%EB%A1%9C%EC%9D%98%20%EB%AA%A8%EB%93%A0%20%ED%8A%B8%EB%9E%98%ED%94%BD%20%ED%97%88%EC%9A%A9.png)
AWS에서 "interal-users-sg" 보안 그룹을 생성하고 이를 다른 모든 보안 그룹에 추가하는 것이 얼마나 안전한지 궁금합니다. 이 "interal-users-sg"는 직원의 집과 회사 사무실 IP에서 서버로 향하는 모든 포트의 모든 트래픽을 허용합니다. 여러 가지 장점이 있는데, 가장 큰 보안상의 장점 중 하나는 "internal-users-sg"에서 사용자 액세스를 제거하여 한 곳에서 사용자 액세스를 제거할 수 있다는 것입니다.
이를 수행하는 더 좋은 방법이 있습니까? 이것이 무분별한 행동입니까? 이는 (분명히) 회사의 모든 사람을 위한 것이 아니라 개발자만을 위한 것입니다.
답변1
사용자 홈 IP를 보안 그룹에 추가하는 것은 괜찮지만 위험이 따릅니다. 이 액세스 권한을 가진 사람들은 다른 보안 제어 기능을 설정하지 않으면 원하는 모든 것을 업로드하거나 다운로드할 수 있습니다. 이를 해결하는 한 가지 방법은 모든 사람이 사무실에 VPN을 연결하도록 요구한 다음 그곳에서 AWS에 연결하는 것입니다.
홈 IP 주소는 동적인 경향이 있습니다. 때로는 매일, 때로는 매주, 때로는 매월 변경됩니다. 보안 그룹 규칙을 자동으로 업데이트하기 위해 PC에서 스크립트를 실행할 수 있지만 이 역시 약간의 위험이 있습니다.
비정상적인 IP 주소에서 로그인하는 사람들에 대한 알림을 받으려면 AWS Guard Duty를 실행하세요. IP가 처음 몇 번 사용될 때 알림을 받게 됩니다. 서비스 제어 정책 및 IAM 정책을 사용하여 사용자가 수행할 수 있는 작업을 제한할 수 있습니다.