web-dev-qa-db-ja.com

AWS EC2にはセキュリティグループとサーバー側ファイアウォールの両方が必要ですか?

EC2セキュリティグループは素晴らしいようですが、私はAWSシステムに非常に慣れていないため、この質問をします。 AWSセキュリティグループがあるときにサーバーファイアウォールもセットアップする必要がありますか?私の主なポイントは、AWSシステムでは、他のアカウントが私のサーバーにアクセスできるということですか?すべてのAWSアカウントがセキュリティグループ内にある場合、内部ハッキングが発生する可能性があるためです。例えば。私のサーバーはwww.abc.comで、他の人がサーバーアカウント(www.hello.com)を持っているため、hellow.comサーバーは、セキュリティグループでフィルターされたポートを介してサーバーにアクセスできますか???

5
MomAndDad

AWSセキュリティグループはEC2インスタンスのファイアウォールのようなものであり、同じVPC内のAFAIK(およびテスト済み)2マシンは、セキュリティグループポリシーを変更しない限り、内部ネットワークのポートを表示できません。

例えば.

EC2 www.abc.com with private IP 10.10.10.5/24 EC2 www.hello.com with private IP 10.10.10.6/24

同じネットワーク内にありますが、ネットワーク10.10.10.0/24(またはホスト10.10.10.5、10.10.10.6)のセキュリティグループに受信ルールを追加しない限り、ポート22は表示されません。

this を検討してください。セキュリティグループポリシーは、VPCではなくEC2に適用されます。

VPCでインスタンスを起動するときに、最大5つのセキュリティグループをインスタンスに割り当てることができます。セキュリティグループは、サブネットレベルではなくインスタンスレベルで機能します。したがって、VPC内のサブネット内の各インスタンスを異なるセキュリティグループのセットに割り当てることができます

質問に関して、EC2インスタンスにセキュリティグループとは別にファイアウォール(IPTablesなど)が必要ですか?答えは、セキュリティの構成に費やす時間と必要なものに依存します。両方を使用する方がより安全であり、相互に補完できます。IPTables(または他のファイアウォール)を使用すると、攻撃の可能性をログに記録でき、動的に追加することもできますルールは、しかし、あなたが探しているものがいくつかのポートをブロックするだけである場合、私はセキュリティグループの設定でのみ行くでしょう...あなたはチェックする必要があります this

7
Alvaro Niño