本文为您介绍资源开启公网检测最佳实践的业务背景、应用场景,以及合规包中的默认规则。
业务背景
云上资源无限制的开启公网访问会带来较大的安全隐患和管理成本。基于对公网安全、成本、权限和监控等诉求,通常企业IT管理团队会统一部署安全的公网出口,其他云资源避免开通不受限制的公网访问,从而降低业务潜在的网络攻击、数据泄露等安全风险。此合规包可以帮助您检测不受限制的公网访问的云资源。
应用场景
应用于有重要业务数据及服务托管在云上的企业。
默认规则
规则名称 | 规则描述 |
Redis实例未开公网或安全白名单未设置为允许任意来源访问,视为“合规”。Redis实例存在公网且允许任意来源访问,如果同时满足视为“不合规”。 | |
RDS实例开启公网且白名单设置为0.0.0.0/0,同时满足视为“不合规”。 | |
检测账号下PolarDB实例开启公网且允许任意来源公网访问,同时满足视为“不合规”。 | |
检测OceanBase租户开启公网且允许任意来源IP访问,同时满足视为“不合规”。 | |
检测MongoDB实例开启公网且允许任意来源公网访问,如果同时满足视为“不合规”。 | |
Elasticsearch实例未开启公网访问,或者白名单未设置为对所有IP开放,视为“合规”。 | |
表格存储实例网络类型设置为限定VPC或控制台访问,视为”合规“。 | |
MSE集群开放公网访问且开启鉴权,或未开启公网访问 ,视为合规。 | |
安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组,视为“不适用”。 | |
ACK集群未设置公网连接端点,视为“合规”。 | |
容器镜像服务镜像仓库类型设置为私有,视为“合规”。 | |
检测Hbase集群是否开启公网,开启视为“不合规”。 | |
ADB实例未开启公网访问,视为“合规”。 | |
运行中的ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。 |