Eu tenho várias instâncias executando o Windows Server 2012 na AWS. Os servidores simplesmente compartilham unidades para acesso à rede e, portanto, não têm IP público e não estão em uma sub-rede que usa um NAT, também conhecido como acesso à Internet. Este tem sido o caso por cerca de dois anos.
Recentemente tem havido alguma preocupação com o fato de que esses servidores não baixaram e instalaram as atualizações do Windows em mais de dois anos, e pode haver vulnerabilidades que esses servidores não tenham corrigido.
A boa notícia é que, mesmo que estejam comprometidos de alguma forma, não podem enviar dados para fora da nossa rede.
Vale a pena (de um ponto de segurança de segurança) adicionar um NAT à sub-rede apenas para permitir que esses servidores obtenham Atualizações?
Se alguém comprometer outros servidores, pode acabar sendo um proxy / bastião para permitir que as pessoas ataquem esses servidores de arquivos. IMHO sim vale a pena aplicar as atualizações do Windows. Para manter os custos baixos, você poderia executar a instância do NAT algumas horas por semana, quando as atualizações do Windows estiverem agendadas.
Pode valer a pena pesquisar no WSUS Offline Update. Você pode baixar atualizações em uma máquina / instância separada e transferi-las internamente para os servidores em questão. Dessa forma, você não precisará fazer alterações em sua configuração existente.