我有几个在AWS上运行Windows Server 2012的实例。 服务器只是共享networking访问驱动器,因此没有公共IP,并且不在使用NAT的子网中,也没有Internet访问。 这已经是大约2年的情况了。
最近有一些关于这些服务器在2年内没有下载和安装Windows更新的事实,而且这些服务器可能存在安全漏洞。
好消息是,即使他们以某种方式受到损害,他们也不能在我们的networking之外发送数据。
是否值得(从安全pov)添加到子网的NAT只是为了让这些服务器得到更新?
如果有人妥协其他服务器,他们可能会成为代理/堡垒,让人们攻击这些文件服务器。 恕我直言,是值得应用Windows更新。 为了降低成本,您可以每周运行一次NAT实例几个小时,计划安装Windows更新。
查看WSUS脱机更新可能是值得的。 您可以在单独的机器/实例上下载更新,并将其内部传输到相关服务器。 这样你就不需要改变你现有的configuration。