Pourquoi avoir des groupes de sécurité et des iptables sur Amazon EC2?

J'ai récemment rencontré un problème de pare-feu avec mon instance EC2. Le port TCP a été mis à la disposition de tous via le groupe de sécurité EC2, mais il y avait toujours un filtrage côté instance utilisant iptables. Je me suis dit que quoi que ce soit, les groupes de sécurité ne sont qu'une API sophistiquée pour IPTables. Il s'avère qu'ils fonctionnent complètement exclusivement d'après ce que je peux dire. Y a-t-il une raison d'utiliser les deux? Un pare-feu devrait être suffisant et l'ajout d'une autre couche de complexité semble être un casse-tête qui ne demande qu'à se produire.

En attendant, j'envisage d'ouvrir tous les ports de mon groupe de sécurité, puis de faire tout le filtrage via iptables, ou l'inverse, de désactiver iptables et d'utiliser le filtrage du groupe de sécurité.

Des commentaires sur le fait que ma logique ici soit défectueuse ou non? Suis-je en train de manquer quelque chose de critique?

Les groupes de sécurité n'ajoutent aucune charge à votre serveur - ils sont traités en externe et bloquent le trafic vers et depuis votre serveur, indépendamment de votre serveur. Cela fournit une première ligne de défense d'excellence qui est beaucoup plus résistante que celle résidant sur votre serveur.

Cependant, les groupes de sécurité ne sont pas sensibles à l'état, vous ne pouvez pas les faire répondre automatiquement à une attaque par exemple. Les IPTables sont bien adaptés à des règles plus dynamiques - soit en s'adaptant à certains scénarios, soit en fournissant un contrôle conditionnel plus fin.

Idéalement, vous devez utiliser les deux pour vous compléter mutuellement - bloquer tous les ports possibles avec votre groupe de sécurité et utiliser IPTables pour contrôler les ports restants et vous protéger contre les attaques.

Considérez le groupe de sécurité comme un pare-feu matériel dans un scénario de mise en réseau normal. Je suppose que vous n'auriez pas vraiment besoin d'utiliser les deux sauf si vous aviez un scénario spécial, par exemple: vous avez un groupe de sécurité appelé serveurs Web qui contrôle l'accès aux serveurs Web. Vous souhaitez empêcher une adresse IP d'atteindre le port 80 sur l' un de ces serveurs, mais pas sur tous. Donc, ce que vous voudriez faire, c'est aller dans iptables sur ce serveur et faire le bloc, au lieu de le faire dans le groupe de sécurité qui s'appliquerait à tous les serveurs de ce groupe de sécurité ...

Ils sont tous les deux assez faciles à installer, et les avoir tous les deux offre une protection contre un exploit ou une faille dans l'un d'eux.