ECS合规管理最佳实践

ECS合规管理最佳实践用于检查云服务器ECS的运行状态、安全设置、防护设置、快照设置的合规性,避免业务中断和成本溢出的风险。本文为您介绍ECS合规管理最佳实践合规包中的默认规则。

规则名称

规则描述

ECS实例状态不是已停止状态

ECS实例状态不是已停止状态,视为“合规”。

ECS预付费实例到期检查

对于预付费资源,需要提前续费,避免出现因费用问题停机。预付费实例到期时间距离检查时间大于设置的天数,视为“合规”。默认值:30天。开启自动续费的实例视为“合规”。后付费资源实例不适用本规则,视为“不适用”。

ECS实例开启释放保护

ECS实例开启释放保护,视为“合规”。

使用专有网络类型的ECS实例

如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。

ECS数据磁盘开启加密

ECS数据磁盘已开启加密,视为“合规”。

不存在闲置的ECS数据磁盘

ECS磁盘均已挂载到ECS实例,视为“合规”。

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

ECS实例在指定安全组下

ECS实例在指定的安全组下,视为“合规”。

ECS实例使用指定镜像

ECS实例系统镜像在参数设置的范围内,视为“合规”。

所有ECS实例漏洞都已修复

云安全中心发现的所有ECS实例的漏洞都已修复,视为“合规”。

账号下所有ECS实例已安装云安全中心代理

账号下所有ECS实例均已安装云安全中心代理,视为“合规”。

ECS实例未被锁定

ECS实例未因欠费或安全等原因而被锁定,视为“合规”。

弹性伸缩组开启ECS实例健康检查

弹性伸缩组开启对ECS实例的健康检查,视为“合规”。

ECS磁盘设置自动快照策略

ECS磁盘设置了自动快照策略,视为“合规”。

ECS磁盘未被锁定

ECS磁盘未因欠费或安全等原因而被锁定,视为“合规”。

ECS数据磁盘释放时保留自动快照

设置ECS磁盘释放时保留自动快照,视为“合规”。

ECS自动快照保留天数满足指定要求

ECS自动快照策略设置快照保留天数大于设置的天数,视为“合规”。默认值:7天。

安全组指定协议不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。