Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.



Portuguese

Conheça a arquitetura do ECG e saiba porque temos a melhor solução para o seu negócio!


COMO FUNCIONA A ARQUITETURA DO ECG?

Na arquitetura desenvolvida para o ECG, utilizamos o AWS Application Load Balancer (Amazon Web Servicespara distribuir o tráfego entre as zonas de disponibilidade, assim como roteamento baseado em caminhos (FIG-1) que eliminam a necessidade de um proxy reverso e possíveis pontos únicos de falha.

Os objetos estáticos do App são servidos por uma Content Delivery Network (CDN) global.

Essa arquitetura exige acesso através de uma URL segura  https://api.guepardo.cloud/ e https://app.guepardo.cloud/.

-

O Application Load Balancer simplifica e melhora a segurança de aplicativos ao garantir que as codificações e os protocolos SSL/TLS mais recentes sempre sejam usados.

O serviço foi concebido para suportar milhares de requisições simultâneas e não suporta um IP fixo (static IP/ elastic IP) em cenários de alto trafego. A AWS adiciona novas interfaces de rede para suprir o alto volume de requisições, e pode ser constatado até mesmo em cenários previsíveis de alta demanda como uma "Black Friday" de um e-commerce onde solicitamos pré-aquecimento da capacidade do balanceador.

Como default é utilizada uma entrada "A" com Alias que aponta para o endpoint do balanceador e permite a elasticidade do balanceador, sem gerar indisponibilidade.



Warning

Os IPs apresentados em consultas de serviços de DNS (FIG-2) podem mudar ao longo do tempo ou até mesmo durante o mesmo dia da consulta, isso ocorre em caso de aumento de demanda e também evita ataques direcionados de DOS e DDOS.

Os IPs alterados são drenados e substituídos por outros, esse processo é interno da AWS, sendo que os IPs antigos ficam em quarentena por até 7 dias e são liberados para uso em outros balanceadores da plataforma global da AWS, mantendo assim uma rotatividade.

Para saber mais, acesse: https://aws.amazon.com/pt/shield/





O QUE SIGNIFICA "ROUTE 53"?


Esse comportamento é possível devido ao serviço de gerenciamento de DNS da AWS chamado "Route 53", que possui uma funcionalidade ampliada de Alias, onde tais registros fornecem uma extensão específica do Route 53 à funcionalidades do DNS.

Em vez de um endereço IP ou nome de domínio, um registro de alias contém um ponteiro para serviços hospedados na AWS, como uma distribuição do CloudFront, um ambiente do Elastic Beanstalk, um ELB Classic, um aplicativo ou um load balancer de rede/aplicação, um bucket do Amazon S3 configurado como um site estático, ou outro registro do Route 53 na mesma zona hospedada.

Consulte mais informações em: https://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/resource-record-sets-choosing-alias-non-alias.html

Veja o fluxo:

Domain (registroBR, Godaddy etc)  → Route 53 → Entrada A com alias para endpoint do balancer → Application load balancer → Servidores de aplicação (IPV4) em subnets privadas do Virtual Private Cloud (VPC).




POSSO EFETUAR ACESSO NA API VIA IP?


Não, a arquitetura necessita da utilização do endpoint seguro https://api.guepardo.cloud/ assim como balanceadores de carga de aplicação que não permitem uso de um  IP estático.

Dessa forma possibilitando failovers a nível de DNS (figura abaixo) entre regiões geograficamente separadas, assim conseguimos garantir alta disponibilidade mesmo em caso de desastres em uma região de disponibilidade da Amazon Web Services.
Uma região de disponibilidade pode conter um ou mais datacenters (zonas de disponibilidade) separados geograficamente. Utilizamos no mínimo três zonas de disponibilidade na solução ECG.





-


COMO FUNCIONA A SEGURANÇA DO ECG?

