Предполагая, что мое единственное требование - разрешить TCP(HTTPS) трафик на порт 443 с одного /32 CIDR IPv4-адреса:
Каковы плюсы и минусы использования AWS WAF против групп безопасности VPCограничить входящий трафик?
С внешней точки зрения вариант WAF вернет HTTP 403, что, как я полагаю, некоторые люди могут счесть недостатком, так как дает некоторый тип подтверждения, на которое реагирует система.Принимая во внимание, что с группами безопасности соединение не может быть установлено.
Я думаю, что WAF по умолчанию создает метрики облачных часов AWS, которые позволяют (я полагаю) отслеживать и сообщать о разрешенных и отклоненных запросах - в отличие от того, что запрос не может достичь сети.
Я предполагаю, что программная ошибка в WAF теоретически могла разрешить прохождение трафика, например, кто-то находит эксплойт на уровне приложения), в котором сетевые стеки более низкого уровня могут реже сталкиваться с ошибками - я признаюв действительности «ошибки», вероятно, возможны в обоих случаях, но я как-то субъективно чувствую, что стеки сети и маршрутизации более низкого уровня, вероятно, более стабильны, чем системы уровня приложений.
Есть ли другие преимущества или недостатки, которые я упускаю из виду?