Grupos de segurança da AWS versus firewall do Windows

Navegue suas respostas
2

A melhor prática é desabilitar o Firewall do Windows em uma instância do Amazon EC2 e controlar o tráfego somente por meio de grupos de segurança do EC2?

Se eu abrir uma porta no firewall do servidor e, em seguida, abrir a mesma porta no grupo de segurança, isso exigirá manutenção dupla.

EDITAR:

Eu encontrei uma vantagem de fazer as duas coisas. Na verdade, quando você filtra por IP e porta no nível da AWS, você tem mais desempenho, pois o AWS Server executará a tarefa de negação e as solicitações nem chegarão ao servidor e isso economizará mais RAM, CPU e largura de banda.

EDIT2:

Na verdade, quando você configura o firewall do Windows por engano para desabilitar a porta 3389 RDP, sua máquina desapareceu.

O que você acha?

    
por Java Main 06.11.2015 / 09:36

3 respostas

4

Eu sempre faço as duas coisas. É uma questão de quem você confia mais, na Amazon ou em você mesmo.

Talvez um dia os grupos de segurança da AWS possam ser violados, desativados, burlados. Nesse caso (improvável), tenho uma segunda barreira na qual posso confiar.

E se eu acidentalmente deixar algo aberto em um, o outro ainda irá bloqueá-lo. É um pouco como autenticação dupla, ou autenticação de dois fatores.

No que diz respeito à administração de um conjunto duplo de regras de firewall, vale a pena. Não são muitas regras. Se você tem muito, então você deve se perguntar se aquela instância está fazendo muito de qualquer maneira, o que adiciona uma variedade de possíveis pontos de falha e complexidade.

Se você optou por apenas configurar um, eu faria o que você tem controle total, o da sua instância.

    
por 06.11.2015 / 09:54
4

Desativar um ou outro não é uma prática recomendada para segurança de rede a longo prazo. A melhor prática de segurança é manter um firewall residente em host e um grupo de segurança da AWS sempre em sua instância. Essa prática é baseada no conceito de segurança chamado Defense in Depth . É uma maneira muito sensata de criar redundância de segurança em sua rede.

Se você estiver usando um VPC, há outra camada de segurança a ser considerada: Lista de controle de acesso à rede (ACL) . Uma rede ACL atua como um firewall para controlar o tráfego dentro e fora de uma sub-rede.

Uma técnica útil ao implementar sua arquitetura de segurança inicial na AWS é confiar apenas em grupos de segurança e / ou em um firewall residente no host durante a fase de design e teste, para simplificar o gerenciamento. Conforme a implementação amadurece, você pode adicionar regras de ACL como outra camada para proteger ainda mais sua rede.

    
por 08.11.2015 / 04:11
3

Eu não sei se é uma "melhor prática" da comunidade, mas a Amazon recomenda fazê-lo.

" Recomendamos que você desabilite o Firewall do Windows e controle o acesso à sua instância usando as regras do grupo de segurança. " ( Origem )

    
por 21.04.2016 / 20:26

Tags

O controlador de matriz inteligente da HP não é reconhecido pelo instalador do VMWare ESX 3.5 Como instalar o RDP Client Access License ou usar seu período de carência?