Преимущества частного VPC с NAT по сравнению с общедоступным VPC с правилами брандмауэра (в AWS)

Представьте, что у вас есть несколько серверов EC2, на которые установлен балансировщик нагрузки (ELB).

Скажем, они находятся в общедоступном VPC - то есть каждый экземпляр EC2 имеет публичный IP-адрес, и каждый экземпляр защищен брандмауэром с использованием групп безопасности (SG), поэтому только ELB имеет прямой доступ к экземплярам.

Предположим, что серверам требуется общедоступный доступ в Интернет.

Нам известно, что рекомендуемый подход AWS заключается в использовании частного VPC + NAT для повышения безопасности.

Но какова практическая выгода от этого по сравнению с вышесказанным?

Насколько я понимаю, никто не может напрямую подключиться к экземплярам в вышеописанном сценарии из-за правил SG, и, поскольку это обрабатывается в инфраструктуре AWS, наши серверы не могут быть заполнены соединениями - пакеты никогда не будут связаться с нами.

Так какой же вред имеет наличие публичного IP-адреса, если AWS все равно отключит вас?

Я пропускаю какую-то другую выгоду от частного VPC? Я ошибаюсь в одном из моих утверждений выше?

2 ответа

Это действительно вопрос концепции "глубокоэшелонированной защиты". При использовании публичных адресов вы полагаетесь исключительно на конфигурацию группы безопасности для защиты своих серверов - что вы все сделали правильно, что никто случайно не изменил ее и т. Д.

Вы можете перевернуть вопрос и спросить себя, зачем вам публичные адреса, когда частных будет достаточно?

Я бы сказал, что частная опция VPC + NAT имеет меньше административных издержек и меньше шансов оставить доступ открытым из-за ошибки (например, не назначая SG или какое-то довольно открытое правило).

Кроме того, не зная внутренних элементов платформы, я могу сделать обоснованное предположение и сказать, что VPC + NAT - лучшее использование ресурсов платформы. Если у вас есть публичные IP-адреса, входящий трафик, который будет отклонен, вероятно, должен пройти через сеть AWS до вашей виртуальной машины. Если у вас нет публичных IP-адресов, входящий трафик не поступает на ваши виртуальные машины:)

Другие вопросы по тегам