Cum pot gestiona cu ușurință adresele IP publice în schimbare constantă în numeroasele mele grupuri de securitate

Mediul nostru de dezvoltare este găzduit pe AWS și este accesat de zeci de persoane. Pe măsură ce oamenii se alătură și părăsesc proiectul sau lucrează din locații alternative (adesea temporare), mă regăsesc în mod constant actualizăm multe dintre grupurile noastre de securitate.

Exemplu: Caroline este un dezvoltator care lucrează în principal de acasă.

• Când ea se alătură proiectului, I adăuga adresa ei IP publică către grupuri de securitate „dev-a”, „dev-b”, „dev-c” și „dev-d”; intrările ei sunt notate ca „Acasă de familie Caroline”…
• Luni, vreme severă elimină puterea lui Caroline; când revine, IP-ul ei public adresa s-a schimbat, așa că trebuie Actualizați ei „Numele de familie Caroline home” intrări din grupurile de securitate „dev-a”, „dev-b”, „dev-c” și „dev-d”.
• O săptămână mai târziu, Caroline își vizitează părinții într-un alt stat. Ea își determină noua IP publică și mi-o transmite mie și mie adăuga intrări în grupurile de securitate „dev-a”, „dev-b”, „dev-c” și „dev-d” notat ca „Temp. Nume Caroline [AAAAMMDD]”.
• eu ulterior elimina aceste intrări IP „temporale” pe un fel de colectare a gunoiului.
• Când Caroline vine la birou pentru a lucra, nu am nimic suplimentar de făcut pentru că domeniul IP al biroului este deja configurat acolo unde trebuie.

Acum înmulțiți aceste activități cu numărul de personal din proiect... puteți vedea de ce am marcat linkul către lista grupului de securitate!

Cum pot gestiona cu ușurință adresele IP publice în schimbare constantă în numeroasele mele grupuri de securitate? Ce pași pot face pentru a simplifica cheltuielile administrative ale intrărilor grupului de securitate?

â¡: Toate numele (inclusiv numele grupurilor de securitate) au fost modificate pentru a-i proteja pe cei nevinovați.

Este puțin dificil să spui ce este mai bun pentru că nu ai spus ce fac oamenii în mediu. Rulează un IDE pe o instanță Windows EC2? Accesați jurnalele pe o cutie Linux? Dacă editați întrebarea pentru a oferi mai multe informații, este posibil să obțineți răspunsuri mai bune.

Câteva gânduri totuși:

• Utilizați o abordare diferită: în loc să includeți pe lista albă IP-urile de acasă, lăsați oamenii să intre într-o instanță bastion/AWS Workspace, în mod ideal, folosind MFA. Grupul de securitate bastion / Workspaces este inclus în lista albă în restul mediului dvs. Cea mai bună practică ar fi să aveți oricum resurse private într-o subrețea privată cu un bastion.

• Oferiți tuturor un script/fișier batch care utilizează AWS CLI (sau CLI apelează lambda) pentru a elimina orice reguli existente ale grupului de securitate cu numele/ID-ul unic și înlocuiți-l cu IP-ul lor curent

• Luați în considerare ideea generală de autentificare bazată pe identitate în loc de restricții bazate pe IP, similar rețelei de încredere zero.

Dacă vă extindeți scenariul în întrebarea dvs., răspundeți pentru a-mi spune că îmi pot rafina răspunsul.

Creați un AWS Client VPN pentru a le oferi acces. Fiecare poate avea propriile acreditări și poate accesa mediul folosind adresele IP private. De asemenea, puteți pune clienți VPN în propriul grup de securitate și puteți restricționa accesul în acest fel.