Faz sentido configurar iptables quando você configurou grupos de segurança do AWS EC2?

Question

Faz sentido configurar iptables quando você configurou grupos de segurança do AWS EC2?

#1 resposta do (4 votos)
#2 resposta do (3 votos)

2

Estamos usando algumas instâncias do Amazon EC2 com o Security Groups configurado (por exemplo, o SSH só pode ser usado em IPs específicos - desculpe, não posso postar regras).

Algum tempo atrás eu verifiquei iptables e parecia que não havia configurado.

sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Minha pergunta é:

Faz sentido configurar iptables - por meio de raw method ou por meio de um front-end, por exemplo, csf (não é necessário a melhor escolha, mas eu quero dar um exemplo)?

Ou talvez não ganhemos nada?

amazon-ec2 iptables firewall amazon-web-services security-groups

por nothing-special-here 02.08.2018 / 18:07

2 respostas

Tags amazon-ec2 iptables firewall amazon-web-services security-groups

iptables encaminhamento de porta para servidor com porta diferente Como criar superusuário no CentOS 7

score 4 · Answer 1

É sempre uma boa idéia configurar o iptables, especialmente se as regras não mudarem.

O firewall da AWS pode oferecer a proteção necessária, mas sempre há uma chance de falha. Pode haver uma falha de serviço ou um problema de configuração. É melhor ter uma segunda linha de defesa. Com o iptables você não depende tanto do firewall da AWS, e você tem mais controle direto.

Claro que se as regras estão mudando dinamicamente, gerenciar o iptables pode se tornar um problema ... mas você também pode encontrar soluções para isso.

score 3 · Answer 2

O iptables possui vários recursos que simplesmente não estão disponíveis em grupos de segurança do EC2. Então, se você precisa de certos recursos do iptables, há sua resposta. Não há limitação técnica para impedir que você execute ambos.

De uma perspectiva de segurança, é como se você tivesse uma porta trancada, depois outra porta trancada, com as duas trancas exigindo a mesma chave. Ele protegeria você em caso de um mau funcionamento sério no iptables ou no EC2. Não tenho certeza se chamaria isso de "defesa em profundidade" se os dois sistemas estiverem contando com as mesmas regras de rede.

No entanto, IMHO, é um problema esperando para acontecer. A potencial melhoria de segurança é, na melhor das hipóteses, menor. O risco operacional de não manter as regras de filtragem sincronizadas é uma preocupação muito mais realista.