AWS RDS VPC Security - PullRequest
Новая
       24

AWS RDS VPC Security

0 голосов
/ 14 июня 2019

Может ли кто-нибудь подтвердить преимущества безопасности, если выполнено одно из следующих действий:

У меня есть веб-сервер, обращенный к Интернету, в VPC, он подключен к другому VPC, на котором запущен брандмауэр приложения.

Веб-сервер будет взаимодействовать с экземпляром RDS, который будет доступен только приложению и серверу управления (для целей поддержки, размещенных в другом VPC).

Вопрос заключается в том,Экземпляр RDS должен быть размещен на том же VPC, что и веб-сервер, или размещен на отдельном VPC

.

1 Ответ

3 голосов
/ 14 июня 2019

Это полностью зависит от вас!В общем, вы должны минимизировать сложность, если на то нет причины.

Помещение базы данных в отдельный VPC определенно излишне.Иногда люди помещают базу данных в частную подсеть , чтобы добавить дополнительный уровень безопасности.

Вы должны обязательно настроить группы безопасности следующим образом:

  • Группа безопасности веб-сервера (Web-SG), связанная с веб-сервером, которая разрешает требуемый трафик (например, HTTP, HTTPS) из Интернета (0.0.0.0/0)
  • Группа безопасности базы данных (DB-SG) связан с экземпляром RDS, который разрешает входящий трафик на требуемый порт из Web-SG

То есть DB-SG разрешает входящий доступ из Web-SG, ссылаясь конкретно на Web-SG (вместо этогопо IP-адресу).Это означает, что любому экземпляру EC2, связанному с Web-SG, будет разрешен доступ к базе данных.

...