„AWS Global Accelerator“ sąveikauja su saugumo grupėmis pirmiausia per elastinių tinklo sąsajas (ENIS), kurį jis sukuria jūsų VPC, skirtas IP adresų valdymui ir srauto nukreipimui į jūsų galinius taškus. Čia yra išsamus paaiškinimas, kaip saugumo grupės dirba su „Global Accelerator“:
elastinės tinklo sąsajos ir saugumo grupės
- „Global Accelerator“ sukuria vieną elastingos tinklo sąsają kiekviename potinkyje, kuriame turite užregistruotus galinius taškus. Šios ENIS yra loginės sąsajos, kurios tvarko eismo maršrutą, tačiau neatspindi nė vieno kompiuterio ar kliūties; Jie yra horizontaliai mastelio, labai prieinamų paslaugų dalis [2] [5].
- Visi „ENIS“, kuriuos sukūrė „Global Accelerator“ tame pačiame VPC, dalijasi viena saugos grupe, kurią „Global Accelerator“ automatiškai sukuria tam VPC. Tai reiškia, kad nepaisant to, su kuriuo potinkliui yra susijęs su potinkliu, jis naudoja tą pačią saugos grupę [2].
- „Global Accelerator“ sukurta saugos grupė kontroliuoja srautą, kuris gali tekėti į galinius taškus už akceleratoriaus. Jūs neturėtumėte modifikuoti šios saugumo grupės taisyklių, nes pakeitimai gali sukelti baigčių sveikatos problemas. Jei jums reikia pakoreguoti prieigą, rekomenduojama susisiekti su AWS palaikymu [2].
Saugumo grupių naudojimas su galiniais taškais
- „Global Accelerator Security Group“ galite naudoti kaip savo galinių taškų saugos grupių šaltinį (pvz., EC2 egzemplioriai, tinklo apkrovos balanseriai, programų apkrovos balanseriai). Tai leidžia apriboti prieigą, kad leidžiamas tik srautas per pasaulinį greitintuvą, efektyviai blokuojant tiesioginę prieigą prie galinių taškų iš kitų šaltinių [2] [8].
- Pavyzdžiui, jei norite, kad jūsų programos apkrovos balansavimo įrenginys (ALB) priimtų srautą tik iš „Global Accelerator“, galite sukonfigūruoti „AlB's Security Group“, kad įeinantį srautą leistų tik iš „Global Accelerator Security Group“. Ši sąranka padidina saugumą užtikrinant, kad visas srautas į jūsų galinius taškus būtų nukreiptas per pasaulinį akceleratorių [8].
IP adresų valdymo ir saugumo grupės
- „Global Accelerator“ teikia statinius bet kokio FASTR IP adresus, susijusius su jūsų akceleratoriumi. Šiuos IP yra frontuojami ENIS jūsų VPC potinkliuose. Prie šių ENIS pritvirtinta saugumo grupė valdo srautą, kuris pasiekia jūsų galinius taškus [4] [9].
- Kai naudojate „Global Accelerator“ su galiniais taškais privačiuose potinkliuose, turite turėti interneto šliuzą, pritvirtintą prie VPC. Saugumo grupės jūsų galiniuose taškuose turi būti sukonfigūruotos taip, kad galėtų leisti atvykstantį srautą iš pasaulinės akceleratoriaus saugos grupės arba statinius IP adresus, kad būtų užtikrintas tinkamas ryšys [5].
Kliento IP adresų išsaugojimo ir saugumo grupės
- Kai kuriems galinių taškų tipams (programų apkrovos balanseriai, tinklo apkrovos balanseriai su saugos grupėmis ir EC2 egzemplioriai) „Global Accelerator“ gali išsaugoti originalų kliento IP adresą. Norėdami tai patvirtinti, naudojamas „Global Accelerator“ sukurtas ENIS, o saugumo grupės turi leisti atitinkamai srautą [5] [6].
- Saugumo grupės jūsų galiniuose taškuose taikomos visam jūsų egzemplioriams atvykstančiam srautui, įskaitant „Global Accelerator“ perduotą srautą. Todėl turite užtikrinti, kad jūsų saugumo grupės leistų srautui iš pasaulinio greitintuvo ENIS arba su jais susijusius IP diapazonus [5].
geriausia praktika
- Ne rankiniu būdu modifikuokite „Global Accelerator“ sukurtą saugos grupę. Vietoj to, sukonfigūruokite savo „Endpoint“ saugos grupes, kad šaltinis būtų srautas iš „Global Accelerator Security Group“.
- Jei norite apriboti srautą, naudokite privačius potinklius, jei norite apriboti srautą, kad jis patektų tik į pasaulinį greitintuvą, padidindami saugumą.
- Įsitikinkite, kad jūsų VPC potinkliuose yra pakankamai IP adresų talpos, kad būtų galima pritaikyti ENIS, kurį sukurs „Global Accelerator“.
- Jei norite apriboti prieigą prie savo galinių taškų griežtai naudodamiesi visuotiniu greitintuvu, atitinkamai sukonfigūruokite savo galutinių taškų saugos grupes, leisdami tik „Global Accelerator Security Group“ kaip šaltinį [2] [3] [8].
Apibendrinant galima pasakyti, kad „Global Accelerator“ tvarko IP adresus per elastingą tinklo sąsajas jūsų VPC, kiekvienas susietas su „Global Accelerator“ sukurta saugos grupe kiekvienam VPC. Ši saugumo grupė naudojama srauto srautui valdyti į jūsų galinius taškus, todėl turėtumėte sukonfigūruoti savo galutinių taškų saugos grupes, kad būtų galima srautą iš šios grupės, kad būtų užtikrintas saugus ir patikimas klientų užklausų maršrutas per „Global Accelerator“. Paskelbta pasaulinės akceleratorių saugumo grupe, kad būtų išvengta galutinio taško sveikatos problemų. Vietoj to, naudokite jį kaip šaltinį savo saugumo grupėse, kad apribotumėte prieigą prie tik visuotinio greitintuvo srauto.
Citatos:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-praktices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-lient-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20USER%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsDojo.com/aws-global-accelerator/