Каковы причины использования частной подсети в aws vpc?

Question

Каковы причины использования частной подсети в aws vpc?

Я пытаюсь оценить частные и общедоступные подсети при создании нового VPC. Является ли уединение от входящего трафика из Интернета единственной причиной для создания частной подсети? Эти моменты также необходимо учитывать при рассмотрении частной подсети.

Шлюз NAT платный - 0,045$/ час и 0,045 $ за ГБ переданных данных. Таким образом, есть стоимость рассмотрения. Мне понадобится NAT-шлюз для извлечения кода или обновления из Интернета.
Я должен иметь возможность защищать экземпляры в моих общедоступных подсетях, используя группы безопасности с различными уровнями строгости.
При запуске экземпляра я бы назначил публичный ip только тем экземплярам, к которым я хочу получить доступ из-за пределов VPC.

Я прошел через этот вопрос, но он не решил мои сомнения в отношении вышеупомянутых пунктов. Любая помощь приветствуется.

1

amazon-web-services amazon-ec2 amazon-vpc private-subnet

Источник

user712738 21 дек '16 в 13:13

2 ответа

Другие вопросы по тегам amazon-web-services amazon-ec2 amazon-vpc private-subnet

user6236233 21 дек '16 в 13:31 2016-12-21 13:31 · Answer 1 · 2016-12-21 13:31

Из 7 мер безопасности для защиты ваших серверов:

Изолированные среды исполнения
Как они повышают безопасность?
Изоляция ваших процессов в отдельных средах выполнения повышает вашу способность изолировать любые проблемы безопасности, которые могут возникнуть. Подобно тому, как переборки и отсеки могут помочь в устранении пробоин на корпусах, разделение отдельных компонентов может ограничить доступ злоумышленника к другим частям вашей инфраструктуры.

Итак, ИМХО, вам нужны частные подсети? Зависит. В производственной среде с публичными и частными службами, VPN, базами данных и т. Д. Да; но если у вас есть только один сервер, и вы не хотите иметь дело с настройкой сетевых ACL, маршрутизацией, NAT и т. д., возможно, вам будет достаточно общедоступной подсети с вашим сервером и хорошо настроенной группы безопасности.

user4237701 21 дек '16 в 16:37 2016-12-21 16:37 · Answer 2 · 2016-12-21 16:37

Чтобы ответить на ваши вопросы:

Использовать экземпляр NAT (t2.small или же m3.medium) вместо шлюза NAT. Гораздо дешевле.
Зачем запускать их в общедоступной подсети, а затем настраивать группу безопасности, если нет необходимости принимать входящий интернет-трафик. В правилах SG всегда есть вероятность ошибиться и непреднамеренно разрешить вредоносный трафик. Даже если вы хотите принимать интернет-трафик, я предлагаю использовать обратный прокси, как haproxy
Затем запустите только эти экземпляры в публичной подсети или используйте обратный прокси

Частная подсеть - чрезвычайно полезная функция для защиты ваших экземпляров от DDoS, несанкционированного доступа и т. Д. Не пытайтесь обойти ее ради удобства.