.png)
Мне интересно, насколько безопасно/надежно создать группу безопасности "interal-users-sg" на AWS и добавить ее во все остальные группы безопасности. Эта "interal-users-sg" разрешит весь трафик на всех портах на наши серверы из домов сотрудников и IP-адресов офисов нашей компании. Есть несколько преимуществ, одно из главных преимуществ безопасности заключается в том, что мы можем удалить доступ пользователя в одном месте - удалив его из "internal-users-sg".
Есть ли лучший способ сделать это? Это неразумно? Это только для разработчиков, а не для всех в компании (очевидно).
решение1
Добавление домашних IP-адресов пользователей в группу безопасности допустимо, но сопряжено с рисками. Люди с таким доступом могут загружать или скачивать все, что им нравится, если вы не установите другие элементы управления безопасностью. Один из способов обойти это — потребовать от всех подключаться к офису через VPN, а затем подключаться к AWS оттуда.
Домашние IP-адреса, как правило, динамичны. Иногда они меняются ежедневно, иногда еженедельно, иногда ежемесячно. Вы можете запустить скрипт на ПК для автоматического обновления правил группы безопасности, но это также несет в себе определенный риск.
Запустите AWS Guard Duty, если хотите получать оповещения о входе людей с необычных IP-адресов — вы получите оповещения при первых нескольких случаях использования IP-адреса. Политику управления сервисами и политику IAM можно использовать для ограничения действий пользователей.