Vorteile einer VPC für den Schutz von EC2-Instanzen

This content is more than 4 years old and the cloud moves fast so some information may be slightly out of date.

Viele Amazon AWS Kunden nutzen ihre EC2 Instanzen ohne ein VPC … und schützen Ihre EC2 Instanzen ausschließlich über EC2-Security Groups … das ist soweit ok, aber man kann es natürlich unter Einsatz einer Amazon AWS VPC besser machen … denn durch eine Amazon AWS VPC, die übrigens nichts groß extra kostet, kann man ein höheres Maß an Sicherheit erreichen. Am besten für die meisten Anwendungsfälle ist eigentlich da Szenario bestehend aus einem Public- und einem Private-Subnet in einer VPC.

In diesem gängigen Szenario kommen die aus dem Internet erreichbaren Server (i.d.R. WebServer) in das Public-Subnet. Alle sonstigen Backend-Server kommen in das Privat-Subnet und sind somit aus dem Internet nicht erreichbar und somit zusätzlich geschützt. Damit die Server im Privat-Subnet aber auf z.B. Windows Updates zugreifen können, erfolgt ein Zugang über den Umweg über eine spezielle NAT-Instanz.

Der Einsatz des dargestellten VPC bringt folgende Vorteile:

  • die aus dem EC2 Bereich bekannten Security-Groups haben im VPC Umfeld die Möglichkeit nicht nur Inbound sondern auch Outbound Regel zu erstellen.
  • neben den Security-Groups gibt es nun noch zusätzlich die Möglichkeit, auf Subnet-Ebene Network-ACLs einzurichten. Diese betreffen automatisch immer das ganze Subnet, sollte also mal jemand vergessen einer EC2-Instanz eine entsprechende Security-Group zuzuordnen, so gilt immer  noch die Network ACL auf Subnet-Ebene. Aber Vorsicht, Network ACLs sind stateless … Antworten auf Inbound Traffic müssen über explizite zusätzliche Portfreigaben ermöglicht werden …
  • Elastic IPs, die einer EC2-Instanz in einer VPC zugewiesen sind bleiben auch bei einem Stop der Instanz entsprechend zugewiesen und müssen nicht wie im normalen EC2-Szenario erneut nach einem Restart zugewiesen werden

Mehr zu einem Einsatz eines VPC, wie das genau geht und weitere Unterstützung gerne auf Anfrage!

Similar Posts You Might Enjoy

Windows Installations-Medien für EC2 als Snapshots

Wenn man mit Windows-basierten EC2-Instanzen arbeitet, kann es hin und wieder vorkommen, dass man bestimmte Windows-Services nachinstallieren muss … und dann fehlt einem die DVD … Glücklicherweise hat Amazon AWS alle Windows Installations-Medien als Snapshots hinterlegt. In diesem kurzen Artikel sind die SnapShot IDs aufgelistet und erklärt, wie man die Snapshots als Laufwerk seiner EC2 Instanz hinzufügt. - by tecRacer

Wie Instagram auf Basis von Amazon AWS skaliert ...

Instagram, 10 Mitarbeiter, 1 Photo-App für iOs und 1 Photo-App für Android … und eben 30+ Million User … und Facebook kaufte das alles für 1 Milliarde USD … Aber wie haben die Jungs von Instagram das Problem der stetig wachsenden Userzahlen in den Griff bekommen … Amazon EC2 … mehr hier in dieser doch sehr freakigen aber eindrucksvollen Präsentation der Instagram Gründer … http://www.businessinsider.com/instagram-cofounder-heres-how-we-scaled-into-a-billion-dollar-company-deck-2012-4 - by tecRacer

One Step Closer to IPv6

Over many years, we have now read warnings about the exhaustion of available IPv4 addresses. So far, there still seem to be ways and ideas on how to extend their lifetime (by approaching large organizations, using NAT, re-dedication of 240.0.0.0/4, and so on). Switching over to the much-dreaded IPv6 sounds easy, but even minor things can still cause problems. So what is the current state of AWS with this topic? And how did the landscape change during re:Invent 2021? - by Thomas Heinen