.png)
Ich frage mich, wie sicher es ist, eine Sicherheitsgruppe „interal-users-sg“ auf AWS zu erstellen und sie zu allen anderen Sicherheitsgruppen hinzuzufügen. Diese „interal-users-sg“ würde den gesamten Datenverkehr auf allen Ports von den Privatadressen der Mitarbeiter und den Büro-IPs unseres Unternehmens zu unseren Servern zulassen. Es gibt mehrere Vorteile, ein großer Sicherheitsvorteil besteht darin, dass wir den Zugriff eines Benutzers an einer Stelle entfernen können – indem wir ihn aus der „interal-users-sg“ entfernen.
Gibt es eine bessere Möglichkeit, dies zu tun? Ist das nicht ratsam? Dies wäre nur für Entwickler gedacht, nicht für alle im Unternehmen (offensichtlich).
Antwort1
Das Hinzufügen der privaten IP-Adressen von Benutzern zu einer Sicherheitsgruppe ist in Ordnung, birgt jedoch Risiken. Personen mit diesem Zugriff können alles hoch- oder herunterladen, was sie möchten, wenn Sie keine anderen Sicherheitskontrollen einrichten. Eine Möglichkeit, dies zu umgehen, besteht darin, von allen zu verlangen, sich über VPN mit dem Büro zu verbinden und sich dann von dort aus mit AWS zu verbinden.
Private IP-Adressen sind in der Regel dynamisch. Manchmal ändern sie sich täglich, manchmal wöchentlich, manchmal monatlich. Sie können ein Skript auf PCs ausführen, um Sicherheitsgruppenregeln automatisch zu aktualisieren, aber das birgt auch ein gewisses Risiko.
Führen Sie AWS Guard Duty aus, wenn Sie Warnmeldungen für Personen erhalten möchten, die sich von ungewöhnlichen IP-Adressen aus anmelden. Sie erhalten Warnmeldungen bei den ersten paar Malen, wenn eine IP verwendet wird. Mit der Service Control Policy und der IAM-Richtlinie können Sie einschränken, was Ihre Benutzer tun können.