보안그룹 인바운드 정책에 소스가 0.0.0.0/0 허용되지 않도록 할 수 있나요?

AWS Firewall Manager를 활용하셔서 일정 범위 이상의 CIDR보다 큰 IP Source에 대해 탐지하고 자동으로 수정되도록 설정할 수 있습니다.

• 사전 조건 : AWS Organizations와 AWS Config를 활성화하셔야 AWS Firewall Manager를 사용할 수 있습니다.
• 참고 링크 : https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html
• 설정 방법
  • AWS Firewall Manager 콘솔화면에서 Security Policies 메뉴 접근
  • Create policy
  • AWS services : [Security group] 선택
  • Security group policy type : [Auditing and enforcement of security group rules] 선택
  • 리전 및 정책 이름 등 입력
  • Policy rules : Audit overly permissive security group rules의 Action 활성화
  • Denied security group rules의 Deny rules with IPv4 CIDR range less than 체크하고 적당한 CIDR입력
  • Policy Action : Auto remediate any noncompliant resources 체크
  • Policy scope 설정 후 Policy create

다음과 같이 설정하면 특정 CIDR보다 작은 CIDR 레인지의 설정 시 Firewall Manager에서 주기적으로 탐지하여 자동 remediate합니다. 위 정책에서 CIDR 범위를 /24로 설정하였고 보안 그룹 내 설정한 소스의 CIDR이 /16이라면 자동으로 /24로 수정됩니다. Firewall Manager의 Policy를 활용하여 다계정의 수많은 보안그룹을 중앙 관리하실 수 있습니다.