Vorteile einer VPC für den Schutz von EC2-Instanzen

Viele Amazon AWS Kunden nutzen ihre EC2 Instanzen ohne ein VPC … und schützen Ihre EC2 Instanzen ausschließlich über EC2-Security Groups … das ist soweit ok, aber man kann es natürlich unter Einsatz einer Amazon AWS VPC besser machen … denn durch eine Amazon AWS VPC, die übrigens nichts groß extra kostet, kann man ein höheres Maß an Sicherheit erreichen.

Am besten für die meisten Anwendungsfälle ist eigentlich da Szenario bestehend aus einem Public- und einem Private-Subnet in einer VPC.

In diesem gängigen Szenario kommen die aus dem Internet erreichbaren Server (i.d.R. WebServer) in das Public-Subnet. Alle sonstigen Backend-Server kommen in das Privat-Subnet und sind somit aus dem Internet nicht erreichbar und somit zusätzlich geschützt. Damit die Server im Privat-Subnet aber auf z.B. Windows Updates zugreifen können, erfolgt ein Zugang über den Umweg über eine spezielle NAT-Instanz.

Der Einsatz des dargestellten VPC bringt folgende Vorteile:

  • die aus dem EC2 Bereich bekannten Security-Groups haben im VPC Umfeld die Möglichkeit nicht nur Inbound sondern auch Outbound Regel zu erstellen.
  • neben den Security-Groups gibt es nun noch zusätzlich die Möglichkeit, auf Subnet-Ebene Network-ACLs einzurichten. Diese betreffen automatisch immer das ganze Subnet, sollte also mal jemand vergessen einer EC2-Instanz eine entsprechende Security-Group zuzuordnen, so gilt immer  noch die Network ACL auf Subnet-Ebene. Aber Vorsicht, Network ACLs sind stateless … Antworten auf Inbound Traffic müssen über explizite zusätzliche Portfreigaben ermöglicht werden …
  • Elastic IPs, die einer EC2-Instanz in einer VPC zugewiesen sind bleiben auch bei einem Stop der Instanz entsprechend zugewiesen und müssen nicht wie im normalen EC2-Szenario erneut nach einem Restart zugewiesen werden

Mehr zu einem Einsatz eines VPC, wie das genau geht und weitere Unterstützung gerne auf Anfrage!