Примеры, когда группы безопасности AWS недостаточно в качестве брандмауэра?

В настоящее время я использую только группу безопасности AWS для одного из своих экземпляров EC2, но уже подумал о добавлении брандмауэра в этот стек. Я хотел бы использовать либо iptables, либо, возможно, перенести всю систему на Ubuntu (не связанную с этой проблемой), так что в итоге вы можете использовать ufw.

Если я оставлю эту машину защищенной, используя только группу безопасности, я пропускаю какую-то защиту? Я не смог понять уровень защиты по сравнению с традиционным программным брандмауэром * nix.