Считается ли лучшей практикой отключить брандмауэр Windows на инстансе Amazon EC2 и контролировать трафик? только через группы безопасности EC2?
Если я открою порт на брандмауэре сервера, а затем открою тот же порт в группе безопасности, это потребует двойного обслуживания.
РЕДАКТИРОВАТЬ:
Я обнаружил преимущество в обоих. На самом деле, когда вы фильтруете по IP-адресу и порту на уровне AWS, у вас повышается производительность, поскольку сервер AWS выполняет задание запрета, а запросы даже не доходят до вашего сервера, что позволяет сэкономить больше оперативной памяти, ЦП и полосы пропускания.
РЕДАКТИРОВАТЬ2:
На самом деле, когда вы по ошибке настраиваете брандмауэр Windows для отключения порта 3389 RDP, ваша машина исчезает.
Что вы думаете ?
Отключение одного или другого не является лучшей практикой для долгосрочной сетевой безопасности. Лучшая практика безопасности - поддерживать как резидентный брандмауэр хоста и группа безопасности AWS на вашем экземпляре всегда. Эта практика основана на концепции безопасности, называемой Глубокая оборона. Это очень надежный способ создания избыточности безопасности в вашей сети.
Если вы используете VPC, следует учитывать еще один уровень безопасности: Список контроля доступа к сети (ACL). Сетевой ACL действует как брандмауэр для управления входящим и исходящим трафиком подсети.
Полезный метод при реализации вашей первоначальной архитектуры безопасности на AWS - полагаться только на группы безопасности и / или брандмауэр на хосте на этапе проектирования и тестирования, чтобы упростить управление. По мере развития реализации вы можете добавить правила ACL в качестве еще одного уровня для дальнейшей защиты вашей сети.
Я всегда делаю и то, и другое. Вопрос в том, кому вы больше доверяете, Amazon или себе.
Возможно, однажды группы безопасности AWS могут быть взломаны, отключены, обойдены. В этом (маловероятном) случае у меня есть второй барьер, на который я могу положиться.
И если я случайно оставлю что-то открытым на одном, другой все равно заблокирует это. Это немного похоже на двойную подписку или двухфакторную аутентификацию.
Что касается администрирования двойного набора правил брандмауэра, для меня это того стоит. Это не так уж и много правил. Если у вас много, то вы должны спросить себя, не слишком ли много делает этот один экземпляр, что добавляет множество возможных точек отказа и сложности.
Если вы решите создать только один, я бы выбрал тот, который вы полностью контролируете, тот, который находится в вашем экземпляре.
Я не знаю, является ли это «лучшей практикой» сообщества, но Amazon рекомендует это сделать.
"Мы рекомендуем отключить брандмауэр Windows и контролировать доступ к своему экземпляру с помощью правил группы безопасности."(Источник)
Amazon не рекомендует отключать брандмауэр Windows, кроме как для устранения проблемы, например проблемы удаленного подключения.