Fes*_*ale 6 nat domain-controller amazon-web-services windows-server-2016
几年来,我一直在 AWS 上运行四台服务器。这是一个业余爱好项目。所有服务器都位于同一 VPC 的同一子网中。
为了简化帐户和权限的管理,我决定使用 Active Directory。这意味着安装域控制器。文档表明要使用 AWS 域控制器服务,域控制器必须位于 VPC 的私有子网中。继续研究私有子网,这是一个我不熟悉的术语,我了解到私有子网中的 EC2 必须位于 NAT 网关之后——或者至少这是一个强烈的建议。
将域控制器放在 NAT 网关后面的私有子网中的建议显然是基于所提供的安全优势。这引出了我的问题:这些安全优势究竟是什么?
这就是为什么我问...
我现有的四台服务器都有一个私有 IP 和一个可路由(“弹性”)IP,但防火墙阻止任何人连接到后者,除非我创建了一个允许它的安全规则。为什么这对于域控制器会有所不同?我知道 DC 只会被我网络上的服务器使用,而永远不会被 Internet 上的随机外部方使用,但是除非我创建相反的入站安全规则,否则这不会只是默认状态吗?将这些 DC 与它们自己的 NAT 网关隔离在一个隔离的子网上有什么意义?它似乎增加了复杂性,但没有真正的好处。那么,想必是一个颠倒,我只是不知道它是什么,所以我的问题。
(我是业余爱好者,不是专业人士,所以如果你觉得这个问题更适合超级用户,我会删除并在那里重新发布。我只是想,因为它与服务器相关,这个网站可能更合适。)
MLu*_*MLu 11
如果实例具有公共/弹性 IP,我可以直接以攻击为目标。也许您在安全组中打开了一些我可以利用的不需要的端口。
如果它没有公共/弹性 IP,它几乎对 Internet 不可见,我无法从外部直接定位它。
想想一所房子——如果它的门直接在街上,那么你的房子安全就取决于门锁。但是,如果它位于实心墙后面的某个部分,甚至要走到门口并试图打破锁,就更加困难了。即使您错误地将门解锁,您仍然应该非常安全。
所以是的,如果一切正常,那么公共和私有子网的安全性应该是相似的。但是会发生错误,在这种情况下,将您的资源置于私有子网中可为您提供额外的保护层。
希望有帮助:)
| 归档时间: |
|
| 查看次数: |
1456 次 |
| 最近记录: |