AWS: Группа безопасности по умолчанию без правил?

Question

Я устанавливаю VPC на AWS. Он имеет общую подсеть и две частные подсети. Общественная подсеть предназначена для веб-серверов. Частные подсети предназначены для баз данных с высокой доступностью. Я защищаю ресурсы, используя группы безопасности, а не сетевые ACL.

Группа безопасности по умолчанию, которая была создана при создании VPC, позволяет весь исходящий трафик и разрешает входящий трафик из других подсетей в VPC. Я не уверен, какие именно серверы я буду развертывать в будущем - больше веб-серверов, больше экземпляров RDS, что-то еще? В свете этого, я думаю, что моя группа безопасности по умолчанию не должна допускать входящий или исходящий трафик. Имеет ли это смысл?

Таким образом, если я забыл явно выбрать группу безопасности при запуске экземпляра, сервер будет изолирован от всех других ресурсов.

Answer 1

Учитывая ваш дизайн, рекомендуемая конфигурация безопасности:

• Поместите свой балансировки нагрузки в публичной подсети: Это общественно-облицовочный
• Положите веб-серверов в частной подсети: Это позволяет им безопасно удалять прямой доступ из Интернета

Таким образом, если вы запускаете будущий экземпляр в частной подсети, это больше secur чем запуск в общедоступной подсети. Группы безопасности - это дополнительный уровень безопасности .

Учитывая, что вы нацелены на высокую доступность, также распространяйте свои веб-серверы через несколько зон доступности. Простой способ сделать это - использовать Auto Scaling, который равномерно распределяет экземпляры в зонах доступности и имеет преимущество масштабирования ввода/вывода для удовлетворения спроса и минимизации затрат.

Для примера архитектуры см. Ссылочную архитектуру Web Application Hosting в AWS Architecture Center.