AWS Global Accelerator berinteraksi dengan grup keamanan terutama melalui Elastic Network Interfaces (ENIS) yang dibuat dalam VPC Anda untuk manajemen alamat IP dan rute lalu lintas ke titik akhir Anda. Berikut adalah penjelasan terperinci tentang bagaimana kelompok keamanan bekerja dengan akselerator global:
Antarmuka jaringan elastis dan grup keamanan
- Global Accelerator menciptakan satu antarmuka jaringan elastis per subnet di mana Anda memiliki titik akhir yang terdaftar. ENIS ini adalah antarmuka logis yang menangani perutean lalu lintas tetapi tidak mewakili satu host atau hambatan; Mereka adalah bagian dari layanan berskala horizontal, sangat tersedia [2] [5].
- Semua ENIS yang dibuat oleh Global Accelerator dalam VPC yang sama berbagi satu kelompok keamanan yang dibuat oleh akselerator global secara otomatis untuk VPC itu. Ini berarti terlepas dari subnet yang dikaitkan dengan ENI, ia menggunakan kelompok keamanan yang sama [2].
- Grup Keamanan yang dibuat oleh Global Accelerator mengontrol lalu lintas yang dapat mengalir ke titik akhir di belakang akselerator. Anda tidak boleh memodifikasi aturan kelompok keamanan ini karena perubahan dapat menyebabkan masalah kesehatan titik akhir. Jika Anda perlu menyesuaikan akses, disarankan untuk menghubungi Dukungan AWS [2].
Menggunakan grup keamanan dengan titik akhir
- Anda dapat menggunakan Grup Keamanan Accelerator Global sebagai grup sumber dalam grup keamanan Anda sendiri untuk titik akhir Anda (mis., Contoh EC2, penyeimbang beban jaringan, penyeimbang beban aplikasi). Ini memungkinkan Anda untuk membatasi akses sehingga hanya lalu lintas yang datang melalui akselerator global yang diizinkan, secara efektif memblokir akses langsung ke titik akhir dari sumber lain [2] [8].
- Misalnya, jika Anda ingin penyeimbang beban aplikasi (ALB) Anda hanya menerima lalu lintas dari Accelerator Global, Anda dapat mengonfigurasi Grup Keamanan ALB untuk memungkinkan lalu lintas masuk hanya dari Grup Keamanan Accelerator Global. Pengaturan ini meningkatkan keamanan dengan memastikan bahwa semua lalu lintas ke titik akhir Anda dialihkan melalui Global Accelerator [8].
Manajemen Alamat IP dan Grup Keamanan
- Global Accelerator menyediakan alamat IP statis apa pun yang terkait dengan akselerator Anda. IP ini digawangi oleh ENIS di subnet VPC Anda. Kelompok keamanan yang melekat pada ENIS ini mengatur lalu lintas yang mencapai titik akhir Anda [4] [9].
- Ketika Anda menggunakan akselerator global dengan titik akhir di subnet pribadi, Anda harus memiliki gateway internet yang terpasang pada VPC. Grup keamanan pada titik akhir Anda harus dikonfigurasi untuk memungkinkan lalu lintas masuk dari Grup Keamanan Akselerator Global atau alamat IP statis untuk memastikan konektivitas yang tepat [5].
Pengawasan Alamat IP Klien dan Grup Keamanan
- Untuk tipe titik akhir tertentu (penyeimbang beban aplikasi, penyeimbang beban jaringan dengan grup keamanan, dan instance EC2), Accelerator Global dapat melestarikan alamat IP klien asli. Untuk mendukung ini, ENIS yang dibuat oleh Accelerator Global digunakan, dan kelompok keamanan harus memungkinkan lalu lintas yang sesuai [5] [6].
- Grup keamanan pada titik akhir Anda berlaku untuk semua lalu lintas yang tiba di contoh Anda, termasuk lalu lintas yang diteruskan oleh Global Accelerator. Oleh karena itu, Anda perlu memastikan bahwa grup keamanan Anda mengizinkan lalu lintas dari akselerator global ENIS atau rentang IP yang terkait [5].
Praktik Terbaik
- Jangan memodifikasi grup keamanan secara manual yang dibuat oleh Accelerator Global. Sebagai gantinya, konfigurasikan grup keamanan titik akhir Anda untuk memungkinkan lalu lintas dari Grup Keamanan Akselerator Global sebagai sumber.
- Gunakan subnet pribadi untuk titik akhir Anda jika Anda ingin membatasi lalu lintas hanya melewati Global Accelerator, meningkatkan keamanan.
- Pastikan VPC Anda memiliki kapasitas alamat IP yang cukup dalam subnet untuk mengakomodasi ENIS yang akan dibuat oleh akselerator global.
- Jika Anda ingin membatasi akses ke titik akhir Anda secara ketat melalui Global Accelerator, konfigurasikan grup keamanan titik akhir Anda sesuai dengan hanya mengizinkan Grup Keamanan Akselerator Global sebagai sumber [2] [3] [8].
Singkatnya, Global Accelerator mengelola alamat IP melalui antarmuka jaringan elastis di VPC Anda, masing-masing terkait dengan grup keamanan yang dibuat akselerator global per VPC. Grup keamanan ini digunakan untuk mengontrol arus lalu lintas ke titik akhir Anda, dan Anda harus mengkonfigurasi grup keamanan titik akhir Anda untuk memungkinkan lalu lintas dari grup ini untuk memastikan perutean permintaan klien yang aman dan andal melalui Global Accelerator. Memodifikasi Grup Keamanan Akselerator Global berkecil hati untuk menghindari masalah kesehatan titik akhir. Sebagai gantinya, gunakan sebagai sumber dalam grup keamanan Anda sendiri untuk membatasi akses hanya ke lalu lintas akselerator global.
Kutipan:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20User%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/