EC2 セキュリティ グループは素晴らしいようですが、私は AWS システムにかなり不慣れなので、この質問をしています。AWS セキュリティ グループを使用する場合、サーバー ファイアウォールも設定する必要がありますか? 私の主なポイントは、AWS システムでは、他のアカウントが私のサーバーにアクセスできるかどうかです。すべての AWS アカウントがセキュリティ グループ内にある場合、内部ハッキングが可能になるからです。たとえば、私のサーバーは www.abc.com で、他の人がサーバー アカウント (www.hello.com) を持っている場合、hellow.com サーバーはセキュリティ グループによってフィルターされたポートを介して私のサーバーにアクセスできます。
答え1
AWS セキュリティ グループは EC2 インスタンスのファイアウォールのようなもので、私の知る限り (テスト済み)、セキュリティ グループ ポリシーを変更しない限り、同じ VPC 内の 2 台のマシンは内部ネットワークのポートを見ることができません。
例えば
EC2 www.abc.com(プライベート IP 10.10.10.5/24) EC2 www.hello.com(プライベート IP 10.10.10.6/24)
これらは同じネットワーク内にありますが、ネットワーク 10.10.10.0/24 (またはホスト 10.10.10.5、10.10.10.6) のセキュリティ グループに受信ルールを追加しない限り、ポート 22 は表示されません。
考えてくださいこれセキュリティ グループ ポリシーは VPC ではなく EC2 に適用されます。
VPC でインスタンスを起動すると、最大 5 つのセキュリティ グループをインスタンスに割り当てることができます。セキュリティ グループは、サブネット レベルではなくインスタンス レベルで機能します。したがって、VPC のサブネット内の各インスタンスは、異なるセキュリティ グループ セットに割り当てられる可能性があります。
ご質問に関してですが、EC2 インスタンスにセキュリティ グループとは別にファイアウォール (IPTables など) が必要ですか? 答えは、セキュリティの設定にどのくらいの時間を費やしたいか、また何が必要かによって異なります。両方ある方がより安全で、相互に補完し合うことができます。IPTables (または他のファイアウォール) を使用すると、攻撃の可能性をログに記録したり、動的なルールを追加したりできます。ただし、必要なのがポートの一部をブロックすることだけであれば、セキュリティ グループの設定のみで十分でしょう... 確認する必要があります。これ