Diferencia entre grupos de seguridad (en AWS) e iptables

9

Solo estoy configurando un servidor y me pregunto si es necesario configurar el firewall dos veces. Por ejemplo, tengo un grupo de seguridad con los siguientes puertos abiertos: 80, 443, 22

Ahora configuro mi servidor con UFW (interfaz para iptables). ¿Tengo que configurar mis puertos aquí nuevamente o simplemente configurarlo en iptables sin grupo de seguridad o ambos?

¿Hay alguna diferencia o ventajas / desventajas?

Nepo Znat
fuente
55
Tener ambos significa más para administrar, pero te protege si te burlas de uno de los dos. El tráfico bloqueado en el nivel de AWS nunca llega a su instancia, lo que puede ser muy útil.
ceejayoz
1
¿Nginx incluye UFW ? Pensé que Nginx solo incluía a Nginx. UFW parece ser una interfaz para iptables. Si configura correctamente los grupos de seguridad (y posiblemente los pruebe), no hay ninguna ventaja en usar ambos, pero como dice ceejayoz, proporciona una segunda línea de protección. No me molesto, personalmente.
Tim
Gracias por las respuestas Lo siento, quise decir que está instalado en Ubuntu.
Nepo Znat

Respuestas:

7

Como Tim dijo en un comentario, UFW es la interfaz de iptables, por lo que realmente debería comparar las capacidades de iptables con Amazon Security Groups.

Para mí, la principal ventaja de SG es la integración con la infraestructura de AWS. Le permite construir una pila completa con Amazon CloudFormation, obtener detalles sobre puertos / direcciones abiertos / cerrados a través de API, etc. Desventajas: está bloqueado por el proveedor, lo que significa que deberá rehacer todo si decide cambiar de proveedor de alojamiento.

En primer lugar, verifique los límites de Amazon VPC . Si su recuento de reglas está dentro de los límites y su caso no requiere nada especial como NAT implementado por iptables, es suficiente usar solo Amazon SG y dejar abierto UFW. También puede consultar esta pregunta para obtener más detalles: ¿Por qué tener grupos de seguridad e iptables en Amazon EC2?

antrost
fuente
Gracias por la respuesta. He decidido usar ambos. - SG e iptables.
Nepo Znat