У меня есть несколько экземпляров Windows Server 2012 на AWS. Серверы просто совместно используют диски для доступа к сети и, следовательно, не имеют общедоступного IP-адреса и не находятся в подсети, которая использует NAT, иначе говоря, нет доступа в Интернет. Так было около 2 лет.
В последнее время были некоторые опасения по поводу того факта, что эти серверы не загружали и не устанавливали обновления Windows в течение более двух лет, и могут быть уязвимости, которые эти серверы не исправили.
Хорошая новость в том, что даже если они каким-то образом скомпрометированы, они не могут отправлять данные за пределы нашей сети.
Стоит ли (с точки зрения безопасности) добавлять NAT в подсеть только для того, чтобы эти серверы могли получать обновления?
Возможно, стоит изучить автономное обновление WSUS. Вы можете загружать обновления на отдельный компьютер / экземпляр и передавать их внутренне на соответствующие серверы. Таким образом, вам не нужно будет вносить изменения в существующую конфигурацию.
Если кто-то скомпрометирует другие серверы, он может стать прокси / бастионом, позволяющим людям атаковать эти файловые серверы. ИМХО да стоит применить обновления Windows. Чтобы снизить затраты, вы можете запускать экземпляр NAT пару часов в неделю примерно в то время, когда запланированы обновления Windows.