Atualmente, estou configurando várias sub-redes no Amazon VPC. Por exemplo, eu tenho uma sub-rede para os servidores de banco de dados, um para os servidores da Web e outro para os balanceadores de carga. Eu tento restringir o acesso a essas sub-redes, tanto quanto possível. No momento, criamos ACLs e grupos de segurança com o mesmo conjunto de regras e os atribuímos às sub-redes / instâncias.
Seria correto usar apenas um deles? Qual você prefere usar? Ou eu sinto falta de algo que requer a criação e manutenção de ambos?
Não há nada que requeira ambos, mas desde que você já esteja criando os dois, você pode continuar a fazê-lo, para apoiar uma filosofia de "defesa em profundidade". Os grupos de segurança são mais parecidos com as regras do iptables (firewall de software na pilha de rede do host Xen), enquanto as ACLs de rede estão na camada de rede e, como tal, o tráfego bloqueado por elas é feito em um nível mais baixo. p>