全部產品
Search
文件中心

Cloud Config:安全性群組最佳實務

更新時間:Jul 13, 2024

安全性群組最佳實務用於持續檢查安全性群組規則的合規性,降低安全風險。本文為您介紹安全性群組最佳實務合規包中的預設規則。

規則名稱

規則描述

安全性群組非白名單連接埠入網設定有效

除指定的白名單連接埠外,其餘連接埠不能有授權原則設定為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。

安全性群組入網設定有效

安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。

安全性群組入網設定中不能有對所有連接埠開放的訪問規則

安全性群組入方向授權策略為允許,當連接埠範圍未設定為-1/-1時,視為“合規”。如果連接埠範圍設定為-1/-1,但被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。

安全性群組入網設定不能有對所有協議開放的訪問規則

安全性群組入方向授權策略為允許,當協議類型未設定為ALL時,視為“合規”。如果協議類型設定為ALL,但被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。

安全性群組入網設定允許的來源IP不包含公網IP

安全性群組入網方向授權策略為允許的來源IP位址區段不包含公網IP,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。

安全性群組出方向未設定為全通

安全性群組出網方向未設定為全通,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。

ECS執行個體在指定安全性群組下

ECS執行個體在指定的安全性群組下,視為“合規”。

安全性群組指定協議不允許對全部網段開啟風險連接埠

當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。