Ante una brecha de seguridad, la capacidad de movimiento lateral, es decir, la capacidad de expandir la cantidad de recursos comprometidos, se verá determinada en gran medida en base a la visibilidad de red, por consiguiente, para la reducción del area de impacto (Blast Radius) es vital separar las redes, utilizando Virtual Private Cloud (VPCs) exponiendo hacia internet en redes públicas únicamente los recursos que necesitan brindar acceso al público, y dejando los demás recursos como bases de datos en redes privadas.
Si una instancia en la subred privada necesita conectarse a internet para actualizarse, se puede utilizar un NAT Gateway para que pueda hacerlo, sin necesidad de moverlo a una subred pública y darle una IP Publica.
Solo conectar la VPC al centro de datos on premise vía VPC o DirectConnect, si realmente necesita el acceso. No es recomendable conectar todas las VPCs por posibles usos futuros.
Por ejemplo, en una aplicación web con un balanceador de cargas, las bases de datos (en este ejemplo Amazon Aurora) se encuentran en subredes privadas:
Aislando las cargas en múltiples cuentas y múltiples VPCs reducimos el potencial impacto de un ataque conteniéndolo a dicha VPC.
Es posible establecer VPC Peering cuando sea necesario, nuevamente, es conveniente a nivel seguridad limitar el uso de los peers.