这似乎是一个非常愚蠢的问题,但正如我的高中木工老师所说,唯一愚蠢的问题就是没有人问的问题。
我不完全确定给定 VPC 中有哪些资产,或者如何确定这一点。
我有 Elastic Beanstalks、EC2 实例(Beanstalk 生成的和其他生成的)、MySQL RDB 实例和 Redis ElastiCache 实例,它们都是同一应用程序的一部分。
假设我能够确定所有内容都在 VPC 内,那么是否有理由对这些资产之间流动的数据进行传输加密?
新信息:此处感兴趣的所有资产至少有一个在 VPC 中列出的安全组,并且没有安全组不是与 VPC 一起列出。
我在 EFS 上找不到任何明确的 VPC 引用,但其所有子网都与 VPC 一起列出。Redis Elasticache 也是如此。
其余所有内容都有对 VPC 的明确引用。
我是否可以由此假设所有感兴趣的资产都完全存在于 VPC 中并相互交流?
答案1
这个问题对于如何在给定的 VPC 上查找所有内容,有一些很好的答案和示例。
至于传输中加密,我认为您绝对应该在 VPC 内部对数据进行传输中加密。分层实施时,安全性效果最佳 - 您将资产放入 VPC 中,并且只将绝对需要的内容暴露给互联网。下一步是加密传输中的数据,这样如果有人以某种方式进入 VPC,他们就无法轻易嗅探到信息。您还可以考虑静态加密,这样他们就不能从文件系统中抓取文件并运行。
如今,SSL 证书非常便宜,私有 PKI 基础设施易于操作(在 AWS 内部使用 ACM 更是如此)。这些肯定应该被视为最低限度的最佳实践。