보안그룹 인바운드 정책에 소스가 0.0.0.0/0 허용되지 않도록 할 수 있나요?

0

Any open된 보안그룹이 너무 많아서 보안적으로 문제될 것으로 보여서 조치하려 합니다. 이런 보안그룹이 생성되지 않도록 하거나 일괄 조치할 수 있는 방법을 알려주시면 감사하겠습니다.

已提问 1 年前565 查看次数
1 回答
1
已接受的回答

AWS Firewall Manager를 활용하셔서 일정 범위 이상의 CIDR보다 큰 IP Source에 대해 탐지하고 자동으로 수정되도록 설정할 수 있습니다.

  • 사전 조건 : AWS Organizations와 AWS Config를 활성화하셔야 AWS Firewall Manager를 사용할 수 있습니다.
  • 참고 링크 : https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html
  • 설정 방법
    • AWS Firewall Manager 콘솔화면에서 Security Policies 메뉴 접근
    • Create policy
    • AWS services : [Security group] 선택
    • Security group policy type : [Auditing and enforcement of security group rules] 선택
    • 리전 및 정책 이름 등 입력
    • Policy rules : Audit overly permissive security group rules의 Action 활성화
    • Denied security group rules의 Deny rules with IPv4 CIDR range less than 체크하고 적당한 CIDR입력
    • Policy Action : Auto remediate any noncompliant resources 체크
    • Policy scope 설정 후 Policy create

다음과 같이 설정하면 특정 CIDR보다 작은 CIDR 레인지의 설정 시 Firewall Manager에서 주기적으로 탐지하여 자동 remediate합니다. 위 정책에서 CIDR 범위를 /24로 설정하였고 보안 그룹 내 설정한 소스의 CIDR이 /16이라면 자동으로 /24로 수정됩니다. Firewall Manager의 Policy를 활용하여 다계정의 수많은 보안그룹을 중앙 관리하실 수 있습니다.

已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则