보안 그룹 생성 단위 정보

AWS의 보안팀을 설정할 기회가 있었지만, 그때 어떤 단위로 팀을 나눠 회사 내에서 의견을 2개로 나눠 비망록으로 기재했기 때문이다.
아직 결론이 나지 않았지만, 여러분의 평을 얻을 수 있다면 잠시 후에 정리하고 싶습니다.

개시하다

설명을 이해하기 위해 아래 시스템에 안전팀을 설치한 상태에서 대화를 진행한다고 가정합니다.

2대의 WEB 서버 전면에 ELB를, 후면에 MySQL 구성을 배치합니다.
Bastion 서버는 시스템 내에서 인터넷으로부터의 SSH 연결을 허용하는 유일한 서버이다
이 서버를 통해서만 다른 서버의 SSH에 연결할 수 있습니다.

중간부품 단위

중간부품 단위로 안전팀을 만들자는 생각입니다.
상기 시스템 예에서
보안 그룹 이름
타입
포트 범위
출처
ssh_private
SSH
22
10.1.0.0/16
ssh_public
SSH
22
(소스 IP 연결)/32
http_group
HTTP
80
ELB_group
ELB_group
HTTPS
443
0.0.0.0/0
MySQL_goup
MySQL
3306
10.1.0.0/16
※ (접속원 IP) 원격 접속 단말기에 설정된 IP입니다.
이렇게 보안 그룹을 만듭니다.
각 인스턴스에서
과업
응용 그룹
WebServer01
ssh_private/http_group
WebServer02
ssh_private/http_group
점프 서버
ssh_public
DB 서버
ssh_private/MySQL_group
ELB
ELB_group
등 구체적인 설정을 했다.
개인적으로 점프의 설정은 어떻습니까?이런 의문과...
실례당 최대 5(※)까지 적용되는 안전팀의 제한이 궁금하다.
그나저나 온라인으로 검색하면 이처럼 중간부품 단위 설정으로 소개하는 사이트가 많다.
회사 내에서도 주류파(3vs1이라지만...)네.

샘플 작업 단위 설정

각 서비스의 역할에 따라 안전팀을 만들겠다는 생각이다.
보안 그룹 이름
타입
포트 범위
출처
web
SSH
22
bastion
HTTP
80
elb
bastion
SSH
22
(소스 IP 연결)/32
mysql
SSH
22
bastion
MYSQL
3306
WEB/batsion
elb
HTTPS
443
0.0.0.0/0
※ (접속원 IP) 원격 접속 단말기에 설정된 IP입니다.
그리고 각 실례에 응용된 상황에서
과업
응용 그룹
WEB 서버 01
web
WEB 서버 02
web
점프 서버
batsion
DB 서버
mysql
ELB
elb
이런 형식.
이것은 포트 번호에 맞추어'어디에서 온 통신'을 명확하게 설정하기 위해서이다
서비스 업체보다 안전성이 더 엄격하다.아웃바운드도 캐릭터마다.
많은 설정을 할 수 있기 때문에 서비스에 적용되는 그룹 수를 억제하는 장점이 있다.

총결산하다

위와 같은 내용만 봐도'직무 단위예요'파가 좋을 것 같고, 제가 이해할 수 없는 장점/단점이 있을 것 같은데, 느낌상'캐릭터 단위'라는 설정을 바탕으로 맞지 않는 것들은 개별적으로 만들어진 믹스매치로 활용한 것 같아요.구체적인 인상이 없다.
만약 당신의 의견을 얻을 수 있다면, 예를 들어 우리의 프로젝트는 이렇게 하는 것이고, 이런 생각도 있고, 이런 좋은 점도 있다.