Сейчас я настраиваю несколько подсетей на Amazon VPC. Например, у меня есть подсеть для серверов баз данных, одна для веб-серверов и одна для балансировщиков нагрузки. Я стараюсь максимально ограничить доступ к этим подсетям. Прямо сейчас мы создаем ACL и группы безопасности с одним и тем же набором правил и назначаем их подсетям / экземплярам.
Можно ли просто использовать один из них? Что бы вы предпочли использовать? Или мне не хватает чего-то, что требует создания и поддержки обоих?
Нет ничего такого требует и то, и другое, но пока вы уже создаете и то, и другое, вы можете продолжать делать это, чтобы поддержать философию «глубокой защиты». Группы безопасности больше похожи на правила iptables (программный брандмауэр в сетевом стеке хоста Xen), тогда как сетевые ACL находятся на сетевом уровне, и поэтому трафик, блокируемый ими, осуществляется на более низком уровне, дополнительно изолированном от вашего VPS.