AWS 私有子網與私有安全組的安全注意事項

AWS Virtual Private Cloud 允許通過多種方式限制從 Internet 訪問 VPC 網路上的設備。

1. 將設備放入私有子網（無 Internet 網關）。每個設備都可以使用私有 IP 與其他設備通信。沒有設備具有公共 IP，因此無法從 Internet 訪問。

2. 將設備放入公共子網。每個設備都有一個公共 IP，因此它們可以使用私有或公共 IP 與其他內部設備進行通信。添加安全組以限制來自 Internet 的訪問。

問題：

1. 從安全形度來看，這兩種方法是否相同？
2. 還有其他需要考慮的因素嗎？

在安全性方面確實沒有區別。具有入站允許所有安全組的私有子網中的 EC2 實例和沒有規則的單個安全組中的 EC2 實例都無法從 Internet 訪問。

但是，公共子網中的實例可以從 Internet定址，因為它具有全球唯一的 IP，Internet 上的人們可以嘗試將數據包發送到該 IP。

私有子網提供了一些額外的安全考慮 - 它們清楚地表明無法從 Internet 訪問該實例。它也很難改變，而安全組方法可以通過添加入站規則來改變。最重要的是，很多人認為這種方法是最佳實踐（不管它是否是），因此它可以安撫複選框管理器和安全審計。

有趣的是，AWS 中的 IPv4始終使用 NAT，即使沒有 NAT 網關。公共子網中的 EC2 實例實際上沒有公共 ip -> 如果您檢查目標數據包，它們將轉到內部 ip。這是因為 AWS 在幕後使用 NAT。

我個人認為私有子網提供了額外的複雜性而沒有額外的好處。如果可能的話，我會嘗試使用 IPv6 並完全忽略 NAT，而只使用安全組 + 應用層安全性。然而，IPv6 的支持很差，而且許多人不正確理解 NAT，因此除非這些不是問題，否則請使用私有子網。

引用自：https://serverfault.com/questions/997706