Dlaczego w Amazon EC2 są zarówno grupy bezpieczeństwa, jak i iptables?

Ostatnio natknąłem się na problem zapory ogniowej z moją instancją EC2. Port TCP został udostępniony wszystkim za pośrednictwem EC2 Security Group, jednak nadal istniało filtrowanie po stronie instancji przy użyciu iptables. Doszedłem do wniosku, że cokolwiek Grupy bezpieczeństwa są tylko wymyślnym API dla IPTables. Okazuje się, że działają całkowicie wyłącznie z tego, co mogę powiedzieć. Czy jest jakiś powód, aby korzystać z obu? Jedna zapora ogniowa powinna być wystarczająca, a dodanie kolejnej warstwy złożoności wydaje się być bólem głowy, który czeka.

W międzyczasie zastanawiam się nad otwarciem wszystkich portów w mojej grupie bezpieczeństwa, a następnie przeprowadzeniem filtrowania za pomocą iptables, lub odwrotnie, wyłączenie iptables i użycie filtrowania w grupie bezpieczeństwa.

Wszelkie opinie na temat tego, czy moja logika tutaj jest wadliwa? Czy brakuje mi czegoś krytycznego?

Grupy zabezpieczeń nie obciążają serwera - są przetwarzane zewnętrznie i blokują ruch do i z serwera, niezależnie od serwera. Zapewnia to doskonałą linię obrony, która jest znacznie bardziej odporna niż linia znajdująca się na serwerze.

Jednak grupy zabezpieczeń nie są wrażliwe na stan, nie można na przykład automatycznie reagować na atak. Tabele IP są dobrze dostosowane do bardziej dynamicznych reguł - albo dostosowują się do określonych scenariuszy, albo zapewniają bardziej szczegółową kontrolę warunkową.

Idealnie powinieneś używać obu, aby się wzajemnie uzupełniać - blokuj wszystkie możliwe porty w grupie bezpieczeństwa i używaj IPTables do nadzorowania pozostałych portów i ochrony przed atakami.

Pomyśl o grupie bezpieczeństwa jak o zaporze sprzętowej w normalnym scenariuszu sieciowym. Sądzę, że tak naprawdę nie musiałbyś używać obu, chyba że miałbyś specjalny scenariusz, na przykład: masz grupę zabezpieczeń zwaną serwerami WWW, które kontrolują dostęp do serwerów sieciowych. Chcesz zablokować dostęp IP do portu 80 na jednym z tych serwerów, ale nie na wszystkich. Więc co chcesz zrobić, to przejść do iptables na tym samym serwerze i wykonać blok, w przeciwieństwie do robienia tego w grupie zabezpieczeń, która dotyczyłaby wszystkich serwerów w tej grupie zabezpieczeń ...

Oba są dość łatwe do skonfigurowania, a ich skonfigurowanie zapewnia ochronę przed exploitem lub usterką jednego z nich.