AWSセキュリティグループとWindowsファイアウォール
Amazon EC2インスタンスでWindowsファイアウォールを無効にし、EC2セキュリティグループを介してトラフィックを制御することはベストプラクティスと見なされますかのみ?
サーバーファイアウォールでポートを開いてから、セキュリティグループで同じポートを開くと、二重のメンテナンスが必要になります。
編集:
私は両方を行うことの利点を見つけました。実際、AWSレベルでIPとポートでフィルタリングすると、AWSサーバーが拒否ジョブを実行し、リクエストがサーバーに到達しないため、パフォーマンスが向上し、RAM、CPU、帯域幅を節約できます。
EDIT2:
実際、誤ってWindowsファイアウォールを構成して3389 RDPポートを無効にすると、マシンが失われます。
どう思いますか ?
私はいつも両方をします。それはあなたがもっと信頼する人、アマゾン、またはあなた自身の問題です。
おそらくある日、AWSセキュリティグループが壊れたり、無効になったり、回避されたりする可能性があります。その(ありそうもない)場合、私には信頼できる2番目の障壁があります。
そして、私が誤って一方に何かを開いたままにしておいた場合でも、もう一方はそれをブロックします。これは、ダブルオプトインまたは2要素認証に少し似ています。
ファイアウォールルールの二重セットを管理する限り、私にとってはそれだけの価値があります。それほど多くのルールはありません。たくさんある場合は、その1つのインスタンスがとにかくやりすぎていないかどうかを自問する必要があります。これにより、さまざまな障害点や複雑さが追加されます。
1つだけを設定することを選択した場合、私はあなたが完全に制御できるもの、つまりインスタンス上のものを実行します。
どちらか一方を無効にすることは、長期的なネットワークセキュリティのベストプラクティスではありません。セキュリティのベストプラクティスは、ホスト常駐ファイアウォールとAWSセキュリティグループの両方を常にインスタンスに維持することです。この方法は、 多層防御 と呼ばれるセキュリティの概念に基づいています。これは、ネットワークにセキュリティの冗長性を構築するための非常に適切な方法です。
VPCを使用している場合は、考慮すべき別のセキュリティレイヤーがあります: ネットワークアクセス制御リスト(ACL) 。ネットワークACLは、サブネットに出入りするトラフィックを制御するためのファイアウォールとして機能します。
AWSで初期セキュリティアーキテクチャを実装する際の便利なテクニックは、管理を簡素化するために、設計およびテスト段階でセキュリティグループやホスト常駐ファイアウォールのみに依存することです。実装が成熟するにつれて、ACLルールを別のレイヤーとして追加して、ネットワークをさらに保護することができます。
それがコミュニティからの「ベストプラクティス」であるかどうかはわかりませんが、Amazonはそれを行うことをお勧めします。
"Windowsファイアウォールを無効にし、セキュリティグループルールを使用してインスタンスへのアクセスを制御することをお勧めします。"( ソース )
Amazonは、リモート接続の問題などの問題のトラブルシューティング以外に、Windowsファイアウォールを無効にすることをお勧めしません。