当安全组入方向网段未设置为0.0.0.0/0时,视为“合规”;当安全组入方向网段设置为0.0.0.0/0,但指定的风险端口为关闭状态时,视为“合规”。

应用场景

当ECS实例需要开启全部网段访问时,需要关闭风险端口,避免系统处于网络风险中。

风险等级

默认风险等级:高风险。

当您使用该规则时,可以按照实际需求变更风险等级。

检测逻辑

  • 当安全组入方向网段未设置为0.0.0.0/0时,视为“合规”。
  • 当安全组入方向网段设置为0.0.0.0/0,但指定的风险端口为关闭状态时,视为“合规”。
  • 当安全组入方向网段设置为0.0.0.0/0,且指定的风险端口为开启状态时,视为“不合规”。关于如何修正该问题,请参见修正指导

规则详情

参数 说明
规则名称 安全组不允许对全部网段开启风险端口
规则标识 sg-risky-ports-check
标签 SecurityGroup
自动修正 不支持
规则触发机制 配置变更
规则支持的资源类型 ECS安全组
规则入参 ports
说明 多个规格之间用半角逗号(,)分隔。

修正指导

修改安全组规则。具体操作,请参见修改安全组规则