本文为您介绍安全组最佳实践合规包中的默认规则。

规则名称 规则描述
安全组非白名单端口入网设置有效 除指定的白名单端口外,其余端口不能有授权策略设置为允许且来源为0.0.0.0/0的入方向规则,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。
安全组不允许对全部网段开启风险端口 当入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”;当安全组入网网段设置为0.0.0.0/0时,端口范围不包含指定风险端口,也视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。
ECS实例在指定安全组下 ECS实例在指定的安全组下,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。
安全组入网设置中不能有对所有端口开放的访问规则 安全组入方向授权策略为允许,当端口范围未设置为-1/-1时,视为“合规”;如果端口范围设置为-1/-1,但被优先级更高的授权策略拒绝,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。
安全组入网设置不能有对所有协议开放的访问规则 安全组入方向授权策略为允许,当端协议类型未设置为All时,视为“合规”;如果协议类型设置为All,但被优先级更高的授权策略拒绝,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。
安全组入网设置允许的来源IP不包含公网IP 安全组入网方向授权策略为允许的来源IP地址段不包含公网IP,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。
安全组出方向未设置为全通 安全组出网方向未设置为全通,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。