Perché entrambi i gruppi di sicurezza e iptables su Amazon EC2?

Di recente mi sono imbattuto in un problema di firewall con la mia istanza EC2. La porta TCP è stata resa disponibile a tutti tramite il gruppo di sicurezza EC2, tuttavia esisteva ancora un filtro sul lato istanza che utilizzava iptables. Ho pensato che i gruppi di sicurezza fossero solo un'API di fantasia per IPTables. Si scopre che corrono completamente esclusivamente da quello che posso dire. C'è qualche motivo per usare entrambi? Un firewall dovrebbe essere abbondante e l'aggiunta di un altro livello di complessità sembra essere un mal di testa che aspetta solo che accada.

Nel frattempo, sto pensando di aprire tutte le porte nel mio gruppo di sicurezza e quindi di fare tutti i filtri tramite iptables, oppure viceversa, disabilitare iptables e utilizzare il filtro del gruppo di sicurezza.

Qualche feedback sul fatto che la mia logica qui sia o meno difettosa? Mi sto perdendo qualcosa di critico?

I gruppi di sicurezza non aggiungono alcun carico al tuo server: vengono elaborati esternamente e bloccano il traffico da e verso il tuo server, indipendentemente dal tuo server. Ciò fornisce una prima linea di difesa eccellente che è molto più resistente di una residente sul tuo server.

Tuttavia, i gruppi di sicurezza non sono sensibili allo stato, ad esempio non è possibile farli rispondere automaticamente a un attacco. Le tabelle IP sono adatte a regole più dinamiche, adattandosi a determinati scenari o fornendo un controllo condizionale più preciso.

Idealmente, dovresti usare entrambi per completarci a vicenda: bloccare tutte le porte possibili con il tuo gruppo di sicurezza e utilizzare le IPTables per sorvegliare le porte rimanenti e proteggerti dagli attacchi.

Pensa al gruppo di sicurezza come un firewall hardware in un normale scenario di rete. Immagino che non dovresti davvero usare entrambi se non avessi uno scenario speciale, ad esempio: hai un gruppo di sicurezza chiamato webserver che controlla l'accesso ai server web. Vuoi bloccare un IP dal colpire la porta 80 su uno di quei server ma non tutti. Quindi quello che vorresti fare è andare su iptables su quel server e fare il blocco, invece di farlo nel gruppo di sicurezza che si applicherebbe a tutti i server in quel gruppo di sicurezza ...

Sono entrambi ragionevolmente facili da configurare e entrambi hanno la protezione da un exploit o un difetto in uno di essi.