Назад | Перейти на главную страницу

Соображения безопасности частной подсети AWS по сравнению с частной группой безопасности

AWS Virtual Private Cloud позволяет несколькими способами ограничить доступ к устройствам в сети VPC из Интернета.

1) Поместите устройства в частную подсеть (без интернет-шлюза). Каждое устройство может связываться с другими устройствами, используя частные IP-адреса. Ни одно устройство не имеет общедоступного IP-адреса, поэтому нет доступа из Интернета.

2) Поместите устройства в публичную подсеть. У каждого устройства есть общедоступный IP-адрес, поэтому они могут связываться с другими внутренними устройствами, используя частные или общедоступные IP-адреса. Добавьте группы безопасности, чтобы ограничить доступ из Интернета.

Вопросы:

  1. Идентичны ли эти два подхода с точки зрения безопасности?

  2. Есть ли еще какие-то соображения, которые следует учитывать?

Не совсем. Во-первых, ваши пронумерованные очки.

  1. Да, это правильно, насколько это возможно. Вы также можете поместить шлюз NAT (или экземпляр NAT) в общедоступную подсеть для обеспечения доступа в Интернет, что очень полезно для таких вещей, как обновления программного обеспечения.

  2. Устройства всегда связываются с другими внутренними серверами, используя частные IP-адреса. Они используют общедоступные IP-адреса для сайтов за пределами VPC.

  3. Вместо размещения серверов в общедоступной подсети вы можете иметь три уровня. Поместите балансировщик нагрузки / прокси в общедоступную подсеть, поместите свои веб-серверы / серверы приложений в подсеть приложения, а серверы баз данных - в третью подсеть.

Теперь ваши вопросы

  1. Нет, они совсем другие. Один из них изолирован и безопасен, если вы каким-то образом не откроете его, другой доступен в Интернете и, как таковой, настолько же безопасен, насколько и ваше программное обеспечение.

  2. Да. Много. Все группы безопасности ограничиваются портом. Вы также можете добавить сервисы, которые перехватывают трафик для полного сканирования входящего и исходящего трафика, вы можете использовать облачные сервисы, чтобы делать то же самое, вы можете использовать Guard Duty для мониторинга вашего трафика.

Облачная безопасность - ОГРОМНАЯ тема. Я провожу двухдневный семинар по AWS, чтобы обучать и привлекать новых клиентов к AWS, более половины из которых связаны с безопасностью - и это просто материалы высокого уровня. Затем нужно осветить много-много деталей, а решения будут приняты позже. Это уровень предприятия, со многими интеграциями, корпоративными политиками, стандартами национальной безопасности и т. Д.

Если вы разместите конкретный вопрос (новый вопрос) о том, чего вы пытаетесь достичь, а не что-то теоретическое, вы можете получить практический совет.