Caso tenhamos grupos de segurança adequados e sub-redes privadas/públicas,
há algum benefício de segurança em separar a sub-rede privada da AWS?
Por exemplo, tenho 1 ELB (sub-rede pública) e 2 EC2 (Frontend e Backend na mesma sub-rede privada).
ELB -> Frontend -> A segurança da rede backend é devidamente protegida por grupos de segurança.
Neste ponto, existe alguma vantagem de segurança na separação de sub-redes entre Frontend e Backend?
Antes:ELB(sub-rede pública) -> EC2(Frontend, sub-rede privada A) -> EC2(Backend, sub-rede privada A)
Depois:ELB(sub-rede pública) -> EC2(Frontend, sub-rede privada A) -> EC2(Backend, sub-rede privada B)
Responder1
Em primeiro lugar, é exigido por alguma forma de conformidade de segurança? Nesse caso, a responsabilidade para por aí e você não tem escolha a não ser cumprir os requisitos que os papéis e/ou seu chefe ordenam.
Emem geralpráticas, embora isso realmente dependa dos inconvenientes adicionais incorridos.
Pessoalmentecontanto que seja sua PRÓPRIA VLANe o provedor não está empurrando todos para uma rede compartilhada onde todos que possuem uma instância da AWS podem se conectar a ela como se fosse mais ou menos a Internet em sua escala. Então eu pensaria que seria suficiente ter um privado e um público.
A menos, é claro, que o fornecedor do aplicativo recomende configurações exóticas ou algo que uma segregação delas seja mais fácil do que fazer algumas exceções à infraestrutura existente.