Я просто настраиваю сервер и задаюсь вопросом, нужно ли устанавливать брандмауэр дважды. Например, у меня есть группа безопасности со следующими открытыми портами: 80, 443, 22
Теперь я настраиваю свой сервер с UFW (интерфейс для iptables). Должен ли я снова установить здесь свои порты или просто установить его в iptables без группы безопасности или и того, и другого?
Есть ли разница или достоинства / недостатки?
Так как Тим в комментарии сказано, что UFW - это интерфейс для iptables, поэтому вам действительно стоит сравнить возможности iptables с Amazon Security Groups.
Для меня главное преимущество SG - интеграция с инфраструктурой AWS. Он позволяет создавать весь стек с помощью Amazon CloudFormation, получать подробную информацию об открытых / закрытых портах / адресах через API и т. Д. Недостатки - он заблокирован поставщиком, то есть вам нужно будет все переделать, если вы решите сменить хостинг-провайдера.
Прежде всего, проверьте Ограничения Amazon VPC. Если количество ваших правил находится в установленных пределах и в вашем случае не требуется ничего особенного, например NAT, реализованного с помощью iptables, достаточно использовать только Amazon SG и оставить UFW открытым. Вы также можете проверить этот вопрос для получения более подробной информации: Почему на Amazon EC2 есть и группы безопасности, и iptables?