Amazon EC2'de neden hem güvenlik grupları hem de iptables var?

Geçenlerde EC2 örneğimde bir güvenlik duvarı sorunuyla karşılaştım. TCP bağlantı noktası EC2 Güvenlik Grubu aracılığıyla herkese açık hale getirildi, ancak yine de iptables kullanılarak örnek tarafı filtrelemesi yapıldı. Güvenlik Gruplarının IPTable'lar için sadece süslü bir API olup olmadığını anladım. Anlaşılan, tamamen söyleyebileceğimden tamamen kaçıyorlar. Her ikisini de kullanmak için herhangi bir sebep var mı? Bir güvenlik duvarı bol olmalı ve başka bir karmaşıklık katmanı eklemek sadece gerçekleşmeyi bekleyen bir baş ağrısı gibi görünüyor.

Bu arada, ya Güvenlik Grubumdaki tüm bağlantı noktalarını açmayı ve sonra iptables yoluyla tüm filtrelemeyi yapmayı ya da tersine, iptables'ı devre dışı bırakmayı ve Güvenlik Grubu filtrelemeyi kullanmayı düşünüyorum.

Buradaki mantığımın hatalı olup olmadığı hakkında herhangi bir geri bildirim var mı? Kritik bir şeyi mi kaçırıyorum?

Güvenlik grupları sunucunuza yük yüklemez - bunlar harici olarak işlenir ve sunucunuzdan bağımsız olarak sunucunuza gelen ve giden trafiği engeller. Bu, sunucunuzda bulunandan çok daha esnek bir mükemmellik ilk savunma hattı sağlar.

Ancak, güvenlik grupları duruma duyarlı değildir, örneğin bir saldırıya otomatik olarak yanıt vermelerini sağlayamazsınız. IPTable'lar ya daha dinamik kurallara çok uygundur - ya belirli senaryolara uyum sağlamak ya da daha ince taneli koşullu denetim sağlamak.

İdeal olarak, her ikisini de birbirini tamamlamak için kullanmalısın - güvenlik grubunuzla mümkün olan tüm portları engellemeli ve geri kalan portlara polislik yapmak ve saldırılara karşı koruma sağlamak için IPTable'ları kullanmalısınız.

Güvenlik grubunu, normal bir ağ senaryosunda bir donanım güvenlik duvarı gibi düşünün. Özel bir senaryo olmadıkça, her ikisini de kullanmak zorunda kalmayacağınızı tahmin ediyorum, örneğin: web sunucularına erişimi kontrol eden web sunucuları adlı bir güvenlik grubunuz var. Bir IP'nin bu sunuculardan birinde 80 numaralı bağlantı noktasına vurmasını engellemek istiyorsunuz, ancak hepsinde değil. Yapmak istediğiniz şey, bir sunucudaki iptables'a gitmek ve bloğu yapmak, güvenlik grubundaki tüm sunucular için geçerli olacak güvenlik grubunda yapmak yerine ...

Her ikisi de kurulumu oldukça kolaydır ve her ikisinin de ayarlanmış olması, bunlardan birinde bir istismar veya kusurdan koruma sağlar.