Преимущества частного VPC с NAT по сравнению с общедоступным VPC с правилами брандмауэра (в AWS)
Представьте, что у вас есть несколько серверов EC2, на которые установлен балансировщик нагрузки (ELB).
Скажем, они находятся в общедоступном VPC - то есть каждый экземпляр EC2 имеет публичный IP-адрес, и каждый экземпляр защищен брандмауэром с использованием групп безопасности (SG), поэтому только ELB имеет прямой доступ к экземплярам.
Предположим, что серверам требуется общедоступный доступ в Интернет.
Нам известно, что рекомендуемый подход AWS заключается в использовании частного VPC + NAT для повышения безопасности.
Но какова практическая выгода от этого по сравнению с вышесказанным?
Насколько я понимаю, никто не может напрямую подключиться к экземплярам в вышеописанном сценарии из-за правил SG, и, поскольку это обрабатывается в инфраструктуре AWS, наши серверы не могут быть заполнены соединениями - пакеты никогда не будут связаться с нами.
Так какой же вред имеет наличие публичного IP-адреса, если AWS все равно отключит вас?
Я пропускаю какую-то другую выгоду от частного VPC? Я ошибаюсь в одном из моих утверждений выше?
2 ответа
Это действительно вопрос концепции "глубокоэшелонированной защиты". При использовании публичных адресов вы полагаетесь исключительно на конфигурацию группы безопасности для защиты своих серверов - что вы все сделали правильно, что никто случайно не изменил ее и т. Д.
Вы можете перевернуть вопрос и спросить себя, зачем вам публичные адреса, когда частных будет достаточно?
Я бы сказал, что частная опция VPC + NAT имеет меньше административных издержек и меньше шансов оставить доступ открытым из-за ошибки (например, не назначая SG или какое-то довольно открытое правило).
Кроме того, не зная внутренних элементов платформы, я могу сделать обоснованное предположение и сказать, что VPC + NAT - лучшее использование ресурсов платформы. Если у вас есть публичные IP-адреса, входящий трафик, который будет отклонен, вероятно, должен пройти через сеть AWS до вашей виртуальной машины. Если у вас нет публичных IP-адресов, входящий трафик не поступает на ваши виртуальные машины:)