Назад | Перейти на главную страницу

Имеет ли смысл настраивать iptables, если вы настроили группы безопасности AWS EC2?

Мы используем несколько инстансов Amazon EC2 с настроенными Security Groups (например, может SSH только с определенных IP-адресов - извините, я не могу опубликовать правила).

Некоторое время назад я проверил iptables и вроде бы там не настроили.

sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

У меня вопрос:

Имеет ли смысл настраивать iptables - либо через raw method или через некоторый интерфейс, например csf (не обязательно лучший выбор, но я хочу привести пример)?

А может мы ничего не получаем?

Всегда рекомендуется настраивать iptables, особенно если правила не меняются.

Брандмауэр AWS может предоставить вам необходимую защиту, но всегда есть шанс на сбой. Возможно, произошел сбой службы или проблема с конфигурацией. Лучше иметь вторую линию защиты. С iptables вы не так сильно зависите от брандмауэра AWS, и у вас есть больше и прямой контроль.

Конечно, если правила динамически меняются, управление iptables может стать проблемой ... но вы также можете найти решения для этого.

iptables имеет различные функции, которые просто недоступны в группах безопасности EC2. Так что, если вам нужны определенные функции iptables, вот вам ответ. Нет никаких технических ограничений, препятствующих запуску обоих.

С точки зрения безопасности, это как если бы у вас была запертая дверь, а затем еще одна запертая дверь, причем для обоих замков требуется один и тот же ключ. Это защитит вас в случае серьезного сбоя в работе iptables или EC2. Не уверен, что я бы назвал это «глубокой защитой», если обе системы полагаются на одни и те же сетевые правила.

Однако, ИМХО, эта проблема ждет своего часа. Потенциальное улучшение безопасности в лучшем случае незначительное. Операционный риск несинхронизации правил фильтрации - гораздо более реальная проблема.