没有public ip的情况下,从外部开放所有流量到实例是否有任何风险?
Is there any risk from the outside to open up all traffic to instance without public ip?
我们有一个 vpc 4 个隧道形成 4 个不同的位置,以及一个用于互联网访问的 nat。
这个 vpc 里面是一个没有 public ip 地址的实例。
一切都通过私人 ip 进行通信。
既然每台内部机器都可以访问它,我可以允许来自 0.0.0.0/0 的所有流量吗?
从外面有什么风险吗?
最佳安全做法是阻止所有流量并明确仅允许来自特定位置的已知服务的流量。 (这就是 EC2 安全组的运作方式。)现在看起来没问题,但如果某个实例在将来某个时候拥有 public IP 地址,它可能会向全世界开放您的整个 VPC。我强烈建议您限制流量。
我们有一个 vpc 4 个隧道形成 4 个不同的位置,以及一个用于互联网访问的 nat。 这个 vpc 里面是一个没有 public ip 地址的实例。 一切都通过私人 ip 进行通信。
既然每台内部机器都可以访问它,我可以允许来自 0.0.0.0/0 的所有流量吗?
从外面有什么风险吗?
最佳安全做法是阻止所有流量并明确仅允许来自特定位置的已知服务的流量。 (这就是 EC2 安全组的运作方式。)现在看起来没问题,但如果某个实例在将来某个时候拥有 public IP 地址,它可能会向全世界开放您的整个 VPC。我强烈建议您限制流量。