hel*_*ylo 3 amazon-web-services amazon-vpc network-security
AWS Virtual Private Cloud 允许通过多种方式限制从 Internet 访问 VPC 网络上的设备。
1) 将设备放入私有子网(无 Internet 网关)。每个设备都可以使用私有 IP 与其他设备通信。没有设备具有公共 IP,因此无法从 Internet 访问。
2) 将设备放入公共子网。每个设备都有一个公共 IP,因此它们可以使用私有或公共 IP 与其他内部设备进行通信。添加安全组以限制来自 Internet 的访问。
问题:
从安全角度来看,这两种方法是否相同?
还有其他需要考虑的因素吗?
不完全的。首先,您的编号点。
是的,就目前而言,这是正确的。您还可以将 NAT 网关(或 NAT 实例)放在公共子网中以提供 Internet 访问,这对于软件更新等非常有用。
设备始终使用私有 IP 地址与其他内部服务器通信。他们将公共 IP 地址用于 VPC 之外的站点。
您可以拥有三层,而不是将服务器放在公共子网中。将负载均衡器/代理放入公共子网,将您的 Web/应用程序服务器放入应用程序子网,将您的数据库服务器放入第三个子网
现在,你的问题
不,它们完全不同。一个是隔离且安全的,除非你以某种方式打开它,一个在互联网上可用,因此只有你的软件一样安全。
是的。许多。所有安全组所做的都是通过端口进行限制。您还可以放入拦截流量的服务以进行完整的入口和出口扫描,您可以使用云服务来做类似的事情,您可以使用 Guard Duty 来监控您的流量。
云安全是一个巨大的话题。我举办了一个为期两天的 AWS 研讨会,以教育和引导新客户使用 AWS,其中一半以上与安全有关 - 这只是高级内容。然后有很多很多细节需要涵盖和稍后做出的决定。不过,这是企业级的,有许多集成、公司政策、国家安全标准等。
如果您发布一个关于您想要实现的目标的具体问题(一个新问题),而不是一些理论上的问题,您可以获得一些实用的建议。
小智 6
在安全性方面实际上没有区别。具有入站允许所有安全组的私有子网中的 EC2 实例和单个安全组中没有规则的 EC2 实例都无法从 Internet 访问。
然而,公共子网中的实例可以通过互联网进行寻址,因为它具有全球唯一的 IP,互联网上的人们可以尝试向其发送数据包。
私有子网提供了一些额外的安全考虑 - 它们明确表明无法从互联网访问该实例。它也很难改变,而安全组方法可以通过添加入站规则来改变。但最重要的是,很多人认为这种方法是最佳实践(无论是否是),因此它可以安抚勾选框经理和安全审计。
有趣的是,AWS 中的 IPv4始终使用 NAT,即使没有 NAT 网关。公共子网中的 EC2 实例实际上没有公共 ip -> 如果您检查目标数据包,它们将转到内部 ip。这是因为 AWS 在幕后使用 NAT。
我个人认为私有子网提供了额外的复杂性,但没有带来额外的好处。如果可能的话,我会尝试使用 IPv6 并完全忽略 NAT,只使用安全组 + 应用程序层安全性。然而,IPv6 的支持很差,而且许多人不能正确理解 NAT,因此请使用私有子网,除非这些都不是问题。
| 归档时间: |
|
| 查看次数: |
681 次 |
| 最近记录: |