Мы используем несколько инстансов Amazon EC2 с настроенными Security Groups
(например, может SSH только с определенных IP-адресов - извините, я не могу опубликовать правила).
Некоторое время назад я проверил iptables
и вроде бы там не настроили.
sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
У меня вопрос:
Имеет ли смысл настраивать iptables
- либо через raw method
или через некоторый интерфейс, например csf
(не обязательно лучший выбор, но я хочу привести пример)?
А может мы ничего не получаем?
Всегда рекомендуется настраивать iptables, особенно если правила не меняются.
Брандмауэр AWS может предоставить вам необходимую защиту, но всегда есть шанс на сбой. Возможно, произошел сбой службы или проблема с конфигурацией. Лучше иметь вторую линию защиты. С iptables вы не так сильно зависите от брандмауэра AWS, и у вас есть больше и прямой контроль.
Конечно, если правила динамически меняются, управление iptables может стать проблемой ... но вы также можете найти решения для этого.
iptables имеет различные функции, которые просто недоступны в группах безопасности EC2. Так что, если вам нужны определенные функции iptables, вот вам ответ. Нет никаких технических ограничений, препятствующих запуску обоих.
С точки зрения безопасности, это как если бы у вас была запертая дверь, а затем еще одна запертая дверь, причем для обоих замков требуется один и тот же ключ. Это защитит вас в случае серьезного сбоя в работе iptables или EC2. Не уверен, что я бы назвал это «глубокой защитой», если обе системы полагаются на одни и те же сетевые правила.
Однако, ИМХО, эта проблема ждет своего часа. Потенциальное улучшение безопасности в лучшем случае незначительное. Операционный риск несинхронизации правил фильтрации - гораздо более реальная проблема.