Differenza tra gruppi di sicurezza (su AWS) e iptables

9

Sto solo configurando un server e mi chiedo se sia necessario impostare due volte il firewall. Ad esempio ho un gruppo di sicurezza con le seguenti porte aperte: 80, 443, 22

Ora ho installato il mio server con UFW (frontend per iptables). Devo impostare di nuovo le mie porte qui o semplicemente impostarle su iptables senza gruppo di sicurezza o entrambi?

C'è una differenza o vantaggi / svantaggi?

linux  nginx  amazon-web-services  security-groups 
Nepo Znat
fonte
5
Avere entrambi significa di più da gestire, ma ti protegge se vai su uno dei due. Il traffico bloccato a livello AWS non arriva mai alla tua istanza, il che può essere molto utile.
Ceejayoz,
1
Nginx include UFW ? Pensavo che Nginx avesse appena incluso Nginx. UFW sembra essere un front-end per iptables. Se hai impostato correttamente i gruppi di sicurezza (e possibilmente testarli) non c'è alcun vantaggio nell'usarli entrambi, ma come dice ceejayoz fornisce una seconda linea di protezione. Non mi preoccupo, personalmente.
Tim
Grazie per le risposte Spiacente, intendevo dire che è installato su Ubuntu.
Nepo Znat,

Risposte:

7

Come ha detto Tim nel commento, UFW è il frontend di iptables, quindi dovresti davvero confrontare le funzionalità di iptables con i gruppi di sicurezza di Amazon.

Per me il vantaggio principale di SG è l'integrazione con l'infrastruttura AWS. Ti consente di creare l'intero stack utilizzando Amazon CloudFormation, ottenere dettagli su porte / indirizzi aperti / chiusi tramite API ecc. Svantaggi: è bloccato dal fornitore, il che significa che dovrai rifare tutto se decidi di cambiare il provider di hosting.

Prima di tutto, controlla i limiti di Amazon VPC . Se il tuo conteggio delle regole rientra nei limiti e il tuo caso non richiede nulla di speciale come NAT implementato da iptables, è sufficiente utilizzare solo Amazon SG e lasciare UFW aperto. Puoi anche controllare questa domanda per maggiori dettagli: Perché entrambi i gruppi di sicurezza e iptables su Amazon EC2?

antrost
fonte
Grazie per la risposta. Ho deciso di usare entrambi. - SG e iptables.
Nepo Znat,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.