Mengapa memiliki grup keamanan dan iptables di Amazon EC2?

Saya baru-baru ini menemukan masalah firewall dengan instance EC2 saya. Port TCP dibuat tersedia untuk semua orang melalui EC2 Security Group, namun masih ada pemfilteran sisi contoh menggunakan iptables. Saya pikir jika ada Grup Keamanan hanya API mewah untuk IPTables. Ternyata mereka berjalan sepenuhnya secara eksklusif dari apa yang bisa saya katakan. Apakah ada alasan untuk menggunakan keduanya? Satu firewall harus banyak dan menambahkan lapisan kompleksitas tampaknya menjadi sakit kepala hanya menunggu untuk terjadi.

Sementara itu, saya berpikir untuk membuka semua port di Grup Keamanan saya dan kemudian melakukan semua pemfilteran melalui iptables, atau kebalikannya, nonaktifkan iptables dan gunakan pemfilteran Grup Keamanan.

Setiap umpan balik tentang apakah logika saya di sini cacat? Apakah saya melewatkan sesuatu yang kritis?

Grup keamanan menambahkan tidak ada beban ke server Anda - mereka diproses secara eksternal, dan memblokir lalu lintas ke dan dari server Anda, terlepas dari server Anda. Ini memberikan garis pertahanan pertama yang unggul yang jauh lebih tangguh daripada pertahanan yang ada di server Anda.

Namun, grup keamanan tidak peka terhadap negara, Anda tidak dapat meminta mereka merespons secara otomatis terhadap serangan misalnya. IPTable cocok untuk aturan yang lebih dinamis - baik beradaptasi dengan skenario tertentu, atau memberikan kontrol bersyarat yang lebih halus.

Idealnya Anda harus menggunakan keduanya untuk saling melengkapi - memblokir semua port yang mungkin dengan grup keamanan Anda, dan menggunakan IPTables untuk mengawasi port yang tersisa dan melindungi dari serangan.

Pikirkan tentang grup keamanan seperti firewall perangkat keras dalam skenario jaringan normal. Saya kira Anda tidak benar-benar harus menggunakan keduanya kecuali Anda memiliki skenario khusus, misalnya: Anda memiliki grup keamanan yang disebut webservers yang mengontrol akses ke server web. Anda ingin memblokir IP dari memukul port 80 pada salah satu server itu tetapi tidak semuanya. Jadi apa yang ingin Anda lakukan adalah masuk ke iptables pada satu server dan melakukan blok, sebagai lawan melakukannya di grup keamanan yang akan berlaku untuk semua server di grup keamanan itu ...

Keduanya cukup mudah untuk diatur, dan pengaturan keduanya memberikan perlindungan dari eksploitasi atau cacat pada salah satunya.