Estoy tratando de entender el valor de los firewalls sin estado en plataformas de nube pública como Network Access Control Lists (NACL) en Amazon Web Services (AWS). Creo que conozco algunas formas en que puedo usarlas, pero no estoy seguro del valor real en términos de seguridad.
AWS ya tiene grupos de seguridad, que son de estado, con los cuales puedo restringir qué fuente CIDR puede acceder a qué puerto en una instancia de proceso. Sé que se puede usar NACL para asegurar una subred completa. Además de la simple conveniencia, ¿existe algún otro caso de uso válido para firewalls sin estado en plataformas en la nube que no se pueda lograr con firewalls con estado como los grupos de seguridad?
Esta pregunta surgió porque descubrí que Google Cloud Platform y Azure Cloud no parecen tener servicios de firewall sin estado. GCP tiene políticas de seguridad de armadura en la nube que parecen similares a AWS NACL pero parecen aplicarse solo a los balanceadores de carga HTTP.