Estou configurando um corretor MQ em um ambiente AWS.
O corretor MQ será usado por serviços em execução nesse ambiente AWS, bem como por serviços em execução em outros locais.
Todos os outros serviços implantados no ambiente AWS são executados em sub-redes privadas, por isso estou inclinado a implantar o corretor MQ em uma sub-rede privada e configurar um balanceador de carga de rede para passar o tráfego externo para o corretor MQ.
No entanto, para fins práticos, eu também poderia simplesmente implementar o broker MQ em uma sub-rede pública. Dessa forma, eu seria capaz de expor o corretor à Internet pública apenas configurando um grupo de segurança (e ignorando o balanceador de carga da rede).
Estou inclinado a uma implantação de sub-rede privada, mas não tenho certeza se a sobrecarga de configuração adicional (balanceador de carga de rede) oferece algum benefício real.
Qual é o benefício de fazer uma implementação de sub-rede privada do broker MQ?
Minha opinião é que você teria um grupo de segurança que permitiria apenas acesso de IPs específicos ao seu MQ; há poucos benefícios em adicionar um balanceador de carga de rede.
Se estivesse na Internet pública, os benefícios do NLB ainda seriam bastante pequenos. Pode mitigar um pequeno número de tipos de ataque. Um balanceador de aplicação, que não é aplicável neste cenário, mitiga uma gama mais ampla de ataques.
Em um ambiente de maior segurança, as VPNs forneceriam mais segurança, garantindo que apenas usuários conhecidos e confiáveis possam acessar os recursos. Ao usar um grupo de segurança, os endereços IP podem ser falsificados - embora eu não saiba até que ponto isso é prático.