El acelerador global de AWS interactúa con grupos de seguridad principalmente a través de las interfaces de red elástica (ENIS) que crea en su VPC para la gestión de direcciones IP y el enrutamiento de tráfico a sus puntos finales. Aquí hay una explicación detallada de cómo trabajan los grupos de seguridad con Global Accelerator:
Interfaces de red elástica y grupos de seguridad
- El acelerador global crea una interfaz de red elástica por subred donde tiene puntos finales registrados. Estas ENIS son interfaces lógicas que manejan el enrutamiento de tráfico pero no representan un solo host o cuello de botella; Son parte de un servicio altamente disponible y altamente disponible [2] [5].
- Todos los ENI creados por Global Acelerator dentro del mismo VPC comparten un solo grupo de seguridad que Global Accelerator crea automáticamente para ese VPC. Esto significa que independientemente de con qué subred se asocie una ENNE, utiliza el mismo grupo de seguridad [2].
- El grupo de seguridad creado por Global Acelerator controla el tráfico que puede fluir a los puntos finales detrás del acelerador. No debe modificar las reglas de este grupo de seguridad porque los cambios pueden causar problemas de salud del punto final. Si necesita ajustar el acceso, se recomienda contactar a AWS Support [2].
Uso de grupos de seguridad con puntos finales
- Puede usar el grupo de seguridad Global Accelerator como grupo fuente en sus propios grupos de seguridad para sus puntos finales (por ejemplo, instancias de EC2, equilibradores de carga de red, equilibradores de carga de aplicaciones). Esto le permite restringir el acceso para que solo se permita el tráfico a través del acelerador global, bloqueando efectivamente el acceso directo a los puntos finales de otras fuentes [2] [8].
- Por ejemplo, si desea que el equilibrador de carga de su aplicación (ALB) acepte el tráfico solo del Acelerador Global, puede configurar el grupo de seguridad de ALB para permitir el tráfico entrante solo del Grupo de Seguridad del Acelerador Global. Esta configuración mejora la seguridad al garantizar que todo el tráfico a sus puntos finales se enrute a través de Global Accelerator [8].
Gestión de direcciones IP y grupos de seguridad
- Global Accelerator proporciona direcciones IP Static Anycast que están asociadas con su acelerador. Estas IP están lideradas por el ENIS en sus subredes VPC. El grupo de seguridad adjunto a estos ENIS gobierna el tráfico que alcanza sus puntos finales [4] [9].
- Cuando usa el acelerador global con puntos finales en subredes privadas, debe tener una puerta de enlace de Internet conectada a la VPC. Los grupos de seguridad en sus puntos finales deben configurarse para permitir el tráfico entrante del grupo de seguridad del acelerador global o las direcciones IP estáticas para garantizar la conectividad adecuada [5].
Grupos de conservación y seguridad de direcciones IP del cliente
- Para ciertos tipos de puntos finales (equilibradores de carga de aplicaciones, equilibradores de carga de red con grupos de seguridad e instancias EC2), Global Acelerator puede preservar la dirección IP del cliente original. Para respaldar esto, se utilizan el ENI creado por Global Acelerator, y los grupos de seguridad deben permitir el tráfico en consecuencia [5] [6].
- Los grupos de seguridad en sus puntos finales se aplican a todo el tráfico que llega en sus casos, incluido el tráfico reenviado por Global Accelerator. Por lo tanto, debe asegurarse de que sus grupos de seguridad permitan el tráfico del Acelerador Global ENIS o sus rangos IP asociados [5].
Las mejores prácticas
- No modifique manualmente el grupo de seguridad creado por Global Accelerator. En su lugar, configure sus grupos de seguridad de punto final para permitir el tráfico del grupo de seguridad del Acelerador Global como fuente.
- Use subredes privados para sus puntos finales si desea restringir el tráfico para que solo pase a través del acelerador global, mejorando la seguridad.
- Asegúrese de que su VPC tenga suficiente capacidad de dirección IP en las subredes para acomodar el ENIS que creará el acelerador global.
- Si desea limitar el acceso a sus puntos finales estrictamente a través de Global Acelerator, configure sus grupos de seguridad de punto final en consecuencia permitiendo solo el grupo de seguridad del Acelerador Global como fuente [2] [3] [8].
En resumen, Global Accelerator gestiona las direcciones IP a través de interfaces de red elástica en su VPC, cada una asociada con un grupo de seguridad creado por el acelerador global por VPC. Este grupo de seguridad se utiliza para controlar el flujo de tráfico a sus puntos finales, y debe configurar sus grupos de seguridad de punto final para permitir el tráfico de este grupo para garantizar un enrutamiento seguro y confiable de las solicitudes de los clientes a través del acelerador global. Se desaconseja la modificación del grupo de seguridad del acelerador global para evitar problemas de salud del punto final. En su lugar, úselo como fuente en sus propios grupos de seguridad para restringir el acceso a solo el tráfico global del acelerador.
Citas:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-ga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-pa/global%20accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/