安全性群組是一種虛擬防火牆,能夠控制ECS執行個體的出入站流量。安全性群組規則設定不當可能會導致嚴重的安全問題。您可以使用Cloud Firewall的安全性群組檢查功能,快速識別及修複ECS安全性群組潛在的風險規則,以便您更安全、高效地管理安全性群組。安全性群組檢查功能同時支援普通安全性群組和企業級安全性群組。
版本支援說明
Cloud Firewall進階版、企業版和旗艦版均支援安全性群組檢查功能。
如果您使用的是免費版Cloud Firewall,您可以選擇立即升級或去安全性群組手動修複。
立即升級:購買Cloud Firewall進階版及以上的版本,使用Cloud Firewall提供的安全性群組檢查功能修複安全性群組高危規則。Cloud Firewall可統一管理安全性群組和公網IP存取控制策略,及時縮小安全風險暴露面,提高安全管理效率。推薦您使用該方式。
去安全性群組手動修複:請參見修改安全性群組規則。
安全性群組配置檢查項列表
Cloud Firewall安全性群組檢查項如下,您可以根據實際業務開啟檢查項。當前只支援開啟或者關閉檢查項,不支援修改檢查項。
檢查項名稱 | 安全風險 | 修複建議 |
Linux遠程營運連接埠暴露 | 22連接埠允許任意IP訪問,關聯的Linux伺服器可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器22連接埠的訪問。如果業務需要訪問伺服器22連接埠,建議您限制可訪問該連接埠的公網IP,或使用Bastionhost進行遠程營運。更多資訊,請參見基礎版和企業雙擎版簡介。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Windows遠程營運連接埠暴露 | 3389連接埠允許任意IP訪問,關聯的Windows伺服器可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器3389連接埠的訪問。如果業務需要訪問伺服器3389連接埠,建議您限制可訪問該連接埠的公網IP,或使用Bastionhost進行遠程營運。更多資訊,請參見基礎版和企業雙擎版簡介。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
DB2遠程營運連接埠暴露 | 50000連接埠允許任意IP訪問,關聯的DB2資料庫可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器50000連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
ECS加入的安全性群組數量過多 | ECS執行個體加入了3個及以上安全性群組,會增加營運難度,提高錯誤配置風險。 | 建議一台ECS執行個體加入的安全性群組數量小於等於2個。更多資訊,請參見安全性群組概述。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Elasticsearch遠程營運連接埠暴露 | 9200、9300連接埠允許任意IP訪問,關聯的Elasticsearch可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器9200、9300連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Hadoop YARN遠程營運連接埠暴露 | 8088連接埠允許任意IP訪問,關聯的Hadoop YRAN可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器8088連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Hadoop遠程營運連接埠暴露 | 50070、50030連接埠允許任意IP訪問,關聯的Hadoop可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器50070、50030連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
MongoDB遠程營運連接埠暴露 | 27017連接埠允許任意IP訪問,關聯的Mongo DB資料庫可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器27017連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
MySQL遠程營運連接埠暴露 | 3306連接埠允許任意IP訪問,關聯的MySQL資料庫可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器3306連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Oracle遠程營運連接埠暴露 | 1521連接埠允許任意IP訪問,關聯的Oracle資料庫可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器1521連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
PostgreSQL遠程營運連接埠暴露 | 5432連接埠允許任意IP訪問,關聯的PostgreSQL資料庫可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器5432連接埠的訪問。 並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Redis遠程營運連接埠暴露 | 6379連接埠允許任意IP訪問,關聯的Redis資料庫可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器6379連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
SQL Server遠程營運連接埠暴露 | 1433連接埠允許任意IP訪問,關聯的SQL Sever資料庫可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器1433連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Spark遠程營運連接埠暴露 | 6066連接埠允許任意IP訪問,關聯的Spark可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器6066連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
Splunk遠程營運連接埠暴露 | 8089、8090連接埠允許任意IP訪問,關聯的Splunk可能被暴力破解入侵。 | 建議您在ECS管理主控台的安全性群組列表頁面配置拒絕公網IP對伺服器8089、8090連接埠的訪問。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
訪問源過度開放 | 檢查到安全性群組配置為入方向允許任意IP訪問任意連接埠,關聯伺服器被入侵風險極大。 | 建議僅開放業務所需連接埠,並限制訪問源IP範圍。並在Cloud Firewall控制台的防護配置中開啟威脅情報,基礎防護開關。 |
檢查安全性群組風險
在左側導覽列,選擇。
在安全性群組檢查頁面,單擊擷取最新檢查結果。
安全性群組檢查預計需要1~5分鐘,請您耐心等待。
說明安全性群組檢查根據安全規則的靜態分析得出最新檢查結果,可能無法覆蓋全部的連接埠風險情況。您可以在公網暴露頁面查看連接埠相關的全部檢查結果,瞭解連接埠的實際暴露情況。
查看檢查結果
在檢查結果詳情地區,查看檢測出的安全性群組風險詳細資料。包含安全性群組風險等級、檢查項、風險安全性群組/伺服器數和檢查項狀態資訊。其中高危風險是指檢查到安全性群組配置為入方向允許任意IP訪問任意連接埠,關聯伺服器被入侵風險極大。
您可以根據需要開啟或關閉檢查項狀態。關閉表示不檢查該項。
修複高危安全性群組檢查項
定位到指定的檢查項,單擊其操作列下的修複詳情。
您也可以單擊風險安全性群組/伺服器數下的數字(大於0則表示存在高危風險,需要儘快修複),跳轉至安全性群組修複詳情頁面。
在安全性群組修複詳情頁面,定位到需要修複的安全性群組,單擊其操作列下的去安全性群組修複。
您也可以單擊風險安全性群組ID/名稱下的安全性群組ID連結跳轉ECS管理主控台的安全性群組列表頁面,對有風險的安全性群組規則進行修複。
警告安全性群組規則設定不當可能會引起嚴重的安全事故。安全性群組修複詳情頁面針對風險安全性群組提供了修複建議,建議您根據修複建議儘快修改存在風險的安全性群組規則。
