外部からパブリックIPなしでインスタンスへのすべてのトラフィックを開くリスクはありますか？

Question

私たちは、4つの異なる場所を形成するvpc 4トンネルとインターネットアクセス用のNATを持っています。 このvpcの内部には、パブリックIPアドレスのないインスタンスがあります。 すべてがプライベートIPで通信します。

すべての内部マシンにアクセスできるかどうかは大丈夫ですから、すべてのトラフィックを0.0.0.0/0から許可することはできますか？

外部からの危険はありますか？

Answer 1

すべてのトラフィックをブロックし、既知のサービスへのトラフィックのみを特定の場所から明示的に許可することをお勧めします。 （これはEC2セキュリティグループの機能です）今は大丈夫ですが、インスタンスがある時点でパブリックIPアドレスを持っていれば、VPC全体を世界に開く可能性があります。トラフィックを制限することを強くお勧めします。