AWS Global Accelerator interacționează cu grupurile de securitate în principal prin interfețele de rețea elastică (ENIS) pe care le creează în VPC pentru gestionarea adreselor IP și rutarea traficului către punctele dvs. finale. Iată o explicație detaliată a modului în care funcționează grupurile de securitate cu acceleratorul global:
Interfețe de rețea elastice și grupuri de securitate
- Global Accelerator creează o interfață de rețea elastică pe subrețea unde aveți puncte finale înregistrate. Aceste ENI sunt interfețe logice care gestionează rutarea traficului, dar nu reprezintă o singură gazdă sau blocaj; Acestea fac parte dintr -un serviciu orizontal, extrem de disponibil [2] [5].
- Toate ENI -urile create de Global Accelerator în același VPC împărtășesc un singur grup de securitate pe care Global Accelerator îl creează automat pentru VPC. Aceasta înseamnă, indiferent de care este asociat cu subrețea, folosește același grup de securitate [2].
- Grupul de securitate creat de Global Accelerator controlează traficul care poate curge spre punctele finale din spatele acceleratorului. Nu ar trebui să modificați regulile acestui grup de securitate, deoarece modificările pot provoca probleme de sănătate. Dacă trebuie să ajustați accesul, este recomandat să contactați AWS Support [2].
Utilizarea grupurilor de securitate cu puncte finale
- Puteți utiliza Grupul Global Accelerator Security ca grup sursă în propriile grupuri de securitate pentru punctele dvs. de vedere (de exemplu, instanțe EC2, echilibratori de încărcare a rețelei, echilibratori de încărcare a aplicațiilor). Acest lucru vă permite să restricționați accesul, astfel încât să fie permisă doar traficul prin accelerație globală, blocând eficient accesul direct la punctele finale din alte surse [2] [8].
- De exemplu, dacă doriți ca echilibratorul de încărcare a aplicației (ALB) să accepte traficul doar de la Global Accelerator, puteți configura grupul de securitate Alb, pentru a permite traficul de intrare doar de la Global Accelerator Security Group. Această configurație îmbunătățește securitatea, asigurându -se că tot traficul către punctele dvs. finale este dirijat prin intermediul acceleratorului global [8].
Grupuri de gestionare a adreselor IP și securitate
- Global Accelerator oferă adrese IP Static Anycast care sunt asociate cu acceleratorul dvs. Aceste IP -uri sunt în fața ENIS în subrețelele dvs. VPC. Grupul de securitate atașat acestor ENI guvernează traficul care atinge punctele tale de vedere [4] [9].
- Când utilizați Global Accelerator cu puncte finale în subrețele private, trebuie să aveți o poartă de internet atașată la VPC. Grupurile de securitate de pe punctele dvs. de capăt trebuie configurate pentru a permite traficul de intrare de la Global Accelerator Security Group sau adresele IP statice pentru a asigura conectivitatea adecvată [5].
Grupuri de conservare și securitate a adresei IP client **
- Pentru anumite tipuri de puncte finale (echilibratori de încărcare a aplicațiilor, echilibratori de încărcare a rețelei cu grupuri de securitate și instanțe EC2), Global Accelerator poate păstra adresa IP inițială a clientului. Pentru a susține acest lucru, sunt utilizate ENI -urile create de Accelerator global, iar grupurile de securitate trebuie să permită traficul în consecință [5] [6].
- Grupurile de securitate de pe punctele dvs. finale se aplică tuturor traficului care sosesc în instanțele dvs., inclusiv traficului transmis de Accelerator Global. Prin urmare, trebuie să vă asigurați că grupurile dvs. de securitate permit traficul de la acceleratorul global ENIS sau intervalele IP asociate [5].
Cele mai bune practici
- Nu modificați manual grupul de securitate creat de Global Accelerator. În schimb, configurați -vă grupurile de securitate Endpoint pentru a permite traficul de la Global Accelerator Security Group ca sursă.
- Utilizați subrețele private pentru punctele dvs. finale dacă doriți să restricționați traficul pentru a trece doar prin accelerație globală, sporind securitatea.
- Asigurați -vă că VPC -ul dvs. are o capacitate de adresă IP suficientă în subrețele pentru a se adapta ENIS pe care o va crea acceleratorul global.
- Dacă doriți să limitați accesul la punctele dvs. finale strict prin intermediul acceleratorului global, configurați -vă grupurile de securitate Endpoint în consecință, permițând numai Grupul de Securitate Global Accelerator ca sursă [2] [3] [8].
În rezumat, Global Accelerator gestionează adresele IP prin interfețe de rețea elastică în VPC, fiecare asociat cu un grup de securitate creat de accelerație globală pe VPC. Acest grup de securitate este utilizat pentru a controla fluxul de trafic către obiectivele dvs. și ar trebui să configurați grupurile dvs. de securitate Endpoint pentru a permite traficului de la acest grup pentru a asigura o rutare sigură și fiabilă a solicitărilor clienților prin intermediul acceleratorului global. Modificarea grupului de securitate globală a acceleratorului este descurajată pentru a evita problemele de sănătate finale. În schimb, folosiți -l ca sursă în propriile grupuri de securitate pentru a restricționa accesul doar la traficul de accelerație globală.
Citări:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-preractices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-fy-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/