当安全组入方向网段未设置为0.0.0.0/0时,视为“合规”;当安全组入方向网段设置为0.0.0.0/0,但指定的风险端口为关闭状态时,视为“合规”。
应用场景
当ECS实例需要开启全部网段访问时,需要关闭风险端口,避免系统处于网络风险中。
风险等级
默认风险等级:高风险。
当您使用该规则时,可以按照实际需求变更风险等级。
检测逻辑
- 当安全组入方向网段未设置为0.0.0.0/0时,视为“合规”。
- 当安全组入方向网段设置为0.0.0.0/0,但指定的风险端口为关闭状态时,视为“合规”。
- 当安全组入方向网段设置为0.0.0.0/0,且指定的风险端口为开启状态时,视为“不合规”。关于如何修正该问题,请参见修正指导。
规则详情
| 参数 | 说明 |
|---|---|
| 规则名称 | 安全组不允许对全部网段开启风险端口 |
| 规则标识 | sg-risky-ports-check |
| 标签 | SecurityGroup |
| 自动修正 | 不支持 |
| 规则触发机制 | 配置变更 |
| 规则支持的资源类型 | ECS安全组 |
| 规则入参 | ports说明 多个规格之间用半角逗号(,)分隔。
|
修正指导
修改安全组规则。具体操作,请参见修改安全组规则。