ECS合規管理最佳實務用於檢查Elastic Compute Service的運行狀態、安全設定、防護設定、快照設定的合規性,避免業務中斷和成本溢出的風險。本文為您介紹ECS合規管理最佳實務合規包中的預設規則。
規則名稱 | 規則描述 |
ECS執行個體狀態不是已停止狀態,視為“合規”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
ECS執行個體開啟釋放保護,視為“合規”。 | |
如果未指定參數,則檢查ECS執行個體的網路類型為專用網路;如果指定參數,則檢查ECS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。 | |
ECS資料磁碟已開啟加密,視為“合規”。 | |
ECS磁碟均已掛載到ECS執行個體,視為“合規”。 | |
安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
ECS執行個體在指定的安全性群組下,視為“合規”。 | |
ECS執行個體系統鏡像在參數設定的範圍內,視為“合規”。 | |
Security Center發現的所有ECS執行個體的漏洞都已修複,視為“合規”。 | |
帳號下所有ECS執行個體均已安裝Security Center代理,視為“合規”。 | |
ECS執行個體未因欠費或安全等原因而被鎖定,視為“合規”。 | |
Auto Scaling組開啟對ECS執行個體的健全狀態檢查,視為“合規”。 | |
ECS磁碟設定了自動快照策略,視為“合規”。 | |
ECS磁碟未因欠費或安全等原因而被鎖定,視為“合規”。 | |
設定ECS磁碟釋放時保留自動快照,視為“合規”。 | |
ECS自動快照原則設定快照保留天數大於設定的天數,視為“合規”。預設值:7天。 | |
當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 |