如果我们有适当的安全组和私有/公共子网,
分离 AWS 私有子网是否有任何安全优势?
例如,我有 1 个 ELB(公共子网)和 2 个 EC2(位于同一私有子网中的前端和后端)。ELB
-> 前端 -> 后端网络安全由安全组妥善保护。
此时,在前端和后端之间分离子网是否有任何安全优势?
前:ELB(公共子网)-> EC2(前端,私有子网 A)-> EC2(后端,私有子网 A)
后:ELB(公共子网)-> EC2(前端,私有子网 A)-> EC2(后端,私有子网 B)
答案1
首先,这是否是任何形式的安全合规要求的?如果是,责任就到此为止,你别无选择,只能满足文件和/或老板的要求。
在一般的但做法确实取决于它是否会带来额外的不便。
亲自只要它是你自己的 VLAN并且提供商不会将所有人推到共享网络上,让所有拥有 AWS 实例的人都可以连接到该网络,就像在他们的规模下互联网一样。那么我认为一个私有网络和一个公共网络就足够了。
当然,除非应用程序供应商推荐奇特的配置或某些东西,将这些配置隔离比对现有基础设施做出一些例外更容易。