将 EC2 安全组源 0.0.0.0/0 恢复为 172.16.0.0/16 用于 SSH 和 RDP protocols/ports
Revert the EC2 security group source 0.0.0.0/0 to 172.16.0.0/16 for the protocols/ports of SSH and RDP
当有人为 SSH 和 RDP ports/protocols 打开 0.0.0.0/0 时,
它应该通过通知自动恢复到 172.16.0.0/16..
我想在这里做的是,对于 SSH 和 RDP,SG 不应该为 0.0.0.0/0 打开。
即使有人这样做,也应该通过通知将其恢复到内部网络 172.16.0.0/0。
请建议一种实现方法。
我建议为此使用 AWS Config (https://aws.amazon.com/config/) 服务。 AWS Config 允许您创建将被检查的审计规则。如果违反规则,它会自动生成 SNS 通知,您可以使用它来触发 lambda 来纠正错误(或类似的东西)。
检查 SG 中特定 IP 地址的规则是默认规则选项的一部分,因此您无需自行创建。
编辑: 您可以将自动修复与 'AWS-DisablePublicAccessForSecurityGroup' 修复操作结合使用。这应该可以让你实现你想要的
未经授权,任何人都不能修改安全组,因此正确的解决方案是不要将此权限授予不应拥有此权限的用户。默认情况下,AWS 中您不授予的所有内容都会被拒绝。
像这样简单地恢复不安全的配置更改是不够的,具体取决于时机。
TCP 的安全组规则控制允许哪些连接最初创建 -- 而不是允许建立哪些连接。如果...
- 我将规则更改为允许 0.0.0.0/0 的规则;然后
- 我从一个无意中(对您)允许的(我)地址(例如 203.0.113.1)建立了连接;然后
- 您删除规则或还原允许 0.0.0.0/0 的更改
...您的更改不会断开我的连接。如果我在规则生效时连接,那么我可以从不再授权的地址 203.0.113.1 保持连接,直到我断开连接或超时,无论您的安全组设置 now 说什么.
确保你没有解决错误的问题。
当有人为 SSH 和 RDP ports/protocols 打开 0.0.0.0/0 时, 它应该通过通知自动恢复到 172.16.0.0/16..
我想在这里做的是,对于 SSH 和 RDP,SG 不应该为 0.0.0.0/0 打开。
即使有人这样做,也应该通过通知将其恢复到内部网络 172.16.0.0/0。 请建议一种实现方法。
我建议为此使用 AWS Config (https://aws.amazon.com/config/) 服务。 AWS Config 允许您创建将被检查的审计规则。如果违反规则,它会自动生成 SNS 通知,您可以使用它来触发 lambda 来纠正错误(或类似的东西)。
检查 SG 中特定 IP 地址的规则是默认规则选项的一部分,因此您无需自行创建。
编辑: 您可以将自动修复与 'AWS-DisablePublicAccessForSecurityGroup' 修复操作结合使用。这应该可以让你实现你想要的
未经授权,任何人都不能修改安全组,因此正确的解决方案是不要将此权限授予不应拥有此权限的用户。默认情况下,AWS 中您不授予的所有内容都会被拒绝。
像这样简单地恢复不安全的配置更改是不够的,具体取决于时机。
TCP 的安全组规则控制允许哪些连接最初创建 -- 而不是允许建立哪些连接。如果...
- 我将规则更改为允许 0.0.0.0/0 的规则;然后
- 我从一个无意中(对您)允许的(我)地址(例如 203.0.113.1)建立了连接;然后
- 您删除规则或还原允许 0.0.0.0/0 的更改
...您的更改不会断开我的连接。如果我在规则生效时连接,那么我可以从不再授权的地址 203.0.113.1 保持连接,直到我断开连接或超时,无论您的安全组设置 now 说什么.
确保你没有解决错误的问题。