Нужны ли в AWS EC2 и группы безопасности, и брандмауэр на стороне сервера?

Группы безопасности AWS похожи на брандмауэр для экземпляра EC2, и AFAIK (и протестированные) 2 машины в одном VPC не могут видеть порты в своей внутренней сети, если вы не измените политику групп безопасности.

например

EC2 www.abc.com с частным IP 10.10.10.5/24 EC2 www.hello.com с частным IP 10.10.10.6/24

Они находятся в одной сети, но не могут видеть свой порт 22, если вы не добавите правило для входящих подключений в их группу безопасности для сети 10.10.10.0/24 (или хостов 10.10.10.5, 10.10.10.6).

Пожалуйста примите к сведению этот, политики групп безопасности применяются к EC2, а не к VPC:

Когда вы запускаете экземпляр в VPC, вы можете назначить ему до пяти групп безопасности. Группы безопасности действуют на уровне экземпляра, а не на уровне подсети. Таким образом, каждый экземпляр в подсети в вашем VPC может быть назначен другому набору группы безопасности.

Что касается вашего вопроса, нужен ли мне брандмауэр (например, IPTables) в моем экземпляре EC2 помимо моих групп безопасности? Ответ зависит от того, сколько времени вы хотите потратить на настройку безопасности и что вам нужно, наличие обоих более безопасно, и они могут дополнять друг друга, IPTables (или любой другой брандмауэр) позволяет вам регистрировать возможные атаки и даже вы можете добавлять динамические правила, однако, если то, что вы ищете, это просто заблокировать некоторые порты, я бы пошел только с конфигурацией групп безопасности ... Вы должны проверить этот