Încerc să obțin o înțelegere mai profundă a fluxurilor de trafic și a rutării în diferite scenarii când resursele dintr-un VPC comunică între ele și cu serviciile AWS. Recent am dat peste asta FAQ în documentele AWS și a aruncat o mică cheie în înțelegerea mea:
Î. Traficul trece pe internet atunci când două instanțe comunică folosind adrese IP publice sau când instanțe comunică cu un punct final de serviciu public AWS?
Nu. Când utilizați adrese IP publice, toate comunicările dintre instanțe și serviciile găzduite în AWS utilizează rețeaua privată AWS. Pachetele care provin din rețeaua AWS cu o destinație în rețeaua AWS rămân în rețeaua globală AWS, cu excepția traficului către sau dinspre regiunile AWS China.
Scenariul 1: Instanță EC2 <> Instanță EC2, același VPC: Comunicare IP publică
Am înțeles că, dacă două instanțe EC2 din același VPC comunică între ele prin adrese IP publice, traficul va ieși din VPC și va traversa „internetul public”, dar poate că asta nu înseamnă în afara rețelei private AWS bazate pe la întrebările frecvente de mai sus? Știe cineva la un nivel mai profund ce fel de expunere există în acest caz, din punct de vedere al securității? Ce înseamnă ieșirea din VPC într-adevăr înseamnă în termeni de expunere și riscuri?
Scenariul 2: Instanță EC2 <> AWS Services Communication
Știu că AWS PrivateLink este folosit pentru a se conecta „în siguranță” la Serviciile AWS din cadrul unui VPC.Următoarele sunt preluate din docs referitor la utilizarea PrivateLink și RDS:
De asemenea, instanțele dvs. nu au nevoie de adrese IP publice pentru a utiliza oricare dintre operațiunile API RDS disponibile. Traficul dintre VPC-ul dvs. și Amazon RDS nu părăsește rețeaua Amazon.
Acum, pe baza primelor întrebări frecvente de mai sus, se pare că atunci când instanțe dintr-un VPC comunică cu Serviciile AWS prin puncte finale/IP-uri publice (adică fără puncte finale de interfață PrivateLink), acest trafic ar trebui să nu părăsiți niciodată rețeaua Amazon, dar documentele PrivateLink fac să pară așa traficul VPC face poate părăsi rețeaua Amazon la un moment dat dacă nu folosești acele puncte finale de interfață?
--
Sper că cineva poate oferi ceva claritate aici, deoarece se pare că am nevoie de doar câteva detalii suplimentare pentru a face ca totul să dea clic pentru mine. Bănuiesc că preocuparea/lentila mea se concentrează pe securitate și pe ce fel de expunere există/risc suplimentar există în fiecare dintre scenariile prezentate. Ce înseamnă de fapt traficul care părăsește VPC-ul dacă tot este destinat rețelei Amazon la sfârșitul zilei? Care sunt riscurile ca traficul să părăsească VPC-ul? Este mai ales o preocupare de refuz al serviciului sau posibilitatea ca oamenii să adulmece traficul? Sau altceva? Știu că probabil depinde de modelul de amenințare, dar sunt curios la ce se gândesc alții aici în ceea ce privește riscurile/preocupările.
Simțiți-vă liber să împărtășiți orice documentație/documente pe care le-ați găsit utile pentru înțelegerea acestor lucruri. Documentele AWS mi se par puțin contradictorii (sau poate că pur și simplu nu merg suficient de adânc, deoarece intră în sosul lor secret), așa că sper că există oameni care au făcut scufundări mai profunde în aceste zone și au publicat ceva. Știu că există o mulțime de întrebări și concepte legate de această discuție, așa că spune-mi dacă pot clarifica/simplifica postarea mea de mai sus. Mulțumesc anticipat!
