AWS VPC: ¿por qué tener una subred privada?

8

En Amazon VPC, el asistente de creación de VPC le permite a uno crear una única "subred pública" o hacer que el asistente cree una "subred pública" y una "subred privada". Inicialmente, la opción de subred pública y privada parecía buena por razones de seguridad, permitiendo que los servidores web se pusieran en la subred pública y los servidores de bases de datos para ir en la subred privada.

Pero desde entonces supe que las instancias EC2 en la subred pública no son accesibles desde Internet a menos que asocie un Amazon ElasticIP con la instancia EC2. Por lo tanto, parece que con una sola configuración de subred pública, uno podría optar por no asociar un ElasticIP con los servidores de bases de datos y terminar con el mismo tipo de seguridad.

¿Alguien puede explicar las ventajas de una configuración de subred pública + privada? ¿Las ventajas de esta configuración tienen más que ver con el autoescalado, o es menos seguro tener una única subred pública?

amazon-web-services  amazon-vpc 
JKim
fuente
Por lo que vale, se puede acceder a las instancias EC2 en la subred púbica desde Internet, incluso sin un ElasticIP; de todos modos, obtienen una dirección IP pública. La diferencia entre esta dirección IP pública y un ElasticIP es simplemente que la dirección IP pública puede cambiar cuando reinicia su instancia, mientras que un ElasticIP se queda todo el tiempo que desee.
offby1

Respuestas:

4

Es un límite de seguridad tener una subred privada que puede controlar con diferentes grupos de seguridad de la subred pública. Si una de sus instancias en la subred pública fue pirateada, será mucho más difícil piratear instancias en la subred privada si no es demasiado liberal en sus políticas de acceso.

generalnetworkerror
fuente
1
Gracias. VPC con subred pública + privada parece el camino a seguir si AWS lanzaría una instancia de NAT de forma gratuita. Estoy pensando en pequeñas implementaciones y estaba tratando de averiguar si el costo de una instancia de NAT cada mes valía las ventajas de la configuración de 2 subredes.
JKim
2
@jkim Es considerablemente más asequible ahora que finalmente son compatibles t1.microcon una VPC.
Jeffrey Hantin
2

Además de las implicaciones de seguridad, también hay otro aspecto que entra en juego: si desea permitir que las instancias sin IP elásticas accedan a Internet, es posible que necesite 2 (o más) subredes diferentes.

Parafraseando la documentación de AWS , dentro de una VPC hay tres formas de permitir el acceso a Internet de instancias:

  1. IP elásticas, pero creo que solo obtienes 5 por defecto, y luego tienes que pagar por más
  2. Enrute el tráfico a través de una puerta de enlace privada virtual: esto requiere que tenga una conexión VPN de hardware a su red corporativa (o doméstica)
  3. Configure una instancia de NAT y dirija todo el tráfico saliente a través de NAT

La tercera opción es la interesante, ya que la instancia NAT debe ubicarse dentro de una subred "pública" donde todo el tráfico saliente se enruta a una puerta de enlace de Internet, pero todas las demás instancias tienen que sentarse en una subred "privada" donde se encuentra todo el tráfico saliente enrutado a la instancia NAT.

En resumen, si planea usar un NAT, necesita al menos 2 subredes.

Tom Poulton
fuente
Gracias Tom. Creo que también es posible tener 1 subred pública pero solo asignar un ElasticIP a la instancia NAT. Las otras instancias en la subred pública tendrán acceso a Internet saliente a través de Internet Gateway, y el acceso entrante podría configurarse a través del puerto hacia adelante en la instancia NAT. Tengo la sensación de que 2 subredes es la forma "adecuada", pero no veo una razón clara para ello.
JKim
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.