Security Groups
が設定されたAmazonEC2インスタンスを使用しています(たとえば、特定のIPからのみSSHを使用できます-申し訳ありませんが、ルールを投稿できません)。
少し前にiptables
を確認しましたが、構成されていないようです。
Sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
私の質問は:
iptables
を構成することは理にかなっていますか?raw method
を介して、またはフロントエンドを介して(例: csf
(必ずしも最良の選択ではありませんが、いくつか例を示したいと思います)?
それとも私たちは何も得られないのでしょうか?
iptablesには、EC2セキュリティグループでは利用できないさまざまな機能があります。したがって、iptablesの特定の機能が必要な場合は、答えがあります。両方を実行できないようにするための技術的な制限はありません。
セキュリティの観点からは、ロックされたドアがあり、次に別のロックされたドアがあり、両方のロックに同じキーが必要であるかのようです。 iptablesまたはEC2のいずれかで重大な誤動作が発生した場合に保護します。両方のシステムが同じネットワークルールに依存している場合、これを「多層防御」と呼ぶかどうかはわかりません。
しかし、私見、それは起こるのを待っている問題です。潜在的なセキュリティの改善はせいぜいマイナーです。フィルタリングルールの同期を維持できないというオペレーショナルリスクは、はるかに現実的な懸念事項です。
特にルールが変更されない場合は、iptablesを設定することをお勧めします。
AWSファイアウォールは必要な保護を提供する場合がありますが、障害が発生する可能性は常にあります。サービス障害または構成の問題がある可能性があります。 2番目の防衛線を用意することをお勧めします。 iptablesを使用すると、AWSファイアウォールにそれほど依存せず、より多くの直接制御が可能になります。
もちろん、ルールが動的に変化している場合、iptablesの管理は面倒になる可能性があります...しかし、その解決策も見つけることができます。