我在 AWS 上有几个运行 Windows Server 2012 的实例。这些服务器只是共享驱动器以进行网络访问,因此没有公共 IP,也不在使用 NAT 的子网中,也就是说没有互联网访问。这种情况已经持续了大约 2 年。
最近有人担心这些服务器已经 2 年多没有下载和安装 Windows 更新了,可能存在尚未修补的漏洞。
好消息是,即使它们以某种方式受到攻击,它们也无法将数据发送到我们的网络之外。
从安全角度来看,是否值得在子网中添加 NAT 以允许这些服务器获取更新?
答案1
如果有人入侵其他服务器,他们最终可能会成为代理/堡垒,让人们攻击这些文件服务器。在我看来,是的,应用 Windows 更新是值得的。为了降低成本,您可以每周运行几个小时的 NAT 实例,大约在 Windows 更新计划的时间。
答案2
可能值得研究一下 WSUS 脱机更新。您可以在单独的机器/实例上下载更新,然后将其内部传输到相关服务器。这样,您就不需要更改现有配置。