.png)
Me pregunto qué tan seguro es crear un grupo de seguridad "interal-users-sg" en AWS y agregarlo a todos los demás grupos de seguridad. Este "interal-users-sg" permitiría todo el tráfico en todos los puertos a nuestros servidores desde los hogares de los empleados y las IP de las oficinas de nuestra empresa. Hay varias ventajas, una gran ventaja de seguridad es que podemos eliminar el acceso de un usuario en un solo lugar, eliminándolo del "usuario-interno-sg".
¿Hay una mejor manera de hacer esto? ¿Es esto desaconsejable? Esto sería sólo para desarrolladores, no para todos los miembros de la empresa (obviamente).
Respuesta1
Agregar las IP de inicio de los usuarios a un grupo de seguridad está bien, pero conlleva riesgos. Las personas con este acceso pueden cargar o descargar lo que quieran si no estableces otros controles de seguridad. Una forma de solucionar esto es exigir que todos utilicen una VPN en la oficina y luego se conecten a AWS desde allí.
Las direcciones IP domésticas tienden a ser dinámicas. A veces cambian diariamente, a veces semanalmente, a veces mensualmente. Puede ejecutar un script en las PC para actualizar las reglas del grupo de seguridad automáticamente, pero eso también conlleva cierto riesgo.
Ejecute AWS Guard Duty si desea recibir alertas para las personas que inician sesión desde direcciones IP inusuales; recibirá alertas las primeras veces que se utilice una IP. La política de control de servicios y la política de IAM se pueden utilizar para restringir lo que pueden hacer los usuarios.