適切なセキュリティグループとプライベート/パブリックサブネットがある場合、
AWS プライベートサブネットを分離するとセキュリティ上の利点はありますか?
たとえば、1 つの ELB (パブリック サブネット) と 2 つの EC2 (同じプライベート サブネット内のフロントエンドとバックエンド) があります。ELB
-> フロントエンド -> バックエンドのネットワーク セキュリティは、セキュリティ グループによって適切に保護されています。
この時点で、フロントエンドとバックエンドの間でサブネットを分離することにセキュリティ上の利点はありますか?
前に:ELB(パブリックサブネット) -> EC2(フロントエンド、プライベートサブネットA) -> EC2(バックエンド、プライベートサブネットA)
後:ELB(パブリックサブネット) -> EC2(フロントエンド、プライベートサブネットA) -> EC2(バックエンド、プライベートサブネットB)
答え1
まず、何らかのセキュリティ コンプライアンスによってそれが要求されていますか? もしそうなら、責任はそこで終わり、書類や上司の指示に従って要件を満たす以外に選択肢はありません。
で一般的なただし、追加の不便が生じるかどうかによって、実際には異なります。
個人的にあなた自身のVLANであればプロバイダーは、AWS インスタンスを取得したすべての人が、いわば自分たちの規模のインターネットであるかのように接続できる共有ネットワークにすべての人を押し込んでいるわけではありません。そうであれば、プライベート ネットワークとパブリック ネットワークを 1 つずつ用意すれば十分だと思います。
もちろん、アプリケーションベンダーが特殊な構成を推奨したり、既存のインフラストラクチャに例外を設けるよりも分離が簡単なものを推奨したりしない限りは。