Una empresa quiere proteger un servidor de base de datos para que no se pueda acceder a él directamente desde internet. ¿Cómo debe colocarse el servidor de base de datos dentro de una VPC?
Una pregunta sobre qué ubicación en la VPC aísla una BD de internet.
Colocarlo en una subred pública y configurar una ruta a un internet gateway.
Una subred pública tiene una ruta a un internet gateway y es alcanzable directamente desde el exterior.
Esto es lo contrario del requisito de proteger la base de datos del acceso directo, por lo que es incorrecto.
Colocarlo directamente fuera de la VPC (en internet).
Colocarlo fuera de la VPC no es apropiado como diseño de red de AWS y no ofrece ninguna protección.
No cumple el requisito de proteger frente a internet, por lo que es incorrecto.
Colocarlo en una subred donde se pueda iniciar sesión como usuario root.
El usuario root es el administrador de la cuenta de AWS, un concepto sin relación con la ubicación en subredes.
No es un método de aislamiento de red, por lo que es incorrecto.
Colocarlo en una subred privada sin ruta directa a internet.
Correcto. Una subred privada no tiene ruta directa a un internet gateway, por lo que no se accede a ella directamente desde el exterior. Coloque aquí los recursos que no necesitan exponerse, como las bases de datos, y realice la comunicación de salida solo cuando sea necesario a través de un NAT gateway para protegerlos de forma segura.
Coloque los recursos que no necesitan exponerse (como las BD) en una subred privada (sin ruta directa a un IGW) para aislarlos. Si se necesita comunicación de salida, pase por un NAT gateway. Los servidores web que deben ser públicos van en una subred pública.