web-dev-qa-db-ja.com

AWS EC2セキュリティグループを設定したときにiptablesを設定することは理にかなっていますか?

Security Groupsが設定されたAmazonEC2インスタンスを使用しています(たとえば、特定のIPからのみSSHを使用できます-申し訳ありませんが、ルールを投稿できません)。

少し前にiptablesを確認しましたが、構成されていないようです。

Sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

私の質問は:

iptablesを構成することは理にかなっていますか?raw methodを介して、またはフロントエンドを介して(例: csf(必ずしも最良の選択ではありませんが、いくつか例を示したいと思います)?

それとも私たちは何も得られないのでしょうか?

iptablesには、EC2セキュリティグループでは利用できないさまざまな機能があります。したがって、iptablesの特定の機能が必要な場合は、答えがあります。両方を実行できないようにするための技術的な制限はありません。

セキュリティの観点からは、ロックされたドアがあり、次に別のロックされたドアがあり、両方のロックに同じキーが必要であるかのようです。 iptablesまたはEC2のいずれかで重大な誤動作が発生した場合に保護します。両方のシステムが同じネットワークルールに依存している場合、これを「多層防御」と呼ぶかどうかはわかりません。

しかし、私見、それは起こるのを待っている問題です。潜在的なセキュリティの改善はせいぜいマイナーです。フィルタリングルールの同期を維持できないというオペレーショナルリスクは、はるかに現実的な懸念事項です。

4
TheCoolah

特にルールが変更されない場合は、iptablesを設定することをお勧めします。

AWSファイアウォールは必要な保護を提供する場合がありますが、障害が発生する可能性は常にあります。サービス障害または構成の問題がある可能性があります。 2番目の防衛線を用意することをお勧めします。 iptablesを使用すると、AWSファイアウォールにそれほど依存せず、より多くの直接制御が可能になります。

もちろん、ルールが動的に変化している場合、iptablesの管理は面倒になる可能性があります...しかし、その解決策も見つけることができます。

4
redseven