AWS Global Hızlandırıcı, IP adresi yönetimi ve uç noktalarınıza trafik yönlendirme için VPC'nizde oluşturduğu Elastik Ağ Arabirimleri (ENIS) aracılığıyla güvenlik gruplarıyla etkileşime girer. Güvenlik gruplarının Global Hızlandırıcı ile nasıl çalıştığına dair ayrıntılı bir açıklama:
Elastik Ağ Arayüzleri ve Güvenlik Grupları
- Global Hızlandırıcı, son noktalar kaydedildiği alt ağ başına bir elastik ağ arayüzü oluşturur. Bu ENIS, trafik yönlendirmesini işleyen ancak tek bir ana bilgisayar veya darboğaz temsil etmeyen mantıksal arayüzlerdir; Yatay olarak ölçeklendirilmiş, yüksek oranda mevcut bir hizmetin parçasıdır [2] [5].
- Global Hızlandırıcı tarafından aynı VPC içinde oluşturulan tüm ENIS, Global Hızlandırıcı'nın bu VPC için otomatik olarak oluşturduğu tek bir güvenlik grubunu paylaşır. Bu, bir ENI alt ağ ile ilişkili olduğundan bağımsız olarak, aynı güvenlik grubunu kullanır [2].
- Global Hızlandırıcı tarafından oluşturulan güvenlik grubu, hızlandırıcının arkasındaki uç noktalara akabilen trafiği kontrol eder. Bu güvenlik grubunun kurallarını değiştirmemelisiniz, çünkü değişiklikler son nokta sağlığı sorunlarına neden olabilir. Erişimi ayarlamanız gerekiyorsa, AWS Desteği [2] ile iletişime geçmeniz önerilir.
Uç noktalı güvenlik gruplarını kullanmak
- Global Hızlandırıcı Güvenlik Grubunu, uç noktalarınız için kendi güvenlik gruplarınızda kaynak grubu olarak kullanabilirsiniz (örn. EC2 örnekleri, ağ yük dengeleyicileri, uygulama yük dengeleyicileri). Bu, erişimi kısıtlamanızı sağlar, böylece yalnızca küresel hızlandırıcıdan gelen trafiğe izin verilir ve diğer kaynaklardan uç noktalara doğrudan erişimi etkili bir şekilde engeller [2] [8].
- Örneğin, uygulama yükü dengeleyicinizin (ALB) yalnızca Global Hızlandırıcı'dan trafiği kabul etmesini istiyorsanız, Alb's Güvenlik Grubunu yalnızca Global Hızlandırıcı Güvenlik Grubundan gelen trafiğe izin verecek şekilde yapılandırabilirsiniz. Bu kurulum, uç noktalarınıza yapılan tüm trafiğin küresel hızlandırıcı aracılığıyla yönlendirilmesini sağlayarak güvenliği artırır [8].
IP Adres Yönetimi ve Güvenlik Grupları
- Global Hızlandırıcı, hızlandırıcınızla ilişkili statik Anycast IP adresleri sağlar. Bu IP'ler, VPC alt ağlarınızdaki ENIS tarafından ön plana çıkarılır. Bu ENIS'e bağlı güvenlik grubu, uç noktalarınıza ulaşan trafiği yönetir [4] [9].
- Özel alt ağlarda uç noktalarla Global Hızlandırıcı kullandığınızda, VPC'ye bağlı bir İnternet Ağ Geçidi olmalıdır. Uç noktalarınızdaki güvenlik grupları, uygun bağlantı sağlamak için Global Hızlandırıcı Güvenlik Grubu'ndan veya statik IP adreslerinden gelen trafiğe izin verecek şekilde yapılandırılmalıdır [5].
Müşteri IP Adresi Koruma ve Güvenlik Grupları
- Bazı uç nokta türleri (uygulama yükü dengeleyicileri, güvenlik gruplarına sahip ağ yük dengeleyicileri ve EC2 örnekleri) için Global Hızlandırıcı, orijinal istemci IP adresini koruyabilir. Bunu desteklemek için, küresel hızlandırıcı tarafından oluşturulan ENIS kullanılır ve güvenlik grupları trafiğe buna göre izin vermelidir [5] [6].
- Uç noktalarınızdaki güvenlik grupları, Global Hızlandırıcı tarafından yönlendirilen trafik de dahil olmak üzere örneklerinize gelen tüm trafik için geçerlidir. Bu nedenle, güvenlik gruplarınızın Global Hızlandırıcı ENIS veya bunlarla ilişkili IP aralıklarından gelen trafiğe izin vermesini sağlamanız gerekir [5].
En İyi Uygulamalar
- Global Hızlandırıcı tarafından oluşturulan güvenlik grubunu manuel olarak değiştirmeyin. Bunun yerine, Global Hızlandırıcı Güvenlik Grubu'ndan gelen trafiğin kaynak olarak izin verecek şekilde son nokta güvenlik gruplarınızı yapılandırın.
- Trafiği yalnızca Global Hızlandırıcı'dan gelip güvenliği artıracak şekilde kısıtlamak istiyorsanız, uç noktalarınız için özel alt ağlar kullanın.
- VPC'nizin, Global Hızlandırıcı'nın oluşturacağı ENIS'i karşılamak için alt ağlarda yeterli IP adresi kapasitesine sahip olduğundan emin olun.
- Global Hızlandırıcı aracılığıyla uç noktalarınıza erişimi kesinlikle sınırlamak istiyorsanız, son nokta güvenlik gruplarınızı yalnızca Global Hızlandırıcı Güvenlik Grubunu bir kaynak olarak izin vererek şekilde yapılandırın [2] [3] [8].
Özetle, Global Hızlandırıcı, her biri VPC başına Global Hızlandırıcı tarafından oluşturulan bir güvenlik grubuyla ilişkili olan VPC'nizdeki elastik ağ arayüzleri aracılığıyla IP adreslerini yönetir. Bu güvenlik grubu, uç noktalarınıza trafik akışını kontrol etmek için kullanılır ve son nokta güvenlik gruplarınızı, küresel hızlandırıcı aracılığıyla istemci isteklerinin güvenli ve güvenilir bir şekilde yönlendirilmesini sağlamak için bu gruptan gelen trafiğe izin verecek şekilde yapılandırmalısınız. Son nokta sağlığı sorunlarından kaçınmak için küresel hızlandırıcı güvenlik grubunun değiştirilmesi cesaretini kırmaktadır. Bunun yerine, yalnızca küresel hızlandırıcı trafiğine erişimi kısıtlamak için kendi güvenlik gruplarınızda bir kaynak olarak kullanın.
Alıntılar:
[1] https://docs.aws.amazon.com/global-acelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-acelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-mit-endpoint-aces-by-securitygroup
[4] https://docs.aws.amazon.com/global-acelerator/latest/dg/introduction-how-t-works.html
[5] https://docs.aws.amazon.com/global-acelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20user%20Guide-pdf.pdf
[8] https://repost.aws/questions/qafcukxydtt-w8_ug0vcbug/global-accelerator-with-alb-end
[9] https://docs.aws.amazon.com/global-acelerator/latest/dg/about-acelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/