AWS Global Accelerator interaguje s bezpečnostnými skupinami predovšetkým prostredníctvom elastických sieťových rozhraní (ENIS), ktoré vytvára vo vašom VPC pre správu IP adries a smerovanie prenosu do vašich koncových bodov. Tu je podrobné vysvetlenie toho, ako bezpečnostné skupiny pracujú s globálnym akcelerátorom:
Elastické sieťové rozhrania a bezpečnostné skupiny
- Globálny akcelerátor vytvára jedno elastické sieťové rozhranie na podsietnicu, kde máte zaregistrované koncové body. Tieto ENI sú logické rozhrania, ktoré zvládajú smerovanie prevádzky, ale nepredstavujú jediného hostiteľa ani prekážku; Sú súčasťou horizontálne škálovanej, vysoko dostupnej služby [2] [5].
- Všetky enis vytvorené globálnym akcelerátorom v rámci tej istej VPC zdieľajú jednu bezpečnostnú skupinu, ktorú pre tento VPC automaticky vytvára globálny akcelerátor. To znamená, že bez ohľadu na to, s ktorou siete je ENI spojená, používa rovnakú bezpečnostnú skupinu [2].
- Bezpečnostná skupina vytvorená spoločnosťou Global Accelerator riadi prenos, ktorý môže prúdiť do koncových bodov za akcelerátorom. Nemali by ste upravovať pravidlá tejto bezpečnostnej skupiny, pretože zmeny môžu spôsobiť zdravotné problémy s koncovým bodom. Ak potrebujete upraviť prístup, odporúča sa kontaktovať podporu AWS [2].
Používanie bezpečnostných skupín s koncovými bodmi
- Môžete použiť skupinu Global Accelerator Security Group ako zdrojovú skupinu vo svojich vlastných bezpečnostných skupinách pre svoje koncové body (napr. Inštancie EC2, vyrovnávače siete, vyvažovatelia zaťaženia aplikácií). To vám umožní obmedziť prístup tak, aby bol povolený iba prenos prichádzajúci cez globálny akcelerátor, čo efektívne blokuje priamy prístup k koncovým bodom z iných zdrojov [2] [8].
- Napríklad, ak chcete, aby váš balíček zaťaženia aplikácie (ALB) akceptoval prenos iba z globálneho akcelerátora, môžete nakonfigurovať bezpečnostnú skupinu ALB tak, aby umožňovala prichádzajúci prenos iba zo skupiny Global Accelerator Security Group. Toto nastavenie zvyšuje bezpečnosť zabezpečením toho, aby bol všetok prenos do vašich koncových bodov smerovaný cez globálny akcelerátor [8].
Správa IP adries a bezpečnostné skupiny
- Globálny akcelerátor poskytuje statické adresy IP Anycast, ktoré sú spojené s vaším akcelerátorom. Tieto IP sú čestné ENIS vo vašich podsiete VPC. Bezpečnostná skupina pripojená k týmto ENIS riadi prevádzku, ktorá dosiahne vaše koncové body [4] [9].
- Ak používate globálny akcelerátor s koncovými bodmi v súkromných podsiete, musíte mať k VPC pripojenú internetovú bránu. Bezpečnostné skupiny na vašich koncových bodoch musia byť nakonfigurované tak, aby umožnili prichádzajúci prenos zo skupiny Global Accelerator Security Group alebo statické adresy IP, aby sa zabezpečilo správne pripojenie [5].
Skupiny ochrany a bezpečnosti klienta IP Adresa
- Pre určité typy koncových bodov (vyvažovatelia zaťaženia aplikácie, vyvažovatelia siete s bezpečnostnými skupinami a inštancie EC2) môžu globálny akcelerátor zachovať pôvodnú adresu IP klienta. Na podporu sa používa ENIS vytvorená globálnym akcelerátorom a bezpečnostné skupiny musia podľa toho umožniť prenos [5] [6].
- Bezpečnostné skupiny vo vašich koncových bodoch sa vzťahujú na všetku prenos prichádzajúcu na vaše prípady vrátane prevádzky, ktorú presunul globálny akcelerátor. Preto musíte zabezpečiť, aby vaše bezpečnostné skupiny umožňovali prenos z globálneho akcelerátora ENIS alebo ich pridružených rozsahov IP [5].
osvedčené postupy
- Nekonifikujte bezpečnostnú skupinu vytvorenú globálnym akcelerátorom. Namiesto toho nakonfigurujte svoje bezpečnostné skupiny koncových bodov tak, aby umožňovala prenos zo skupiny Global Accelerator Security Group ako zdroj.
- Použite súkromné podsiete pre svoje koncové body, ak chcete obmedziť návštevnosť tak, aby prešla iba globálnym akcelerátorom, čím sa zvýšila bezpečnosť.
- Uistite sa, že váš VPC má dostatočnú kapacitu IP adresy v podsiete, aby vyhovoval ENIS, ktorý vytvorí globálny akcelerátor.
- Ak chcete obmedziť prístup k vašim koncovým bodom striktne prostredníctvom globálneho akcelerátora, nakonfigurujte podľa toho svoje bezpečnostné skupiny koncových bodov tým, že ako zdroj umožní iba globálnu bezpečnostnú skupinu akcelerátorov [2] [3] [8].
Stručne povedané, globálny akcelerátor riadi adresy IP prostredníctvom elastických sieťových rozhraní vo vašom VPC, z ktorých každá je spojená s globálnou bezpečnostnou skupinou vytvorenou akcelerátormi na VPC. Táto bezpečnostná skupina sa používa na reguláciu prevádzkového toku do vašich koncových bodov a mali by ste nakonfigurovať svoje bezpečnostné skupiny koncových bodov tak, aby umožnili prenos z tejto skupiny, aby sa zabezpečilo bezpečné a spoľahlivé smerovanie požiadaviek klientov prostredníctvom globálneho akcelerátora. Modifikácia globálnej bezpečnostnej skupiny akcelerátorov sa odrádza, aby sa predišlo zdravotným problémom Endpoint. Namiesto toho ho použite ako zdroj vo svojich vlastných bezpečnostných skupinách na obmedzenie prístupu iba k prenosu globálneho urýchľovača.
Citácie:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroupgroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermual-ga/global%20Accelerator%20User%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxydtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/