EC2 安全群組看起來很棒,但我對 AWS 系統還很陌生,這就是我問這個問題的原因。在擁有AWS安全群組的同時,我還需要設定伺服器防火牆嗎?我的主要觀點是,在AWS系統中,其他帳戶可以存取我的伺服器嗎?因為如果所有AWS帳戶都在安全群組內,那麼內部駭客攻擊是可能的?例如我的伺服器是www.abc.com,其他人有伺服器帳戶(www.hello.com),所以hello.com伺服器可以透過安全群組過濾的連接埠存取我的伺服器?
答案1
AWS 安全群組就像 EC2 執行個體的防火牆,據我所知(並經過測試)同一 VPC 中的 2 台機器無法看到其內部網路中的端口,除非您更改安全群組原則。
例如
EC2 www.abc.com,私人 IP 10.10.10.5/24 EC2 www.hello.com,私人 IP 10.10.10.6/24
它們位於同一網路中,但它們無法看到連接埠 22,除非您在網路 10.10.10.0/24(或主機 10.10.10.5、10.10.10.6)的安全群組中新增入站規則。
請考慮這,安全群組原則應用於 EC2 而非 VPC:
當您在 VPC 中啟動執行個體時,您最多可以為該執行個體指派五個安全性群組。安全性群組在實例層級而不是子網路層級起作用。因此,您的 VPC 子網路中的每個執行個體都可以指派給一組不同的安全性群組
關於您的問題,除了安全性群組之外,我的 EC2 執行個體中是否還需要防火牆(例如 IPTables)?答案取決於您想要花多少時間配置安全性以及您需要什麼,兩者都更安全並且它們可以相互補充,IPTables(或任何其他防火牆)允許您記錄可能的攻擊,甚至您可以添加動態規則,但是,如果您要尋找的只是阻止某些端口,我只會使用安全性群組配置...您應該檢查這