安全组规则设置不当可能会引起严重的安全事故。安全组配置检查功能为您检查ECS服务器安全组中存在高危风险的规则,并提供修复建议,帮助您更安全高效地使用安全组功能。本文介绍如何在云安全中心控制台使用安全组配置检查功能。

背景信息

云安全中心基础版、基础杀毒版、高级版和企业版用户均支持安全组配置检查功能。

安全组是一种虚拟防火墙,仅适用于阿里云ECS服务器。安全组配置检查功能支持对普通安全组和企业级安全组进行安全检查。安全组相关信息请参见安全组概述

安全组配置检查功能由云防火墙提供,您可前往云防火墙控制台体验更多网络安全功能。安全组配置检查支持的检查项详情请参见安全组配置检查项列表

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全防范 > 安全组检查
  3. 可选:安全组配置检查页面单击获取最新检查结果
    安全组检查预计需要1~5分钟,请您耐心等待。立即检查安全组
    说明 此处获取的最新检查结果只是针对安全规则的静态分析得出,可能无法覆盖全部的端口风险情况。您可以在云防火墙互联网访问活动页面查看端口相关的全部检查结果,了解端口的实际暴露情况。
  4. 可选:云资源访问授权页面单击同意授权
    为了安全组检查功能的正常使用,您需要赋予当前账号AliyunCloudFirewallAccessingECSRole和AliyunCloudFirewallDefautlRole这两个角色。如果您已进行过授权操作,请跳过该步骤。
  5. 检查结果详情区域,查看检测出安全风险的规则详细信息。安全风险规则列表
    您可以查看规则风险等级检查项名称、风险安全组/服务器数检查项状态信息。
    说明 检查项默认为开启状态。如果需要关闭某个检查项,您可以单击该检查项的检查项状态列下的状态图标图标,关闭该检查项。检查项关闭后,云防火墙将不会对该检查项中的安全风险进行检查。
  6. 修复高危安全组规则。
    1. 定位到指定规则,单击其操作列下的修复详情
      您也可以单击风险安全组数下的数字跳转至安全组修复详情页面。
    2. 安全组修复详情页面,定位到需要修复的安全组,单击其操作列下的去安全组修复安全组修复详情页面
      安全组规则设置不当可能会引起严重的安全事故。安全组修复详情页面针对风险安全组提供了修复建议,您需要根据修复建议尽快修改存在风险的安全组规则。
      如果您是云防火墙高级版及以上版本用户,您将跳转到安全组列表页面。您需要根据修复建议手动修复高危安全组规则。更多信息请参见修改安全组规则。如果您是云防火墙免费版用户,您需要执行子步骤c中的内容。
    3. 可选:推荐使用云防火墙智能修复对话框,单击立即升级去安全组手动修复
      可选择的修复方式说明如下:
      • 立即升级:购买云防火墙高级版本,使用云防火墙提供的安全组配置检查功能修复安全组高危规则。云防火墙可统一管理安全组和公网IP访问控制策略,及时缩小安全风险暴露面,提高安全管理效率。推荐您使用该方式。
      • 去安全组手动修复:跳转到安全组列表页面,手动修复高危安全组规则。更多信息请参见修改安全组规则

安全组配置检查项列表

检查项名称 安全风险 修复建议
Linux远程运维端口暴露 22端口允许任意IP访问,关联的Linux服务器可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器22端口的访问。如果业务需要访问服务器22端口,建议您限制可访问该端口的公网IP,或使用堡垒机进行远程运维。更多信息请参见什么是堡垒机
Windows远程运维端口暴露 3389端口允许任意IP访问,关联的Windows服务器可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器3389端口的访问。如果业务需要访问服务器3389端口,建议您限制可访问该端口的公网IP,或使用堡垒机进行远程运维。更多信息请参见什么是堡垒机
DB2远程运维端口暴露 50000端口允许任意IP访问,关联的DB2数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器50000端口的访问。
ECS加入的安全组数量过多 ECS实例加入了3个及以上安全组,会增加运维难度,提高错误配置风险。 建议一台ECS实例加入的安全组数量小于等于2个。更多信息请参见安全组概述
Elasticsearch远程运维端口暴露 9200、9300端口允许任意IP访问,关联的Elasticsearch可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器9200、9300端口的访问。
Hadoop YARN远程运维端口暴露 8088端口允许任意IP访问,关联的Hadoop YRAN可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器8088端口的访问。
Hadoop远程运维端口暴露 50070、50030端口允许任意IP访问,关联的Hadoop可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器50070、50030端口的访问。
MongoDB远程运维端口暴露 27017端口允许任意IP访问,关联的Mongo DB数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器27017端口的访问。
MySQL远程运维端口暴露 3306端口允许任意IP访问,关联的MySQL数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器3306端口的访问。
Oracle远程运维端口暴露 1521端口允许任意IP访问,关联的Oracle数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器1521端口的访问。
PostgreSQL远程运维端口暴露 5432端口允许任意IP访问,关联的PostgreSQL数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器5432端口的访问。
Redis远程运维端口暴露 6379端口允许任意IP访问,关联的Redis数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器6379端口的访问。
SQL Server远程运维端口暴露 1433端口允许任意IP访问,关联的SQL Sever数据库可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器1433端口的访问。
Spark远程运维端口暴露 6066端口允许任意IP访问,关联的Spark可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器6066端口的访问。
Splunk远程运维端口暴露 8089、8090端口允许任意IP访问,关联的Splunk可能被暴力破解入侵。 建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器8089、8090端口的访问。
访问源过度开放 检查到安全组配置为入方向允许任意IP访问任意端口,关联服务器被入侵风险极大。 建议仅开放业务所需端口,并限制访问源IP范围。