0

我们有一个 vpc 4 隧道形成 4 个不同的位置,以及一个用于互联网访问的 nat。这个 vpc 内部是一个没有公共 IP 地址的实例。一切都通过私有IP进行通信。

既然每台内部机器都可以访问它就可以了,我可以允许来自 0.0.0.0/0 的所有流量吗?

从外面看有没有风险?

4

1 回答 1

2

安全最佳实践是阻止所有流量并明确允许来自某些位置的已知服务的流量。(这就是 EC2 安全组的运作方式。)现在看起来还可以,但如果一个实例在未来的某个时候拥有一个公共 IP 地址,它可能会向全世界开放您的整个 VPC。我强烈建议您限制流量。

于 2016-09-23T14:07:05.190 回答