Нужны ли нам в AWS EC2 и группы безопасности, и брандмауэр на стороне сервера?

Question

Группы безопасности AWS действуют как брандмауэр для экземпляра EC2, и, насколько мне известно (и насколько я знаю), 2 машины в одном VPC не могут видеть порты в своей внутренней сети, пока вы не измените политику групп безопасности.

например

EC2 www.abc.com с частным IP 10.10.10.5/24 EC2 www.hello.com с частным IP 10.10.10.6/24

Они находятся в одной сети, однако не видят свой порт 22, пока вы не добавите входящее правило в их группу безопасности для сети 10.10.10.0/24 (или хостов 10.10.10.5, 10.10.10.6).

Пожалуйста примите к сведениюэтот, политики групп безопасности применяются к EC2, а не к VPC:

При запуске экземпляра в VPC вы можете назначить экземпляру до пяти групп безопасности. Группы безопасности действуют на уровне экземпляра, а не на уровне подсети. Поэтому каждый экземпляр в подсети в вашем VPC может быть назначен другому набору групп безопасности

Что касается вашего вопроса, нужен ли мне брандмауэр (например, IPTables) в моем экземпляре EC2 помимо моих групп безопасности? Ответ зависит от того, сколько времени вы хотите потратить на настройку безопасности и что вам нужно, наличие обоих более безопасно, и они могут дополнять друг друга, IPTables (или любой другой брандмауэр) позволяет вам регистрировать возможные атаки, и даже вы можете добавлять динамические правила, однако, если то, что вы ищете, это просто заблокировать некоторые порты, я бы выбрал только конфигурацию групп безопасности... Вам следует проверитьэтот

Answer 1

Группы безопасности AWS действуют как брандмауэр для экземпляра EC2, и, насколько мне известно (и насколько я знаю), 2 машины в одном VPC не могут видеть порты в своей внутренней сети, пока вы не измените политику групп безопасности.

например

EC2 www.abc.com с частным IP 10.10.10.5/24 EC2 www.hello.com с частным IP 10.10.10.6/24

Они находятся в одной сети, однако не видят свой порт 22, пока вы не добавите входящее правило в их группу безопасности для сети 10.10.10.0/24 (или хостов 10.10.10.5, 10.10.10.6).

Пожалуйста примите к сведениюэтот, политики групп безопасности применяются к EC2, а не к VPC:

При запуске экземпляра в VPC вы можете назначить экземпляру до пяти групп безопасности. Группы безопасности действуют на уровне экземпляра, а не на уровне подсети. Поэтому каждый экземпляр в подсети в вашем VPC может быть назначен другому набору групп безопасности

Что касается вашего вопроса, нужен ли мне брандмауэр (например, IPTables) в моем экземпляре EC2 помимо моих групп безопасности? Ответ зависит от того, сколько времени вы хотите потратить на настройку безопасности и что вам нужно, наличие обоих более безопасно, и они могут дополнять друг друга, IPTables (или любой другой брандмауэр) позволяет вам регистрировать возможные атаки, и даже вы можете добавлять динамические правила, однако, если то, что вы ищете, это просто заблокировать некоторые порты, я бы выбрал только конфигурацию групп безопасности... Вам следует проверитьэтот

Нужны ли нам в AWS EC2 и группы безопасности, и брандмауэр на стороне сервера?

решение1

Связанный контент