보안그룹 인바운드 정책에 소스가 0.0.0.0/0 허용되지 않도록 할 수 있나요?

0

Any open된 보안그룹이 너무 많아서 보안적으로 문제될 것으로 보여서 조치하려 합니다. 이런 보안그룹이 생성되지 않도록 하거나 일괄 조치할 수 있는 방법을 알려주시면 감사하겠습니다.

1 Antwort
1
Akzeptierte Antwort

AWS Firewall Manager를 활용하셔서 일정 범위 이상의 CIDR보다 큰 IP Source에 대해 탐지하고 자동으로 수정되도록 설정할 수 있습니다.

  • 사전 조건 : AWS Organizations와 AWS Config를 활성화하셔야 AWS Firewall Manager를 사용할 수 있습니다.
  • 참고 링크 : https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html
  • 설정 방법
    • AWS Firewall Manager 콘솔화면에서 Security Policies 메뉴 접근
    • Create policy
    • AWS services : [Security group] 선택
    • Security group policy type : [Auditing and enforcement of security group rules] 선택
    • 리전 및 정책 이름 등 입력
    • Policy rules : Audit overly permissive security group rules의 Action 활성화
    • Denied security group rules의 Deny rules with IPv4 CIDR range less than 체크하고 적당한 CIDR입력
    • Policy Action : Auto remediate any noncompliant resources 체크
    • Policy scope 설정 후 Policy create

다음과 같이 설정하면 특정 CIDR보다 작은 CIDR 레인지의 설정 시 Firewall Manager에서 주기적으로 탐지하여 자동 remediate합니다. 위 정책에서 CIDR 범위를 /24로 설정하였고 보안 그룹 내 설정한 소스의 CIDR이 /16이라면 자동으로 /24로 수정됩니다. Firewall Manager의 Policy를 활용하여 다계정의 수많은 보안그룹을 중앙 관리하실 수 있습니다.

beantwortet vor einem Jahr

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen