Por que ter grupos de segurança e iptables no Amazon EC2?

16

Recentemente, deparei com um problema de firewall na minha instância do EC2. A porta TCP foi disponibilizada para todos através do Grupo de Segurança do EC2, no entanto, ainda havia filtragem do lado do exemplo usando o iptables. Eu percebi que, se alguma coisa, os grupos de segurança são apenas uma API sofisticada para o IPTables. Acontece que eles estão rodando completamente exclusivamente do que eu posso dizer. Existe alguma razão para usar os dois? Um firewall deve ser suficiente e adicionar outra camada de complexidade parece ser uma dor de cabeça apenas esperando para acontecer.

Nesse meio tempo, estou pensando em abrir todas as portas no meu Grupo de segurança e, em seguida, fazer toda a filtragem via iptables, ou o inverso, desabilitar o iptables e usar a filtragem do grupo de segurança.

Algum feedback sobre se minha lógica está ou não errada? Estou faltando algo crítico?

    
por imaginative 04.07.2011 / 04:00

3 respostas

18

Os grupos de segurança não adicionam carga ao seu servidor - eles são processados externamente e bloqueiam o tráfego de e para o servidor, independentemente do servidor. Isso fornece uma primeira linha de defesa de excelência que é muito mais resiliente do que uma que reside no seu servidor.

No entanto, os grupos de segurança não são sensíveis ao estado; você não pode fazer com que eles respondam automaticamente a um ataque, por exemplo. IPTables são bem adaptados a regras mais dinâmicas - seja adaptando-se a determinados cenários, ou fornecendo controle condicional granulado.

O ideal é que você use os dois para complementar um ao outro - bloqueie todas as portas possíveis com seu grupo de segurança e use o IPTables para policiar as portas restantes e proteger contra ataques.

    
por 04.07.2011 / 06:29
2

Pense no grupo de segurança como um firewall de hardware em um cenário de rede normal. Eu acho que você realmente não teria que usar os dois, a menos que você tivesse um cenário especial, por exemplo: você tem um grupo de segurança chamado webservers que controla o acesso a servidores web. Você deseja impedir que um IP atinja a porta 80 em um desses servidores, mas não todos eles. Então, o que você gostaria de fazer é entrar no iptables naquele servidor e fazer o bloco, ao invés de fazê-lo no grupo de segurança que se aplicaria a todos os servidores desse grupo de segurança ...

    
por 04.07.2011 / 04:26
2

Eles são razoavelmente fáceis de configurar, e ter ambas as configurações fornece proteção contra uma falha ou falha em uma delas.

    
por 04.07.2011 / 04:27

Tags