AWS VPC - pourquoi avoir un sous-réseau privé?

8

Dans Amazon VPC, l'assistant de création de VPC permet de créer un seul "sous-réseau public" ou de créer un "sous-réseau public" et un "sous-réseau privé". Initialement, l'option de sous-réseau public et privé semblait bonne pour des raisons de sécurité, permettant aux serveurs Web d'être placés dans le sous-réseau public et les serveurs de base de données d'aller dans le sous-réseau privé.

Mais j'ai appris depuis que les instances EC2 dans le sous-réseau public ne sont pas accessibles depuis Internet, sauf si vous associez un Amazon ElasticIP à l'instance EC2. Il semble donc qu'avec une seule configuration de sous-réseau public, on puisse simplement choisir de ne pas associer un ElasticIP aux serveurs de base de données et de se retrouver avec le même type de sécurité.

Quelqu'un peut-il expliquer les avantages d'une configuration de sous-réseau public + privé? Les avantages de cette configuration sont-ils davantage liés à la mise à l'échelle automatique, ou est-il réellement moins sûr d'avoir un seul sous-réseau public?

amazon-web-services amazon-vpc JKim
la source
Pour ce que ça vaut, les instances EC2 dans le sous - réseau public sont accessibles depuis Internet, même sans ElasticIP - elles obtiennent quand même une adresse IP publique. La différence entre cette adresse IP publique et un ElasticIP est simplement que l'adresse IP publique peut changer lorsque vous redémarrez votre instance, tandis qu'un ElasticIP reste aussi longtemps que vous le souhaitez.
offby1

Réponses:

4

C'est une limite de sécurité d'avoir un sous-réseau privé que vous pouvez contrôler avec différents groupes de sécurité à partir du sous-réseau public. Si l'une de vos instances du sous-réseau public a été piratée, il sera beaucoup plus difficile de pirater les instances du sous-réseau privé si vous n'êtes pas trop libéral dans vos politiques d'accès.

erreur générale de réseau
la source
1
Merci. VPC avec sous-réseau public + privé semble la voie à suivre si AWS jetterait gratuitement une instance NAT. Je pense aux petits déploiements et j'essayais de savoir si le coût d'une instance NAT chaque mois valait les avantages de la configuration 2 sous-réseaux.
JKim
2
@jkim C'est considérablement plus abordable maintenant qu'ils prennent enfin en charge t1.microun VPC.
Jeffrey Hantin
2

Outre les implications en matière de sécurité, un autre aspect entre en jeu: si vous souhaitez autoriser des instances sans Elastic IP à accéder à Internet, vous devrez peut-être 2 (ou plus) sous-réseaux différents.

En paraphrasant la documentation AWS , au sein d'un VPC, il existe trois façons d'autoriser l'accès aux instances Internet:

  1. IP élastiques - mais vous n'en obtenez que 5 par défaut, je pense, et ensuite vous devez payer plus
  2. Acheminez le trafic via une passerelle privée virtuelle - cela nécessite que vous disposiez d'une connexion VPN matérielle à votre réseau d'entreprise (ou domestique)
  3. Configurer une instance NAT et acheminer tout le trafic sortant via le NAT

La troisième option est intéressante dans la mesure où l'instance NAT doit se trouver dans un sous-réseau "public" où tout le trafic sortant est acheminé vers une passerelle Internet, mais toutes les autres instances doivent se trouver dans un sous-réseau "privé" où tout le trafic sortant est routé vers l'instance NAT.

En bref, si vous prévoyez d'utiliser un NAT, vous avez besoin d'au moins 2 sous-réseaux.

Tom Poulton
la source
Merci Tom. Je pense qu'il est également possible d'avoir 1 sous-réseau public mais d'affecter uniquement un ElasticIP à l'instance NAT. Les autres instances du sous-réseau public auront un accès Internet sortant via la passerelle Internet, et l'accès entrant pourrait être configuré via des ports vers l'avant sur l'instance NAT. J'ai le sentiment que 2 sous-réseaux est la bonne façon, mais je ne vois pas de raison claire pour cela.
JKim