Tại sao có cả nhóm bảo mật và iptables trên Amazon EC2?

19

Gần đây tôi đã vấp phải một vấn đề tường lửa với ví dụ EC2 của tôi. Cổng TCP được cung cấp cho mọi người thông qua Nhóm bảo mật EC2, tuy nhiên vẫn có bộ lọc phía cá thể sử dụng iptables. Tôi đã tìm ra nếu bất cứ điều gì Nhóm bảo mật chỉ là một API ưa thích cho IPTables. Hóa ra họ đang chạy hoàn toàn độc quyền từ những gì tôi có thể nói. Có bất kỳ lý do để sử dụng cả hai? Một tường lửa nên có rất nhiều và thêm một lớp phức tạp khác dường như là một vấn đề đau đầu chỉ chờ đợi xảy ra.

Trong khi đó, tôi dự tính sẽ mở tất cả các cổng trong Nhóm bảo mật của mình và sau đó thực hiện tất cả các bộ lọc thông qua iptables hoặc nghịch đảo, vô hiệu hóa iptables và sử dụng lọc Nhóm bảo mật.

Bất kỳ phản hồi về việc logic của tôi ở đây có thiếu sót hay không? Tôi có thiếu một cái gì đó quan trọng?

amazon-ec2 
giàu trí tưởng tượng
nguồn

Câu trả lời:

20

Các nhóm bảo mật không thêm tải vào máy chủ của bạn - chúng được xử lý bên ngoài và chặn lưu lượng đến và từ máy chủ của bạn, độc lập với máy chủ của bạn. Điều này cung cấp một tuyến phòng thủ đầu tiên xuất sắc, có khả năng phục hồi tốt hơn nhiều so với một phòng thủ trên máy chủ của bạn.

Tuy nhiên, các nhóm bảo mật không nhạy cảm với nhà nước, chẳng hạn, bạn không thể yêu cầu họ phản hồi tự động trước một cuộc tấn công. IPTables rất phù hợp với các quy tắc năng động hơn - có thể thích ứng với các kịch bản nhất định hoặc cung cấp kiểm soát điều kiện chi tiết hơn.

Tốt nhất bạn nên sử dụng cả hai để bổ sung cho nhau - chặn tất cả các cổng có thể với nhóm bảo mật của bạn và sử dụng IPTables để cảnh sát các cổng còn lại và bảo vệ chống lại các cuộc tấn công.

không gian mạng
nguồn
2

Hãy suy nghĩ về nhóm bảo mật như một tường lửa phần cứng trong một kịch bản mạng bình thường. Tôi đoán bạn sẽ không thực sự phải sử dụng cả hai trừ khi bạn có một kịch bản đặc biệt, ví dụ: bạn có một nhóm bảo mật được gọi là máy chủ web kiểm soát quyền truy cập vào máy chủ web. Bạn muốn chặn một IP đánh vào cổng 80 trên một trong những máy chủ đó nhưng không phải tất cả chúng. Vì vậy, những gì bạn muốn làm là vào iptables trên một máy chủ đó và thực hiện chặn, trái ngược với việc thực hiện nó trong nhóm bảo mật sẽ áp dụng cho tất cả các máy chủ trong nhóm bảo mật đó ...

BenGC
nguồn
Một người sẽ sử dụng tất cả các nhóm bảo mật, mạng acls và quy tắc iptables cùng một lúc chứ?
CMCDragonkai
2

Cả hai đều dễ dàng thiết lập một cách hợp lý và việc cả hai được thiết lập sẽ bảo vệ khỏi sự khai thác hoặc lỗ hổng trong một trong số chúng.

ceejayoz
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.