我们有4个不同位置的vpc 4隧道,以及用于互联网访问的nat。 在这个vpc里面是一个没有公共IP地址的实例。 一切都通过私人IP进行通信。
如果每台内部机器都可以访问它,可以,我可以允许0.0.0.0/0的所有流量吗?
外面有任何风险吗?
答案 0 :(得分:2)
安全性最佳做法是阻止所有流量,并明确仅允许来自特定位置的已知服务的流量。 (这就是EC2安全组的功能。)现在看起来似乎不错,但如果一个实例将来某个时候有一个公共IP地址,它可能会将你的整个VPC打开到世界各地。我强烈建议您限制流量。