Почему AWS рекомендует избегать использования общедоступных / интернет-шлюзов в пользу конечных точек AWS PrivateLink и VPC?

Question

Почему AWS рекомендует избегать использования общедоступных / интернет-шлюзов в пользу конечных точек AWS PrivateLink и VPC?

Конечная точка VPC обеспечивает соединения между виртуальным частным облаком (VPC) и поддерживаемыми сервисами, не требуя использования интернет-шлюза , устройства NAT, подключения VPN или подключения AWS Direct Connect. Таким образом, ваш VPC не доступен для публичного доступа в Интернет.

AWS PrivateLink - это высокодоступная масштабируемая технология, которая позволяет вам в частном порядке подключать свой VPC к поддерживаемым сервисам AWS, сервисам, размещенным в других учетных записях AWS (сервисы конечных точек VPC), и поддерживаемым партнерским сервисам AWS Marketplace. Вам не нужно использовать интернет-шлюз , устройство NAT, общедоступный IP-адрес, соединение AWS Direct Connect или соединение AWS Site-to-Site VPN для связи с сервисом. Таким образом, ваш VPC не доступен для публичного доступа в Интернет.

Что такого небезопасного в использовании общедоступного Интернета, если все мои входящие (в AWS) / исходящие (из AWS) соединения используют https? Можно ли это еще расшифровать?

Я не очень разбираюсь в сетях / безопасности, поэтому и спрашиваю.

2

amazon-web-services aws-private-link

Источник

15 окт '21 в 01:49

2 ответа

Другие вопросы по тегам amazon-web-services aws-private-link

user248823 15 окт '21 в 02:58 2021-10-15 02:58 · Answer 1 · 2021-10-15 02:58

Я думаю, вы путаете две архитектуры.

Общедоступные приложения - доступны через Интернет. Им требуется прямой или пероксидный доступ в Интернет. Один из способов защитить их - использовать HTTPS, как и вы. Для их работы вашему VPC также нужен интернет-шлюз и / или NAT.
Частные приложения - эти приложения должны быть доступны только из AWS. Таким образом, доступ в Интернет для этих приложений не требуется, и это плохая практика. Это где может быть использован. Это позволяет вам предоставлять свое приложение другим пользователям AWS, при этом им не требуется доступ в Интернет или даже доступ к вашему VPC. Они могут получить доступ к вашим частным приложениям из своих учетных записей и VPC.

user16031681 15 окт '21 в 02:57 2021-10-15 02:57 · Answer 2 · 2021-10-15 02:57

Конечно, это все еще можно расшифровать, но мы говорим о людях, очень мотивированных суперкомпьютерами. То есть мы говорим о том, что может случиться что-то сложное в зависимости от сценария. Совет здесь - избегать интернет-трафика, чтобы избежать дополнительных затрат, если вы используете конечную точку VPC, это позволит избежать ненужных затрат. Найдите «Стоимость передачи данных AWS».