Por que existem grupos de segurança e iptables no Amazon EC2?

Recentemente, deparei com um problema de firewall na minha instância do EC2. A porta TCP foi disponibilizada para todos por meio do grupo de segurança EC2, mas ainda havia filtragem no lado da instância usando iptables. Imaginei que alguma coisa Grupos de Segurança são apenas uma API sofisticada para IPTables. Acontece que eles estão fugindo completamente exclusivamente do que posso dizer. Existe algum motivo para usar os dois? Um firewall deve ser suficiente e adicionar outra camada de complexidade parece ser uma dor de cabeça esperando para acontecer.

Enquanto isso, estou pensando em abrir todas as portas no meu Grupo de Segurança e depois fazer toda a filtragem via iptables, ou o inverso, desabilitar o iptables e usar a filtragem do Grupo de Segurança.

Algum feedback sobre se minha lógica aqui é falha ou não? Estou perdendo algo crítico?

Os grupos de segurança não adicionam carga ao servidor - são processados ​​externamente e bloqueiam o tráfego de e para o servidor, independentemente do servidor. Isso fornece uma primeira linha de defesa de excelência que é muito mais resistente do que uma que reside no seu servidor.

No entanto, os grupos de segurança não são sensíveis ao estado, não é possível que eles respondam automaticamente a um ataque, por exemplo. As IPTables são adequadas para regras mais dinâmicas - adaptando-se a determinados cenários ou fornecendo controle condicional de granularidade mais fina.

Idealmente, você deve usar os dois para complementar um ao outro - bloquear todas as portas possíveis com seu grupo de segurança e usar o IPTables para policiar as portas restantes e proteger contra ataques.

Pense no grupo de segurança como um firewall de hardware em um cenário de rede normal. Acho que você realmente não precisaria usar os dois, a menos que tivesse um cenário especial, por exemplo: você tem um grupo de segurança chamado servidores da web que controla o acesso aos servidores da web. Você deseja impedir que um IP atinja a porta 80 em um desses servidores, mas não em todos eles. Então, o que você gostaria de fazer é acessar o iptables nesse servidor e executar o bloco, em vez de fazê-lo no grupo de segurança que se aplicaria a todos os servidores desse grupo de segurança ...

Ambos são razoavelmente fáceis de configurar, e ter os dois fornece proteção contra uma exploração ou falha em um deles.