Os modelos de segurança das arquiteturas implementadas para o ECG dependem exclusivamente de um Application Load Balancer para a API e do serviço do CloudFront (CDN) para o App. Sem isso, os processos automatizados de segurança do Web Application Firewall não funcionam, deixando assim a aplicação vulnerável a ataques maliciosos.

-


COMO FUNCIONA A PROTEÇÃO DA API?

Com bloqueio automático de endereços maliciosos baseada em listas de reputação de IP atualizadas de hora em hora além da proteção para os principais métodos de ataque maliciosos.




COMO FUNCIONA A PROTEÇÃO DO APP?


Proteção para os principais métodos de ataque maliciosos, conforme ilustração abaixo:






English

-

HOW DOES THE ECG ARCHITECTURE WORK

In the architecture developed for the ECG, we use the AWS Application Load Balancer (Amazon Web Services) to distribute traffic between the availability zones, as well as path-based routing (FIG-1) that eliminates the need for a reverse proxy and possible failure single points.

The App's static objects are served by a global Content Delivery Network (CDN).

This architecture requires access through a secure URL  https://api.guepardo.cloud/ and https://app.guepardo.cloud/.

-



-

The Application Load Balancer simplifies and improves application security by ensuring that the latest SSL/TLS protocols and encodings are always used.

The service was designed to support thousands of simultaneous requests and does not support a fixed IP (static IP/elastic IP) in high-traffic scenarios. AWS adds new network interfaces to meet the high volume of requisitions and can be verified even in high-demand predictable scenarios such as a "Black Friday" in an e-commerce where we request preheating of the balancer's capacity.

By default an A input with Alias pointing to the balancer endpoint is used, allowing elasticity in the balancer without generating unavailability.


Warning

The IPs presented in DNS service queries (FIG-2) can change over time or even during the same day of the query, this occurs in case of increased demand and also prevents targeted DOS and DDOS attacks.

Changed IPs are drained and replaced by others, this process is internal of AWS, and old IPs are quarantined for up to 7 days and are released for use in other AWS global platform Balancers, thus maintaining a turnover.

Read more at: https://aws.amazon.com/pt/shield/



-


English

-

WHAT DOES "ROUTE 53" MEAN?

This behavior is possible due to the AWS DNS management service called Route 53, which has extended alias functionality, where such records provide a specific extension of Route 53 to DNS functionalities.

Instead of an IP address or domain name, an alias record contains a pointer to AWS-hosted services, such as a distribution of CloudFront, an Elastic Beanstalk environment, a ELB Classic, an application or a network/application load balancer, a bucket of Amazon S3 configured as a static site, or another record of Route 53 in the same hosted zone.

See more information at: https://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/resource-record-sets-choosing-alias-non-alias.html

The flow works in the following way:


Domain (registroBR, Godaddy etc) → Route 53 → Input A with alias for balancer Endpoint → Application load balancer → Application servers (IPV4) in private subnets of the Virtual Private Cloud (VPC).

-


English


CAN I ACCESS THE API VIA IP?

No, the architecture requires the use of the secure endpoint https://api.guepardo.cloud/ as well as application load balancers that do not allow the use of a static IP.

Thus, enabling DNS-level failovers (figure below) between geographically separate regions, we ensure high availability even in the event of disasters in an Amazon Web Services availability region.
An availability region can contain one or more geographically separated datacenters (availability zones). We use at least three availability zones in the ECG solution.



-


English


HOW DOES ECG SECURITY WORK?

The security models of the architectures implemented for ECG depend solely on an Application Load Balancer for the API and on the CloudFront Service (CDN) for the App. Without this, the automated Web Application Firewall security processes do not work, making the application vulnerable to malicious attacks.

-


-

English

-

HOW DOES API PROTECTION WORK?

With automatic blocking of malicious addresses based on IP reputation lists updated every hour, in addition to the protection for major malicious attack methods.




English

-

HOW DOES APP PROTECTION WORK?

Protection against the main malicious attack methods, as shown in the illustration below:


-



English