musisz mieć bramę internetową dołączoną do VPC. Grupy bezpieczeństwa w punktach końcowych muszą zostać skonfigurowane, aby umożliwić ruch przychodzący z Global Accelerator Security Group lub statycznych adresów IP, aby zapewnić odpowiednią łączność [5].
Grupy konserwacji adresu IP klienta i grupy bezpieczeństwa
- W przypadku niektórych typów punktów końcowych (równoważenie ładunku aplikacji, równoważenia obciążenia sieci z grupami bezpieczeństwa i instancji EC2) globalny akcelerator może zachować oryginalny adres IP klienta. Aby to poprzeć, używane są ENI utworzone przez globalny akcelerator, a grupy bezpieczeństwa muszą odpowiednio umożliwić ruch [5] [6].
- Grupy bezpieczeństwa w punktach końcowych mają zastosowanie do całego ruchu przybywających do twoich instancji, w tym ruchu przesłanego przez Global Accelerator. Dlatego musisz upewnić się, że grupy bezpieczeństwa zezwalają na ruch z globalnego akceleratora ENIS lub powiązanych zakresów IP [5].
Najlepsze praktyki
- Nie ręcznie modyfikuj grupy bezpieczeństwa stworzonej przez Global Accelerator. Zamiast tego skonfiguruj grupy bezpieczeństwa punktów końcowych, aby umożliwić ruch z Global Accelerator Security Group jako źródła.
- Użyj prywatnych podsieci dla swoich punktów końcowych, jeśli chcesz ograniczyć ruch, aby przejść przez globalny akcelerator, zwiększając bezpieczeństwo.
- Upewnij się, że Twój VPC ma wystarczającą pojemność adresu IP w podsieciach, aby utworzyć ENI, które stworzy globalny akcelerator.
- Jeśli chcesz ograniczyć dostęp do punktów końcowych ściśle za pośrednictwem globalnego akceleratora, skonfiguruj odpowiednio grupy bezpieczeństwa punktów końcowych, umożliwiając tylko globalną grupę bezpieczeństwa akceleratora jako źródła [2] [3] [8].
Podsumowując, Global Accelerator zarządza adresami IP poprzez elastyczne interfejsy sieciowe w twoim VPC, z których każda powiązała się z globalną grupą bezpieczeństwa utworzoną przez akceleratora na VPC. Ta grupa bezpieczeństwa służy do kontrolowania przepływu ruchu do punktów końcowych i należy skonfigurować grupy bezpieczeństwa punktów końcowych, aby umożliwić ruch z tej grupy w celu zapewnienia bezpiecznego i niezawodnego routingu żądań klienta za pośrednictwem globalnego akceleratora. Modyfikowanie globalnej grupy bezpieczeństwa akceleratora jest zniechęcane, aby uniknąć problemów zdrowotnych punktów końcowych. Zamiast tego użyj go jako źródła we własnych grupach bezpieczeństwa, aby ograniczyć dostęp tylko do globalnego ruchu akceleratora.
Cytaty:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaclelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-cient-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20User%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddttt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/