安全组最佳实践用于持续检查安全组规则的合规性,降低安全风险。本文为您介绍安全组最佳实践合规包中的默认规则。
规则名称 | 规则描述 |
除指定的白名单端口外,其余端口不能有授权策略设置为允许而且来源为0.0.0.0/0的入方向规则,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。 | |
安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 | |
安全组入方向授权策略为允许,当端口范围未设置为-1/-1时,视为“合规”。如果端口范围设置为-1/-1,但被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。 | |
安全组入方向授权策略为允许,当协议类型未设置为ALL时,视为“合规”。如果协议类型设置为ALL,但被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。 | |
安全组入网方向授权策略为允许的来源IP地址段不包含公网IP,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。 | |
安全组出网方向未设置为全通,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。 | |
ECS实例在指定的安全组下,视为“合规”。 | |
当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 |