我想知道在 AWS 上建立「interal-users-sg」安全群組並將其新增至所有其他安全群組的安全性如何。這個「interal-users-sg」將允許所有連接埠上的所有流量從員工家庭和我們公司的辦公室 IP 傳輸到我們的伺服器。有幾個優點,其中一大安全優點是我們可以在一處刪除使用者的存取權限 - 透過從「internal-users-sg」中刪除它們。
有一個更好的方法嗎?這是不明智的嗎?這僅適用於開發人員,而不適用於公司中的每個人(顯然)。
答案1
將使用者家庭 IP 新增至安全群組是可以的,但會帶來風險。如果您不採取其他安全控制措施,擁有此存取權限的人可以上傳或下載他們喜歡的任何內容。解決這個問題的一種方法是要求每個人都透過 VPN 進入辦公室,然後從那裡連接到 AWS。
家庭 IP 位址往往是動態的。有時它們每天變化,有時每週變化,有時每月變化。您可以在PC上執行腳本來自動更新安全性群組規則,但這也存在一定的風險。
如果您希望針對從異常 IP 位址登入的使用者發出警報,請執行 AWS Guard Duty - 您將在前幾次使用 IP 時收到警報。服務控制策略和 IAM 策略可用來限制使用者可以執行的操作。