ฉันจะจัดการที่อยู่ IP สาธารณะที่เปลี่ยนแปลงอย่างต่อเนื่องในกลุ่มความปลอดภัยจำนวนมากได้อย่างไร

สภาพแวดล้อมการพัฒนาของเราโฮสต์บน AWS และเข้าถึงได้โดยผู้คนหลายสิบคน เมื่อผู้คนเข้าร่วมและออกจากโครงการ หรือทำงานจากสถานที่อื่น (มักเป็นชั่วคราว) ฉันค้นพบตัวเอง เสมอต้นเสมอปลาย อัปเดตกลุ่มความปลอดภัยของเราหลายกลุ่ม

ตัวอย่าง: Caroline เป็นนักพัฒนาที่ทำงานจากที่บ้านเป็นหลัก

• เมื่อเธอเข้าร่วมโครงการ I เพิ่ม ที่อยู่ IP สาธารณะของเธอไปที่ กลุ่มความปลอดภัย "dev-a", "dev-b", "dev-c" และ "dev-d"; รายการของเธอ ถูกระบุว่าเป็น "Caroline Lastname home"â¡
• ในวันจันทร์ สภาพอากาศเลวร้าย ทำลายพลังของแคโรไลน์ เมื่อมันกลับมา IP สาธารณะของเธอ มีการเปลี่ยนแปลงที่อยู่ดังนั้นฉันจึงต้อง อัปเดต "แคโรไลน์นามสกุล หน้าแรก" รายการในกลุ่มความปลอดภัย "dev-a", "dev-b", "dev-c" และ "dev-d".
• หนึ่งสัปดาห์ต่อมา แคโรไลน์ไปเยี่ยมพ่อแม่ของเธอในอีกรัฐหนึ่ง เธอกำหนด IP สาธารณะใหม่ของเธอและแจ้งให้ฉันและฉันทราบ เพิ่ม รายการในกลุ่มความปลอดภัย "dev-a", "dev-b", "dev-c" และ "dev-d" ระบุว่า "Caroline Lastname temp [YYYYMMDD]"
• ฉันในภายหลัง ลบ รายการ IP "ชั่วคราว" เหล่านี้เป็นการรวบรวมขยะ
• เมื่อ Caroline เข้ามาในสำนักงานเพื่อทำงาน ฉันก็ไม่ต้องทำอะไรเพิ่มเติมเพราะช่วง IP ของสำนักงานได้รับการกำหนดค่าไว้แล้วในที่ที่จำเป็น

ตอนนี้คูณกิจกรรมเหล่านี้ด้วยจำนวนบุคลากรในโครงการ...คุณจะเห็นว่าทำไมฉันจึงมีลิงก์ไปยังรายชื่อกลุ่มความปลอดภัยที่บุ๊กมาร์กไว้!

ฉันจะจัดการที่อยู่ IP สาธารณะที่เปลี่ยนแปลงอย่างต่อเนื่องในกลุ่มความปลอดภัยจำนวนมากได้อย่างไร ฉันสามารถใช้ขั้นตอนใดเพื่อทำให้ค่าใช้จ่ายในการดูแลระบบของรายการกลุ่มความปลอดภัยง่ายขึ้น

â¡: ชื่อทั้งหมด (รวมถึงชื่อกลุ่มความปลอดภัย) ได้รับการแก้ไขเพื่อปกป้องผู้บริสุทธิ์

เป็นการยากที่จะพูดว่าอะไรดีที่สุด เพราะคุณไม่ได้บอกว่าผู้คนกำลังทำอะไรในสิ่งแวดล้อม พวกเขาใช้งาน IDE บนอินสแตนซ์ Windows EC2 หรือไม่ เข้าถึงบันทึกบนกล่อง Linux? หากคุณแก้ไขคำถามเพื่อให้ข้อมูลพื้นฐานมากขึ้น คุณอาจได้รับคำตอบที่ดีขึ้น

ความคิดเล็กน้อย:

• ใช้วิธีการอื่น: แทนที่จะระบุ IP ภายในบ้านที่อนุญาต ให้ผู้คนเข้าสู่อินสแตนซ์ Bastion / AWS Workspace ที่เหมาะสมที่สุดโดยใช้ MFA กลุ่มความปลอดภัย Bastion / Workspaces อยู่ในรายการที่อนุญาตพิเศษในสภาพแวดล้อมที่เหลือของคุณ แนวทางปฏิบัติที่ดีที่สุดคือการมีทรัพยากรส่วนตัวในซับเน็ตส่วนตัวพร้อมป้อมปราการ

• มอบสคริปต์ / ไฟล์แบตช์ที่ใช้ AWS CLI (หรือ CLI เรียกว่าแลมบ์ดา) ให้ทุกคนเพื่อลบกฎกลุ่มความปลอดภัยที่มีอยู่ด้วยชื่อ / ID เฉพาะในนั้น และแทนที่ด้วย IP ปัจจุบัน

• พิจารณาแนวคิดทั่วไปเกี่ยวกับการรับรองความถูกต้องตามข้อมูลระบุตัวตนแทนการจำกัดตาม IP ซึ่งคล้ายกับเครือข่ายที่ไม่ไว้วางใจ

หากคุณขยายสถานการณ์ของคุณในคำถามของคุณ โปรดตอบกลับเพื่อแจ้งให้เราทราบว่าฉันสามารถปรับแต่งคำตอบได้

สร้าง AWS Client VPN เพื่อให้เข้าถึงได้ พวกเขาแต่ละคนสามารถมีข้อมูลประจำตัวของตนเองและเข้าถึงสภาพแวดล้อมโดยใช้ที่อยู่ IP ส่วนตัว นอกจากนี้คุณยังสามารถใส่ไคลเอนต์ VPN ในกลุ่มความปลอดภัยของตนเองและจำกัดการเข้าถึงได้ด้วยวิธีนี้