Стоит ли использовать iptables с инстансами EC2?

Вы можете использовать ec2-authorize, чтобы указать, какой тип трафика разрешить вашему экземпляру ec2. Это все еще хорошая идея для запуска iptables, или это вносит ненужную сложность?

Некоторые причины, по которым вы можете рассмотреть возможность активации iptables:

• можно использовать для блокировки исходящих троянов, например блокировать исходящий smtp 25, и вы обеспечиваете защиту от спам-троянов
• Что делать, если брандмауэр Amazon по какой-то причине отключен Amazon случайно?
• что если экземпляр запущен с неподходящей группой безопасности или возникла проблема с конфигурацией группы безопасности?

Активация iptables обеспечивает глубокую защиту и проста в настройке, например, с помощью ufw:

sudo ufw default allow
sudo ufw enable
sudo ufw allow 22/tcp    # allow ssh
sudo ufw default deny

# sudo ufw allow 80/tcp   # uncomment this line to allow incoming http
# sudo ufw allow 443/tcp  # uncomment this line to allow incoming https

(примечание: это не заблокирует исходящий smtp, но показывает, что получить базовую настройку конфигурации iptables довольно безболезненно, и затем вы можете настроить это, если вам нравится vi /etc/ufw/*.rules)

Я бы сказал, это зависит от того, насколько ты параноик. Лично я использую двухэтапный подход в своих сетях: существует глобальный брандмауэр, который блокирует большинство вредоносных программ, а затем на каждом хосте запускается определенный тип локального брандмауэра, соответствующий его назначению в жизни.

Похоже, ec2-authorize очень похожа на брандмауэр для каждого хоста. Я настроил бы это и бросил бы несколько плохих пакетов в это, и посмотрел бы, что происходит. Я подозреваю, что этого достаточно.