Você deve usar o iptables com instâncias do EC2?

Você pode usar o ec2-authorize para especificar que tipo de tráfego permitir para sua instância do ec2. Ainda é uma boa idéia executar o iptables, ou isso está introduzindo complexidade desnecessária?

Algumas razões pelas quais você pode considerar ativar o iptables:

• pode ser usado para bloquear trojans de saída, por exemplo, bloquear smtp 25 de saída e você fornecer defesa contra trojans de spam
• e se o firewall da Amazon for desativado por algum motivo pela Amazon por acidente?
• e se a instância for iniciada com um grupo de segurança inadequado ou se houver um problema com a configuração do grupo de segurança?

A ativação do iptables fornece defesa em profundidade e é fácil de configurar, por exemplo, com o ufw:

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

(note: isso não bloqueia o smtp de saída, mas mostra que a obtenção de uma configuração básica do iptables é bastante simples e você pode ajustar isso se quiser vi /etc/ufw/*.rules)

Eu diria que depende de como você é paranóico. Pessoalmente, uso uma abordagem em duas etapas em minhas redes: existe um firewall global que bloqueia a maioria das coisas ruins e, em seguida, cada host executa algum tipo de firewall local específico para sua finalidade na vida.

Parece que o ec2-authorize é muito parecido com o firewall por host. Eu o configurava e jogava alguns pacotes ruins nele e via o que acontecia. Eu suspeito que é suficiente.