Почему на Amazon EC2 есть и группы безопасности, и iptables?

Недавно я столкнулся с проблемой брандмауэра с моим экземпляром EC2. Порт TCP был доступен каждому через группу безопасности EC2, однако все еще существовала фильтрация на стороне экземпляра с использованием iptables. Я подумал, что группы безопасности - это просто модный API для IPTables. Оказывается, они работают исключительно из того, что я могу сказать. Есть ли причина использовать оба? Одного брандмауэра должно быть достаточно, и добавление еще одного уровня сложности, похоже, является головной болью, ожидающей своего появления.

Тем временем я собираюсь либо открыть все порты в моей группе безопасности, а затем выполнить всю фильтрацию через iptables или наоборот, отключить iptables и использовать фильтрацию группы безопасности.

Любые отзывы о том, является ли моя логика здесь ошибочной? Я что-то упускаю из виду?

Группы безопасности не увеличивают нагрузку на ваш сервер - они обрабатываются извне и блокируют трафик на ваш сервер и с него, независимо от вашего сервера. Это обеспечивает превосходную первую линию защиты, которая гораздо более устойчива, чем защита на вашем сервере.

Тем не менее, группы безопасности не зависят от состояния, вы не можете заставить их автоматически реагировать на атаку, например. Таблицы IPTable хорошо подходят для более динамичных правил - либо адаптируются к определенным сценариям, либо обеспечивают более точный условный контроль.

В идеале вы должны использовать оба способа, чтобы дополнять друг друга - блокировать все возможные порты в вашей группе безопасности и использовать IPTables для контроля оставшихся портов и защиты от атак.

Думайте о группе безопасности как о аппаратном брандмауэре в обычном сетевом сценарии. Полагаю, вам не пришлось бы использовать оба варианта, если бы у вас не было специального сценария, например: у вас есть группа безопасности, называемая веб-серверы, которая контролирует доступ к веб-серверам. Вы хотите заблокировать IP-адрес от попадания в порт 80 на одном из этих серверов, но не на всех. Итак, что вы хотели бы сделать, это зайти в iptables на этом одном сервере и выполнить блокировку, а не делать это в группе безопасности, которая будет применяться ко всем серверам в этой группе безопасности ...

Оба они достаточно просты в настройке, и оба они обеспечивают защиту от эксплойта или уязвимости в одном из них.