Warum haben beide Sicherheitsgruppen und Iptables auf Amazon EC2?

Ich bin kürzlich auf ein Firewall-Problem mit meiner EC2-Instanz gestoßen. Der TCP-Port wurde allen Benutzern über die EC2-Sicherheitsgruppe zur Verfügung gestellt, es gab jedoch immer noch eine instanzseitige Filterung mithilfe von iptables. Ich dachte mir, dass Sicherheitsgruppen nur eine schicke API für IPTables sind. Es stellt sich heraus, dass sie ausschließlich von dem laufen, was ich sagen kann. Gibt es einen Grund, beide zu verwenden? Eine Firewall sollte ausreichen, und das Hinzufügen einer weiteren Komplexitätsebene scheint nur darauf zu warten, dass etwas passiert.

In der Zwischenzeit erwäge ich, entweder alle Ports in meiner Sicherheitsgruppe zu öffnen und dann alle Filter über iptables durchzuführen, oder umgekehrt, iptables zu deaktivieren und die Filterung für Sicherheitsgruppen zu verwenden.

Gibt es eine Rückmeldung, ob meine Logik hier fehlerhaft ist? Vermisse ich etwas Kritisches?

Die Sicherheitsgruppen belasten Ihren Server nicht - sie werden extern verarbeitet und blockieren den Datenverkehr von und zu Ihrem Server, unabhängig von Ihrem Server. Dies bietet eine erstklassige erste Verteidigungslinie, die viel widerstandsfähiger ist als eine, die sich auf Ihrem Server befindet.

Sicherheitsgruppen sind jedoch nicht statusabhängig. Sie können sie beispielsweise nicht automatisch auf einen Angriff reagieren lassen. IPTables eignen sich gut für dynamischere Regeln - entweder zur Anpassung an bestimmte Szenarien oder zur Bereitstellung einer detaillierteren bedingten Steuerung.

Idealerweise sollten Sie beide verwenden, um sich zu ergänzen. Blockieren Sie alle mit Ihrer Sicherheitsgruppe möglichen Ports und verwenden Sie IPTables, um die verbleibenden Ports zu überwachen und vor Angriffen zu schützen.

Stellen Sie sich die Sicherheitsgruppe wie eine Hardware-Firewall in einem normalen Netzwerkszenario vor. Ich denke, Sie müssten nicht beide verwenden, es sei denn, Sie hätten ein spezielles Szenario, zum Beispiel: Sie haben eine Sicherheitsgruppe namens Webserver, die den Zugriff auf Webserver steuert. Sie möchten verhindern, dass eine IP auf einem dieser Server den Port 80 erreicht, aber nicht auf allen. Was Sie also tun möchten, ist, in iptables auf diesem einen Server zu gehen und den Block zu machen, anstatt dies in der Sicherheitsgruppe zu tun, die für alle Server in dieser Sicherheitsgruppe gelten würde ...

Sie sind beide recht einfach einzurichten, und wenn beide eingerichtet sind, bietet dies Schutz vor einem Exploit oder einem Fehler in einem von ihnen.