외부에서 공개 IP없이 인스턴스에 대한 모든 트래픽을 열 수있는 위험이 있습니까?

Question

우리는 4 개의 다른 위치와 인터넷 접속을위한 vpc 4 터널을 가지고 있습니다. 이 vpc 안에는 공용 IP 주소가없는 인스턴스가 있습니다. 모든 것이 개인 IP로 통신합니다.

내부의 모든 컴퓨터에서 액세스 할 수 있으면 괜찮으므로 0.0.0.0/0부터 모든 트래픽을 허용 할 수 있습니까?

외부에서 위험이 있습니까?

Answer 1

모든 트래픽을 차단하고 특정 위치의 알려진 서비스에 대한 트래픽 만 명시 적으로 허용하는 것이 보안에 가장 좋습니다. (이것은 EC2 보안 그룹의 기능입니다.) 지금은 괜찮아 보이지만 인스턴스가 미래의 어떤 시점에서 공용 IP 주소를 갖고 있다면 전체 VPC를 세계에 공개 할 수 있습니다. 트래픽을 제한하는 것이 좋습니다.