AWS VPC - por que ter uma sub-rede privada?

8

No Amazon VPC, o assistente de criação de VPC permite criar uma única "sub-rede pública" ou fazer com que o assistente crie uma "sub-rede pública" e uma "sub-rede privada". Inicialmente, a opção de sub-rede pública e privada parecia boa por motivos de segurança, permitindo que servidores da Web fossem colocados em sub-redes públicas e servidores de banco de dados para irem para a sub-rede privada.

Mas aprendi que as instâncias do EC2 na sub-rede pública não podem ser acessadas pela Internet, a menos que você associe um Amazon ElasticIP à instância do EC2. Assim, parece que com apenas uma única configuração de sub-rede pública, pode-se optar por não associar um ElasticIP aos servidores de banco de dados e acabar com o mesmo tipo de segurança.

Alguém pode explicar as vantagens de uma configuração de sub-rede pública + privada? As vantagens dessa configuração têm mais a ver com escalonamento automático ou, na verdade, é menos seguro ter uma única sub-rede pública?

    
por jkim 16.11.2012 / 08:25

2 respostas

4

É um limite de segurança ter uma sub-rede privada que você pode controlar com diferentes grupos de segurança da sub-rede pública. Se uma de suas instâncias na sub-rede pública foi invadida, será muito mais difícil invadir instâncias na sub-rede privada se você não for liberal demais em suas políticas de acesso.

    
por 16.11.2012 / 11:19
2

Além das implicações de segurança, há também outro aspecto: se você deseja permitir que instâncias sem IPs elásticos acessem a Internet, talvez seja necessário ter duas (ou mais) sub-redes diferentes.

Parafraseando a documentação da AWS , em uma VPC há três maneiras de permitir o acesso à instâncias da Internet:

  1. IPs elásticos - mas você só tem 5 por padrão, e depois precisa pagar mais
  2. Encaminhar o tráfego por meio de um Virtual Private Gateway - isso exige que você tenha uma conexão VPN de hardware com sua rede corporativa (ou doméstica)
  3. Configure uma instância NAT e direcione todo o tráfego de saída pelo NAT

A terceira opção é a interessante, pois a instância NAT tem que ficar dentro de uma sub-rede "pública", onde todo o tráfego de saída é roteado para um Gateway da Internet, mas todas as outras instâncias precisam ficar em uma sub-rede "privada". o tráfego de saída é roteado para a instância NAT.

Em suma, se você planeja usar um NAT, precisa de pelo menos duas sub-redes.

    
por 13.03.2013 / 18:12