%20%E3%81%B8%E3%81%AE%E3%81%99%E3%81%B9%E3%81%A6%E3%81%AE%E3%83%88%E3%83%A9%E3%83%95%E3%82%A3%E3%83%83%E3%82%AF%E3%82%92%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B.png)
AWS に「interal-users-sg」セキュリティ グループを作成し、それを他のすべてのセキュリティ グループに追加することがどの程度安全か疑問に思っています。この「interal-users-sg」により、従業員の自宅や会社のオフィス IP からサーバーへのすべてのポートのすべてのトラフィックが許可されます。これにはいくつかの利点がありますが、セキュリティ上の大きな利点の 1 つは、「internal-users-sg」からユーザーを削除することで、ユーザーのアクセスを 1 か所で削除できることです。
これを行うより良い方法はありますか? これは賢明ではありませんか? これは開発者のみを対象としており、会社内の全員を対象としているわけではありません (当然ですが)。
答え1
ユーザーのホーム IP をセキュリティ グループに追加することは問題ありませんが、リスクが伴います。他のセキュリティ制御を導入しない限り、このアクセス権を持つユーザーは好きなものをアップロードまたはダウンロードできます。この問題を回避する 1 つの方法は、全員にオフィスへの VPN 接続を要求し、そこから AWS に接続することです。
自宅の IP アドレスは動的になる傾向があります。毎日変更される場合もあれば、毎週変更される場合もあれば、毎月変更される場合もあります。PC 上でスクリプトを実行してセキュリティ グループ ルールを自動的に更新することもできますが、これにもリスクが伴います。
通常とは異なる IP アドレスからログインするユーザーに対してアラートを受け取りたい場合は、AWS Guard Duty を実行します。IP が最初に数回使用されたときにアラートが表示されます。サービス コントロール ポリシーと IAM ポリシーを使用して、ユーザーが実行できる操作を制限できます。