AWS:没有规则的默认安全组?

【问题标题】:AWS: A default security group with no rules?AWS:没有规则的默认安全组?
【发布时间】:2015-11-13 20:22:19
【问题描述】:

我正在 AWS 上设置 VPC。它有一个公共子网和两个私有子网。公共子网用于 Web 服务器。私有子网用于高可用性数据库。我使用安全组而不是网络 ACL 来保护资源。

我在创建 VPC 时创建的默认安全组允许所有出站流量,并且只允许来自 VPC 中其他子网的入站流量。我不确定我将来会部署什么样的服务器——更多的 Web 服务器、更多的 RDS 实例,还是别的?鉴于此,我认为我的默认安全组应该不允许入站或出站流量。这有意义吗?

这样,如果我在启动实例时忘记显式选择安全组,服务器将与所有其他资源隔离。

【问题讨论】:

    标签: security amazon-web-services


    【解决方案1】:

    根据您的设计,推荐的安全配置是:

    • 将您的负载平衡器放在公共子网中:它是面向公众的
    • 将您的网络服务器放在私有子网中:通过消除从 Internet 的直接访问来确保它们的安全

    这样,如果您在私有子网中启动未来的实例,它会比在公有子网中启动更安全。因此,安全组是额外的安全层

    鉴于您的目标是高可用性,请将您的网络服务器分布在多个可用区。一个简单的方法是使用 Auto Scaling,它将实例均匀分布在可用区中,并具有在最小化成本的同时扩大/缩小以满足需求的好处。

    有关架构示例,请参阅AWS Architecture Center 中的Web Application Hosting 参考架构。

    【讨论】:

    猜你喜欢
    • 2021-03-06
    • 2020-09-29
    • 2018-08-25
    • 2016-12-15
    • 2021-09-22
    • 2015-04-28
    • 2019-07-28
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode