安全性群組最佳實務用於持續檢查安全性群組規則的合規性,降低安全風險。本文為您介紹安全性群組最佳實務合規包中的預設規則。
規則名稱 | 規則描述 |
除指定的白名單連接埠外,其餘連接埠不能有授權原則設定為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 | |
安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
安全性群組入方向授權策略為允許,當連接埠範圍未設定為-1/-1時,視為“合規”。如果連接埠範圍設定為-1/-1,但被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 | |
安全性群組入方向授權策略為允許,當協議類型未設定為ALL時,視為“合規”。如果協議類型設定為ALL,但被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 | |
安全性群組入網方向授權策略為允許的來源IP位址區段不包含公網IP,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 | |
安全性群組出網方向未設定為全通,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 | |
ECS執行個體在指定的安全性群組下,視為“合規”。 | |
當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 |