En caso de que tengamos grupos de seguridad adecuados y subredes públicas/privadas,
¿hay algún beneficio de seguridad al separar la subred privada de AWS?
Por ejemplo, tengo 1 ELB (subred pública) y 2 EC2 (Frontend y Backend en la misma subred privada).
ELB -> Frontend -> La seguridad de la red backend está debidamente protegida por grupos de seguridad.
En este punto, ¿existe alguna ventaja de seguridad al separar subredes entre Frontend y Backend?
Antes:ELB (subred pública) -> EC2 (frontend, subred privada A) -> EC2 (backend, subred privada A)
Después:ELB (subred pública) -> EC2 (frontend, subred privada A) -> EC2 (backend, subred privada B)
Respuesta1
En primer lugar, ¿lo exige alguna forma de cumplimiento de seguridad? Si es así, la responsabilidad se detiene ahí y no te queda más remedio que cumplir con los requisitos que te ordenan los papeles y/o tu jefe.
Engeneralprácticas, aunque realmente depende de los inconvenientes adicionales que se produzcan.
Personalmentesiempre y cuando sea tu PROPIA VLANy el proveedor no está empujando a todos a una red compartida donde todos los que obtuvieron una instancia de AWS pueden conectarse a ella como si fuera más o menos Internet a su escala. Entonces creo que bastaría con tener uno privado y otro público.
A menos, por supuesto, que el proveedor de la aplicación recomiende configuraciones exóticas o algo en lo que segregarlas sea más fácil que hacer algunas excepciones a la infraestructura existente.