Amazon-Web-Services
AWS 私有子網與私有安全組的安全注意事項
AWS Virtual Private Cloud 允許通過多種方式限制從 Internet 訪問 VPC 網路上的設備。
將設備放入私有子網(無 Internet 網關)。每個設備都可以使用私有 IP 與其他設備通信。沒有設備具有公共 IP,因此無法從 Internet 訪問。
將設備放入公共子網。每個設備都有一個公共 IP,因此它們可以使用私有或公共 IP 與其他內部設備進行通信。添加安全組以限制來自 Internet 的訪問。
問題:
- 從安全形度來看,這兩種方法是否相同?
- 還有其他需要考慮的因素嗎?
在安全性方面確實沒有區別。具有入站允許所有安全組的私有子網中的 EC2 實例和沒有規則的單個安全組中的 EC2 實例都無法從 Internet 訪問。
但是,公共子網中的實例可以從 Internet定址,因為它具有全球唯一的 IP,Internet 上的人們可以嘗試將數據包發送到該 IP。
私有子網提供了一些額外的安全考慮 - 它們清楚地表明無法從 Internet 訪問該實例。它也很難改變,而安全組方法可以通過添加入站規則來改變。最重要的是,很多人認為這種方法是最佳實踐(不管它是否是),因此它可以安撫複選框管理器和安全審計。
有趣的是,AWS 中的 IPv4始終使用 NAT,即使沒有 NAT 網關。公共子網中的 EC2 實例實際上沒有公共 ip -> 如果您檢查目標數據包,它們將轉到內部 ip。這是因為 AWS 在幕後使用 NAT。
我個人認為私有子網提供了額外的複雜性而沒有額外的好處。如果可能的話,我會嘗試使用 IPv6 並完全忽略 NAT,而只使用安全組 + 應用層安全性。然而,IPv6 的支持很差,而且許多人不正確理解 NAT,因此除非這些不是問題,否則請使用私有子網。