amazon-web-services - AWS - 安全组是否足够或是否需要私有(private)和公共(public)子网？

Question

假设我有一个网络服务器，它是一个 EC2 实例和一个 RDS。

EC2 实例与 RDS 通信。

为了安全起见，我可以将其设置在 Application Load Balancer 后面，并使用安全组仅允许入站流量通过 ALB。 ALB 将仅通过 HTTPS 与互联网通信。

我可以在内部设置一个安全组，它只接受来自 ALB 安全组的传入流量。我会将此安全组附加到 EC2 实例。然后我可以有另一个安全组，只允许来自 EC2 实例的传入流量。此安全组将附加到 RDS。

EC2 实例的安全组将允许通过 HTTPS 的出站流量用于更新、下载包等目的。

根据我对这个设置如何工作的(有限的)理解，与 RDS 的通信必须严格从 EC2 实例发生，到 EC2 实例的入站通信必须严格从配置为仅接受的 ALB 发生通过 SSL 请求。

就安全性而言，此设置安全吗？

运行这样的设置有什么风险？

配置私有(private)和公共(public)子集有什么好处，如所示 here ？

Answer 1

这完全取决于您的风险偏好。

额外的安全层使事情变得更安全，但它们也使事情更难使用——看看机场安检、申请新护照或使用 NAT 网关获取互联网访问权限就知道了。

通过将资源放入私有(private)子网，可以额外的安全层。知道私有(private)子网中的资源不会因安全组的错误配置而意外公开(但可以因子网的错误配置而公开!)，这让人感到安心。

网络安全人员通过使用公共(public)/私有(private)子网熟悉传统安全方法，并且没有在传统网络中拥有安全组的奢侈。因此，他们更愿意将旧式安全方法与现代安全组一起使用。

因此，如果您愿意将资源放在公共(public)子网 中并使用安全组来限制它们，那么这取决于您。如果您不向私有(private)资源提供公共(public) IP 地址，您可以进一步保护资源，这将进一步保护它们免受访问。

至少，将您的数据库设置为Publicly Accessible = No。