.png)
Estou me perguntando o quão seguro é criar um grupo de segurança "interal-users-sg" na AWS e adicioná-lo a todos os outros grupos de segurança. Este "interal-users-sg" permitiria todo o tráfego em todas as portas para nossos servidores, desde as residências dos funcionários até os IPs do escritório da nossa empresa. Existem várias vantagens, uma grande vantagem de segurança é que podemos remover o acesso de um usuário em um só lugar - removendo-o do "internal-users-sg".
Existe uma maneira melhor de fazer isso? Isso é imprudente? Isso seria apenas para desenvolvedores, não para todos na empresa (obviamente).
Responder1
Adicionar IPs residenciais de usuários a um grupo de segurança é aceitável, mas traz riscos. Pessoas com esse acesso podem fazer upload ou download de qualquer coisa que desejarem, se você não aplicar outros controles de segurança. Uma maneira de contornar isso é exigir que todos acessem a VPN no escritório e, em seguida, conectem-se à AWS a partir daí.
Os endereços IP residenciais tendem a ser dinâmicos. Às vezes eles mudam diariamente, às vezes semanalmente, às vezes mensalmente. Você pode ter um script em execução em PCs para atualizar automaticamente as regras do grupo de segurança, mas isso também apresenta alguns riscos.
Execute o AWS Guard Duty se desejar alertas para pessoas que fazem login a partir de endereços IP incomuns. Você receberá alertas nas primeiras vezes que um IP for usado. A política de controle de serviço e a política IAM podem ser usadas para restringir o que seus usuários podem fazer.