Grupos de security de AWS vs Firewall de Windows

¿Se considera la mejor práctica para desactivar el firewall de Windows en una instancia de Amazon EC2 y controlar el tráfico sólo a través de grupos de security de EC2?

Si abro un puerto en el firewall del server y, a continuación, abre el mismo puerto en el grupo de security, se requiere un doble mantenimiento.

EDITAR:

Encontré una ventaja de hacer ambas cosas. En realidad, cuando filtra por IP y puerto a nivel AWS, tiene más performance, ya que el server AWS realizará el trabajo de denegación y las requestes ni siquiera llegarán a su server y esto le ahorrará más RAM, CPU y ancho de banda.

EDIT2:

En realidad, cuando se configura el firewall de Windows por error para deshabilitar el puerto 3389 RDP, su máquina se ha ido.

Qué piensas ?

3 Solutions collect form web for “Grupos de security de AWS vs Firewall de Windows”

Siempre hago las dos cosas. Es una cuestión de quién confías más, Amazon, o tú mismo.

Tal vez un día los grupos de security de AWS pueden estar rotos, discapacitados, eludidos. En ese caso (poco probable), tengo una segunda barrera en la que puedo confiar.

Y si accidentalmente dejo algo abierto en uno, el otro todavía lo bloqueará. Es un poco como el doble opt-in, o la authentication de dos factores.

En cuanto a la administración de un doble set de reglas de firewall, para mí vale la pena. No es que muchas reglas. Si usted tiene un montón, entonces usted debe preguntarse si esa instancia está haciendo demasiado de todos modos, lo que agrega una variedad de posibles puntos de fracaso y complejidad.

Si eliges configurar solo uno, haría el que tengas control completo, el de tu instancia.

Deshabilitar uno o el otro no es la mejor práctica para la security de la networking a largo ploop. La mejor práctica de security es mantener un firewall residente en el host y un grupo de security AWS en su instancia siempre. Esta práctica se basa en el concepto de security llamado Defensa en profundidad . Es una forma muy sólida de crear networkingundancia de security en su networking.

Si está utilizando un VPC, hay otra capa de security a considerar: Lista de control de acceso a la networking (ACL) . Una ACL de networking actúa como firewall para controlar el tráfico dentro y fuera de una subnetworking.

Una técnica útil al implementar su architecture de security inicial en AWS, consiste en confiar sólo en grupos de security y / o un firewall residente en el host durante la fase de layout y testing, para simplificar la administración. A medida que la implementación madura, puede agregar reglas ACL como otra capa para proteger aún más su networking.

No sé si es una "mejor práctica" de la comunidad, pero Amazon recomienda hacerlo.

" Recomendamos que deshabilite Firewall de Windows y controle el acceso a su instancia utilizando reglas de grupo de security. " ( Fuente )

  • Firewall avanzado de Windows: agregar reglas para orderadores autorizados
  • Pierde periódicamente completamente el acceso a un file (no puede tomar posession) en Win 2k8 R2
  • Asignar usuarios de VPN a la networking del dominio
  • Estadísticas de Firewall de Windows
  • ¿Por qué no puedo eliminar el file 'favicon.ico' en Windows Server 2008?
  • Contratar un server virtual
  • Instalación de software mediante directiva de grupo
  • Derecho a instalar el controller de impresora desde el server de impresora
  • Todos los sitios de PHP dejaron de funcionar en IIS7, error de server interno 500
  • Inhabilitar usuarios no administradores para iniciar session
  • Powershell - Clonación ACL para toda la unidad - Registro de errores?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.