Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Làm thế nào để các nhóm bảo mật tương tác với máy gia tốc toàn cầu để quản lý địa chỉ IP


Làm thế nào để các nhóm bảo mật tương tác với máy gia tốc toàn cầu để quản lý địa chỉ IP


AWS Global Accelerator tương tác với các nhóm bảo mật chủ yếu thông qua các giao diện mạng đàn hồi (ENI) mà nó tạo ra trong VPC của bạn để quản lý địa chỉ IP và định tuyến lưu lượng truy cập đến các điểm cuối của bạn. Dưới đây là một lời giải thích chi tiết về cách các nhóm bảo mật hoạt động với Trình tăng tốc toàn cầu:

Giao diện mạng đàn hồi và các nhóm bảo mật

- Trình tăng tốc toàn cầu tạo một giao diện mạng đàn hồi trên mỗi mạng con nơi bạn có các điểm cuối đã đăng ký. Các ENI này là các giao diện logic xử lý định tuyến giao thông nhưng không đại diện cho một máy chủ hoặc nút cổ chai duy nhất; Chúng là một phần của một dịch vụ có tỷ lệ theo chiều ngang, có sẵn [2] [5].

- Tất cả ENI được tạo bởi Trình tăng tốc toàn cầu trong cùng một VPC chia sẻ một nhóm bảo mật duy nhất mà Trình tăng tốc toàn cầu tự động tạo cho VPC đó. Điều này có nghĩa là bất kể mạng con nào mà một mạng con được liên kết, nó sử dụng cùng một nhóm bảo mật [2].

- Nhóm bảo mật được tạo bởi Bộ tăng tốc toàn cầu kiểm soát lưu lượng có thể chảy đến các điểm cuối phía sau máy gia tốc. Bạn không nên sửa đổi các quy tắc của nhóm bảo mật này vì các thay đổi có thể gây ra các vấn đề về sức khỏe điểm cuối. Nếu bạn cần điều chỉnh quyền truy cập, nên liên hệ với hỗ trợ AWS [2].

Sử dụng các nhóm bảo mật có điểm cuối

- Bạn có thể sử dụng Nhóm bảo mật gia tốc toàn cầu làm nhóm nguồn trong các nhóm bảo mật của riêng bạn cho các điểm cuối của bạn (ví dụ: các phiên bản EC2, bộ cân bằng tải mạng, bộ cân bằng tải ứng dụng). Điều này cho phép bạn hạn chế quyền truy cập để chỉ được phép lưu lượng truy cập thông qua Trình tăng tốc toàn cầu, chặn truy cập trực tiếp vào các điểm cuối một cách hiệu quả từ các nguồn khác [2] [8].

- Ví dụ: nếu bạn muốn Bộ cân bằng tải ứng dụng (ALB) chỉ chấp nhận lưu lượng truy cập từ Trình tăng tốc toàn cầu, bạn có thể định cấu hình nhóm bảo mật của Albâ để chỉ cho phép lưu lượng truy cập từ nhóm bảo mật tăng tốc toàn cầu. Thiết lập này tăng cường bảo mật bằng cách đảm bảo rằng tất cả lưu lượng truy cập đến các điểm cuối của bạn được định tuyến thông qua máy gia tốc toàn cầu [8].

Nhóm quản lý địa chỉ IP và các nhóm bảo mật

- Trình tăng tốc toàn cầu cung cấp các địa chỉ IP anycast tĩnh được liên kết với máy gia tốc của bạn. Những IP này được ENIS đứng trước các mạng con VPC của bạn. Nhóm bảo mật gắn liền với các ENI này chi phối lưu lượng truy cập đạt đến điểm cuối của bạn [4] [9].

- Khi bạn sử dụng máy gia tốc toàn cầu với các điểm cuối trong các mạng con riêng, bạn phải có một cổng internet được gắn vào VPC. Các nhóm bảo mật trên các điểm cuối của bạn phải được cấu hình để cho phép lưu lượng truy cập từ nhóm bảo mật gia tốc toàn cầu hoặc địa chỉ IP tĩnh để đảm bảo kết nối thích hợp [5].

Các nhóm bảo tồn địa chỉ IP và bảo mật của khách hàng

- Đối với một số loại điểm cuối nhất định (bộ cân bằng tải ứng dụng, bộ cân bằng tải mạng với các nhóm bảo mật và các phiên bản EC2), Trình tăng tốc toàn cầu có thể bảo tồn địa chỉ IP máy khách ban đầu. Để hỗ trợ điều này, ENI được tạo bởi máy gia tốc toàn cầu được sử dụng và các nhóm bảo mật phải cho phép lưu lượng truy cập phù hợp [5] [6].

- Các nhóm bảo mật trên các điểm cuối của bạn áp dụng cho tất cả lưu lượng truy cập đến các trường hợp của bạn, bao gồm cả lưu lượng truy cập được chuyển tiếp bởi Global Complerator. Do đó, bạn cần đảm bảo rằng các nhóm bảo mật của bạn cho phép lưu lượng truy cập từ máy gia tốc toàn cầu ENI hoặc phạm vi IP liên quan của họ [5].

Thực hành tốt nhất

- Không sửa đổi thủ công nhóm bảo mật được tạo bởi Trình tăng tốc toàn cầu. Thay vào đó, hãy định cấu hình các nhóm bảo mật điểm cuối của bạn để cho phép lưu lượng truy cập từ nhóm bảo mật gia tốc toàn cầu làm nguồn.

- Sử dụng các mạng con riêng cho các điểm cuối của bạn nếu bạn muốn hạn chế lưu lượng truy cập chỉ thông qua máy gia tốc toàn cầu, tăng cường bảo mật.

- Đảm bảo rằng VPC của bạn có đủ dung lượng địa chỉ IP trong các mạng con để phù hợp với ENI mà máy gia tốc toàn cầu sẽ tạo ra.

- Nếu bạn muốn giới hạn quyền truy cập vào các điểm cuối của mình thông qua máy gia tốc toàn cầu, hãy định cấu hình các nhóm bảo mật điểm cuối của bạn bằng cách chỉ cho phép nhóm bảo mật gia tốc toàn cầu làm nguồn [2] [3] [8].

Tóm lại, Trình tăng tốc toàn cầu quản lý địa chỉ IP thông qua các giao diện mạng đàn hồi trong VPC của bạn, mỗi giao diện được liên kết với nhóm bảo mật do máy gia tốc tạo ra toàn cầu trên mỗi VPC. Nhóm bảo mật này được sử dụng để kiểm soát lưu lượng lưu lượng đến các điểm cuối của bạn và bạn nên định cấu hình các nhóm bảo mật điểm cuối của mình để cho phép lưu lượng truy cập từ nhóm này để đảm bảo định tuyến an toàn và đáng tin cậy các yêu cầu của máy khách thông qua Trình tăng tốc toàn cầu. Sửa đổi nhóm bảo mật tăng tốc toàn cầu không được khuyến khích để tránh các vấn đề sức khỏe điểm cuối. Thay vào đó, hãy sử dụng nó như một nguồn trong các nhóm bảo mật của riêng bạn để hạn chế quyền truy cập chỉ vào lưu lượng máy gia tốc toàn cầu.

Trích dẫn:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/Global%20Accelerator%20User%20Guide-pdf.pdf
[8] https://repost.aws/questions/QUFcukxYdDTt-W8_UG0vcBUg/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/