我想知道在 AWS 上创建一个“interal-users-sg”安全组并将其添加到所有其他安全组是否安全。此“interal-users-sg”将允许从员工家中和我们公司的办公室 IP 到我们服务器的所有端口上的所有流量。这样做有几个优点,一个很大的安全优势是,我们可以在一个地方删除用户的访问权限 - 只需将其从“internal-users-sg”中删除即可。
有没有更好的方法?这样做是否不明智?这只适用于开发人员,而不是公司中的每个人(显然)。
答案1
将用户的家庭 IP 添加到安全组是可以的,但会带来风险。如果您不设置其他安全控制,拥有此访问权限的人可以上传或下载任何他们喜欢的内容。解决此问题的一种方法是要求每个人都通过 VPN 进入办公室,然后从那里连接到 AWS。
家庭 IP 地址往往是动态的。有时它们每天变化,有时每周变化,有时每月变化。您可以在 PC 上运行脚本来自动更新安全组规则,但这也存在一定风险。
如果您希望对从异常 IP 地址登录的用户发出警报,请运行 AWS Guard Duty - 您将在前几次使用 IP 时收到警报。服务控制策略和 IAM 策略可用于限制用户可以执行的操作。