Чому на Amazon EC2 є як групи безпеки, так і iptables?

Нещодавно я натрапив на проблему з брандмауером зі своїм екземпляром EC2. Порт TCP був доступний для всіх за допомогою групи безпеки EC2, проте все ще існувала фільтрація на прикладі iptables. Я зрозумів, що що-небудь групи безпеки - це просто фантазійний API для IPTables. Виявляється, вони бігають повністю виключно з того, що я можу сказати. Чи є якісь причини використовувати обидва? Одного брандмауера має бути достатньо, і додавання іншого шару складності, здається, є головним болем, просто очікуючи, що це станеться.

Тим часом я розглядаю можливість відкрити всі порти в моїй групі безпеки, а потім виконати всю фільтрацію через iptables, або зворотну, відключити iptables і використовувати фільтрування групи Security.

Будь-які відгуки про те, чи є моя помилка тут помилкою чи ні? Я пропускаю щось критичне?

Групи безпеки не завантажують ваш сервер - вони обробляються зовні і блокують трафік на ваш сервер і з нього, незалежно від вашого сервера. Це забезпечує першокласну захисну лінію, яка є значно стійкішою, ніж одна, яка знаходиться на вашому сервері.

Однак групи безпеки не є чутливими до стану, наприклад, ви не можете їх автоматично реагувати на атаку. IPTables добре підходять до більш динамічних правил - або пристосовуючись до певних сценаріїв, або забезпечуючи тонкий зернистий умовний контроль.

В ідеалі вам слід використовувати обидва для доповнення один одного - блокуйте всі можливі порти разом із групою безпеки, а також використовуйте IPTables для поліції решти портів та захисту від атак.

Подумайте про групу безпеки, як про апаратний брандмауер у звичайному сценарії мереж. Я думаю, вам би не довелося використовувати обоє, якщо, наприклад, у вас був спеціальний сценарій: у вас є група безпеки, яка називається веб-серверами, яка контролює доступ до веб-серверів. Ви хочете заблокувати IP-адресу, не потрапляючи на порт 80 на одному з цих серверів, але не на всіх. Отже, що ви хочете зробити, це зайти в iptables на цьому одному сервері і зробити блок, на відміну від цього в групі безпеки, яка застосовуватиметься до всіх серверів цієї групи безпеки ...

Їх обох досить просто налаштувати, а налаштування обох забезпечує захист від експлуатації або недоліків в одному з них.