最近、EC2インスタンスのファイアウォールの問題に出会いました。TCPポートはEC2セキュリティグループを介してすべてのユーザーが利用できるようになりましたが、それでもiptablesを使用したインスタンス側のフィルタリングがありました。セキュリティグループがIPTablesの単なる高級APIであるかどうかを考えました。私が言うことができるものから完全に排他的に実行されていることがわかります。両方を使用する理由はありますか?1つのファイアウォールで十分なはずであり、複雑さの別のレイヤーを追加することは、発生を待っている頭痛の種のようです。
それまでは、セキュリティグループのすべてのポートを開いてからiptablesを介してすべてのフィルタリングを行うか、逆にiptablesを無効にしてセキュリティグループフィルタリングを使用することを検討しています。
ここで私のロジックに欠陥があるかどうかについてのフィードバックはありますか?重要なものがありませんか?
回答:
セキュリティグループはサーバーに負荷をかけません。外部で処理され、サーバーとは無関係にサーバーとの間のトラフィックをブロックします。これにより、サーバーに常駐するものよりもはるかに回復力に優れた優れた防御ラインが提供されます。
ただし、セキュリティグループは状態に依存しません。たとえば、攻撃に自動的に応答させることはできません。IPTablesは、特定のシナリオに適応するか、より詳細な条件付き制御を提供する、より動的なルールに適しています。
理想的には、両方を使用して相互に補完する必要があります。セキュリティグループで可能なすべてのポートをブロックし、IPTablesを使用して残りのポートをポリシングし、攻撃から保護します。
通常のネットワークシナリオにおけるハードウェアファイアウォールのようなセキュリティグループについて考えてください。特別なシナリオがない限り、実際には両方を使用する必要はないと思います。たとえば、Webサーバーへのアクセスを制御するWebサーバーというセキュリティグループがあります。すべてのサーバーではなく、それらのサーバーのいずれかでポート80にヒットするIPをブロックする必要があります。あなたがしたいことは、そのセキュリティグループのすべてのサーバーに適用されるセキュリティグループでそれを行うのではなく、その1つのサーバーのiptablesに入り、ブロックを行うことです...