Если у нас есть надлежащие группы безопасности и частные/публичные подсети,
есть ли какие-либо преимущества в плане безопасности при разделении частной подсети AWS?
Например, у меня есть 1 ELB (публичная подсеть) и 2 EC2 (Frontend и Backend в одной частной подсети).
Сетевая безопасность ELB -> Frontend -> Backend надежно защищена группами безопасности.
На данный момент есть ли какие-либо преимущества в плане безопасности при разделении подсетей между Frontend и Backend?
До:ELB (публичная подсеть) -> EC2 (фронтенд, частная подсеть A) -> EC2 (бэкенд, частная подсеть A)
После:ELB (публичная подсеть) -> EC2 (фронтенд, частная подсеть A) -> EC2 (бэкенд, частная подсеть B)
решение1
Во-первых, требуется ли это в соответствии с какой-либо формой соответствия требованиям безопасности? Если да, то на этом все заканчивается, и у вас нет выбора, кроме как выполнять требования, которые приказывают бумаги и/или ваш босс.
Вобщийпрактики, хотя это действительно зависит от того, возникнут ли дополнительные неудобства.
Личноесли это ваш СОБСТВЕННЫЙ VLANи провайдер не заталкивает всех в общую сеть, где каждый, у кого есть экземпляр AWS, может подключиться к нему, как если бы это был более или менее интернет в их масштабах. Тогда я бы подумал, что достаточно иметь один частный и один публичный.
Если, конечно, поставщик приложения не рекомендует экзотические конфигурации или что-то в этом роде, то разделение таких конфигураций будет проще, чем внесение некоторых исключений в существующую инфраструктуру.