目前,我们将可公开访问的资源(如 ALB)放在公共子网内,将应用程序服务器和数据存储放在私有子网内(不同的数据存储,例如 RDS 和 Elasticache,有自己的子网)。所有子网都位于单个 VPC 内。
我的问题是,是否 1) 可能;2) 有必要将此 VPC 分成 2 个独立的 VPC,一个 VPC 仅包含公共子网,另一个 VPC 仅包含私有子网,以获得额外的安全性?
所说的额外的安全性意味着 2-vpc 拓扑可以比当前的单 vpc 拓扑获得额外的安全优势。
答案1
不,没有必要这么做,除非你搞乱了配置,导致不安全。想想威胁评估,你要防范什么?