Grupos de security de AWS vs Firewall de Windows

¿Se considera la mejor práctica para desactivar el firewall de Windows en una instancia de Amazon EC2 y controlar el tráfico sólo a través de grupos de security de EC2?

Si abro un puerto en el firewall del server y, a continuación, abre el mismo puerto en el grupo de security, se requiere un doble mantenimiento.

EDITAR:

Encontré una ventaja de hacer ambas cosas. En realidad, cuando filtra por IP y puerto a nivel AWS, tiene más performance, ya que el server AWS realizará el trabajo de denegación y las requestes ni siquiera llegarán a su server y esto le ahorrará más RAM, CPU y ancho de banda.

EDIT2:

En realidad, cuando se configura el firewall de Windows por error para deshabilitar el puerto 3389 RDP, su máquina se ha ido.

Qué piensas ?

3 Solutions collect form web for “Grupos de security de AWS vs Firewall de Windows”

Siempre hago las dos cosas. Es una cuestión de quién confías más, Amazon, o tú mismo.

Tal vez un día los grupos de security de AWS pueden estar rotos, discapacitados, eludidos. En ese caso (poco probable), tengo una segunda barrera en la que puedo confiar.

Y si accidentalmente dejo algo abierto en uno, el otro todavía lo bloqueará. Es un poco como el doble opt-in, o la authentication de dos factores.

En cuanto a la administración de un doble set de reglas de firewall, para mí vale la pena. No es que muchas reglas. Si usted tiene un montón, entonces usted debe preguntarse si esa instancia está haciendo demasiado de todos modos, lo que agrega una variedad de posibles puntos de fracaso y complejidad.

Si eliges configurar solo uno, haría el que tengas control completo, el de tu instancia.

Deshabilitar uno o el otro no es la mejor práctica para la security de la networking a largo ploop. La mejor práctica de security es mantener un firewall residente en el host y un grupo de security AWS en su instancia siempre. Esta práctica se basa en el concepto de security llamado Defensa en profundidad . Es una forma muy sólida de crear networkingundancia de security en su networking.

Si está utilizando un VPC, hay otra capa de security a considerar: Lista de control de acceso a la networking (ACL) . Una ACL de networking actúa como firewall para controlar el tráfico dentro y fuera de una subnetworking.

Una técnica útil al implementar su architecture de security inicial en AWS, consiste en confiar sólo en grupos de security y / o un firewall residente en el host durante la fase de layout y testing, para simplificar la administración. A medida que la implementación madura, puede agregar reglas ACL como otra capa para proteger aún más su networking.

No sé si es una "mejor práctica" de la comunidad, pero Amazon recomienda hacerlo.

" Recomendamos que deshabilite Firewall de Windows y controle el acceso a su instancia utilizando reglas de grupo de security. " ( Fuente )

  • ¿Cuál es el número máximo de conexiones TCP que puedo tener en Windows Server 2008?
  • Permisos de Perfiles de Roaming Server 2008
  • Server 2008 no se sincronizará con NTP
  • Cuál es la mejor solución de server DNS para Windows Server 2008 Web Edition
  • Cómo obtener Squid para autenticarse con kerberos y Windows 2008/2003/7 / XP
  • IIS7 - Cambiar la ruta física de todos los sitios en la configuration del server
  • ¿Diferencia entre perfiles móviles, perfil de usuario, carpeta de inicio y carpetas redirigidas?
  • ¿Cómo puedo utilizar múltiples NICs en la function de Windows Server 2008 como un conmutador
  • Instale controller de controller de host eXtensible USB 3.0 para Windows Server 2008 R2 x64
  • creación de certificates en Windows Server 2008
  • ¿Cuáles son los inconvenientes de hacer todos los controlleres de dominio de mis serveres de Windows?
  • No se puede acceder a los progtwigs publicados en el acceso web TS - win server 2008 OS
  • GPO de Active Directory para la directiva de passwords que no se aplica desde la directiva de dominio pnetworkingeterminada
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.