O AWS Global Acelerator interage com grupos de segurança principalmente através das interfaces de rede elástica (ENIS) que ele cria no seu VPC para gerenciamento de endereços IP e roteamento de tráfego para seus pontos de extremidade. Aqui está uma explicação detalhada de como os grupos de segurança funcionam com o Global Accelerator:
Interfaces de rede elástica e grupos de segurança
- O acelerador global cria uma interface de rede elástica por sub -rede, onde você tem pontos de extremidade registrados. Esses ENIs são interfaces lógicas que lidam com o roteamento de tráfego, mas não representam um único host ou gargalo; Eles fazem parte de um serviço horizontalmente em escala e altamente disponível [2] [5].
- Todos os ENIS criados pelo Global Accelerator dentro do mesmo VPC compartilham um único grupo de segurança que o Global Accelerator cria automaticamente para esse VPC. Isso significa que, independentemente de qual sub -rede um ENI está associado, ele usa o mesmo grupo de segurança [2].
- O grupo de segurança criado pelo Global Accelerator controla o tráfego que pode fluir para os pontos de extremidade por trás do acelerador. Você não deve modificar as regras deste grupo de segurança, porque as alterações podem causar problemas de saúde. Se você precisar ajustar o acesso, é recomendável entrar em contato com o suporte da AWS [2].
Usando grupos de segurança com pontos de extremidade
- Você pode usar o Grupo de Segurança do Acelerador Global como um grupo de origem em seus próprios grupos de segurança para seus pontos de extremidade (por exemplo, instâncias do EC2, balanceadores de carga de rede, balanceadores de carga de aplicativos). Isso permite restringir o acesso para que apenas o tráfego que chegue ao acelerador global seja permitido, bloqueando efetivamente o acesso direto aos pontos de extremidade de outras fontes [2] [8].
- Por exemplo, se você deseja que o seu Balanceador de Carga (ALB) aceite apenas o tráfego do Global Accelerator, poderá configurar o grupo de segurança da ALB para permitir o tráfego de entrada apenas do Grupo de Segurança do Acelerador Global. Essa configuração aumenta a segurança, garantindo que todo o tráfego para seus pontos de extremidade seja roteado através do acelerador global [8].
Gerenciamento de endereço IP e grupos de segurança
- O Acelerador Global fornece endereços IP de qualquercast estática associados ao seu acelerador. Esses IPs são liderados pelo ENIS em suas sub -redes VPC. O grupo de segurança anexado a esses ENIS governa o tráfego que atinge seus pontos de extremidade [4] [9].
- Quando você usa o acelerador global com pontos de extremidade em sub -redes privadas, você deve ter um gateway da Internet anexado ao VPC. Os grupos de segurança em seus pontos de extremidade devem ser configurados para permitir o tráfego de entrada do Grupo de Segurança do Acelerador Global ou dos endereços IP estáticos para garantir a conectividade adequada [5].
Grupos de preservação e segurança do endereço IP do cliente
- Para determinados tipos de terminais (balanceadores de carga de aplicativos, balanceadores de carga de rede com grupos de segurança e instâncias do EC2), o acelerador global pode preservar o endereço IP original do cliente. Para apoiar isso, o ENIS criado pelo acelerador global é usado e os grupos de segurança devem permitir o tráfego de acordo [5] [6].
- Os grupos de segurança em seus pontos de extremidade se aplicam a todo o tráfego que chega às suas instâncias, incluindo o tráfego encaminhado pelo Global Accelerator. Portanto, você precisa garantir que seus grupos de segurança permitam o tráfego do acelerador global ENIS ou de seus intervalos de IP associados [5].
Melhores práticas
- Não modifique manualmente o grupo de segurança criado pelo acelerador global. Em vez disso, configure seus grupos de segurança de endpoint para permitir o tráfego do Grupo de Segurança do Acelerador Global como fonte.
- Use sub -redes privadas para seus pontos de extremidade, se você deseja restringir o tráfego apenas pelo acelerador global, aprimorando a segurança.
- Verifique se o seu VPC possui capacidade de endereço IP suficiente nas sub -redes para acomodar o ENIS que o acelerador global criará.
- Se você deseja limitar o acesso aos seus pontos de extremidade estritamente via acelerador global, configure seus grupos de segurança de terminais de acordo, permitindo apenas o Grupo de Segurança do Acelerador Global como fonte [2] [3] [8].
Em resumo, o Global Accelerator gerencia endereços IP através de interfaces de rede elástica em seu VPC, cada uma associada a um grupo de segurança criado por acelerador global por VPC. Esse grupo de segurança é usado para controlar o fluxo de tráfego para seus pontos de extremidade e você deve configurar seus grupos de segurança de terminais para permitir o tráfego desse grupo para garantir um roteamento seguro e confiável das solicitações de clientes por meio do acelerador global. A modificação do Grupo de Segurança do Acelerador Global é desencorajada para evitar problemas de saúde. Em vez disso, use -o como fonte em seus próprios grupos de segurança para restringir o acesso apenas ao tráfego global do acelerador.
Citações:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-centers/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20User%20Guide-Pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eiip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/