Есть ли какой-либо риск извне, чтобы открыть весь трафик до экземпляра без публичного ip?

Question

У нас есть туннели vpc 4, которые образуют 4 разных местоположения, и сеть для доступа в Интернет. Внутри этого vpc есть экземпляр без публичного IP-адреса. Все общается частным ip.

С его помощью, если у каждой внутренней машины есть доступ к ней, нормально ли мне разрешить весь трафик с 0.0.0.0/0?

Есть ли у него риск снаружи?

Answer 1

Лучшая практика безопасности - блокировать весь трафик и явно разрешать только трафик известных услуг из определенных мест. (Вот как функционируют группы безопасности EC2.) Может показаться, что сейчас это нормально, но если в какой-то момент в будущем экземпляр должен иметь публичный IP-адрес, он потенциально может открыть весь ваш VPC для мира. Я настоятельно рекомендую ограничить трафик.