本文為您介紹資源開啟公網檢測最佳實務的業務背景、應用情境,以及合規包中的預設規則。
業務背景
雲上資源無限制的開啟公網訪問會帶來較大的安全隱患和管理成本。基於對公網安全、成本、許可權和監控等訴求,通常企業IT管理團隊會統一部署安全的公網出口,其他雲資源避免開通不受限制的公網訪問,從而降低業務潛在的網路攻擊、資料泄露等安全風險。此合規包可以協助您檢測不受限制的公網訪問的雲資源。
應用情境
應用於有重要業務資料及服務託管在雲上的企業。
預設規則
規則名稱 | 規則描述 |
Redis執行個體未開公網或安全白名單未設定為允許任意來源訪問,視為“合規”。Redis執行個體存在公網且允許任意來源訪問,如果同時滿足視為“不合規”。 | |
RDS執行個體開啟公網且白名單設定為0.0.0.0/0,同時滿足視為“不合規”。 | |
檢測帳號下PolarDB執行個體開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。 | |
檢測OceanBase租戶開啟公網且允許任意來源IP訪問,同時滿足視為“不合規”。 | |
檢測MongoDB執行個體開啟公網且允許任意來源公網訪問,如果同時滿足視為“不合規”。 | |
Elasticsearch執行個體未開啟公網訪問,或者白名單未設定為對所有IP開放,視為“合規”。 | |
Table Store執行個體網路類型設定為限定VPC或控制台訪問,視為”合規“。 | |
MSE叢集開放公網訪問且開啟鑒權,或未開啟公網訪問 ,視為合規。 | |
安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組,視為“不適用”。 | |
ACK叢集未設定公網串連端點,視為“合規”。 | |
Container Registry鏡像倉庫類型設定為私人,視為“合規”。 | |
檢測Hbase叢集是否開啟公網,開啟視為“不合規”。 | |
ADB執行個體未開啟公網訪問,視為“合規”。 | |
運行中的ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 |