¿Por qué tener grupos de seguridad e iptables en Amazon EC2?

Recientemente me topé con un problema de firewall con mi instancia EC2. El puerto TCP se puso a disposición de todos a través del Grupo de Seguridad EC2, sin embargo, todavía había un filtrado del lado de la instancia con iptables. Me imaginé si los Grupos de seguridad son solo una API elegante para IPTables. Resulta que se están ejecutando completamente exclusivamente de lo que puedo decir. ¿Hay alguna razón para usar ambos? Un servidor de seguridad debería ser suficiente y agregar otra capa de complejidad parece ser un dolor de cabeza a la espera de que suceda.

Mientras tanto, estoy contemplando abrir todos los puertos en mi grupo de seguridad y luego hacer todo el filtrado a través de iptables, o viceversa, deshabilitar iptables y usar el filtrado del grupo de seguridad.

¿Algún comentario sobre si mi lógica aquí es defectuosa o no? ¿Me estoy perdiendo algo crítico?

Los grupos de seguridad no agregan carga a su servidor: se procesan externamente y bloquean el tráfico hacia y desde su servidor, independientemente de su servidor. Esto proporciona una primera línea de defensa de excelencia que es mucho más resistente que una que reside en su servidor.

Sin embargo, los grupos de seguridad no son sensibles al estado, por ejemplo, no puede hacer que respondan automáticamente a un ataque. Las IPTables se adaptan bien a reglas más dinámicas, ya sea adaptándose a ciertos escenarios o proporcionando un control condicional más fino.

Idealmente, debe usar ambos para complementarse entre sí: bloquee todos los puertos posibles con su grupo de seguridad y use IPTables para vigilar los puertos restantes y protegerse contra ataques.

Piense en el grupo de seguridad como un firewall de hardware en un escenario de red normal. Supongo que realmente no tendría que usar ambos a menos que tuviera un escenario especial, por ejemplo: tiene un grupo de seguridad llamado servidores web que controla el acceso a los servidores web. Desea bloquear una IP para que no llegue al puerto 80 en uno de esos servidores, pero no a todos. Entonces, lo que querría hacer es ir a iptables en ese servidor y hacer el bloqueo, en lugar de hacerlo en el grupo de seguridad que se aplicaría a todos los servidores en ese grupo de seguridad ...

Ambos son razonablemente fáciles de configurar, y tener ambos configurados brinda protección contra una vulnerabilidad o falla en uno de ellos.