安全组最佳实践

安全组最佳实践用于持续检查安全组规则的合规性,降低安全风险。本文为您介绍安全组最佳实践合规包中的默认规则。

规则名称

规则描述

安全组非白名单端口入网设置有效

除指定的白名单端口外,其余端口不能有授权策略设置为允许而且来源为0.0.0.0/0的入方向规则,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

安全组入网设置中不能有对所有端口开放的访问规则

安全组入方向授权策略为允许,当端口范围未设置为-1/-1时,视为“合规”。如果端口范围设置为-1/-1,但被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

安全组入网设置不能有对所有协议开放的访问规则

安全组入方向授权策略为允许,当协议类型未设置为ALL时,视为“合规”。如果协议类型设置为ALL,但被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

安全组入网设置允许的来源IP不包含公网IP

安全组入网方向授权策略为允许的来源IP地址段不包含公网IP,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

安全组出方向未设置为全通

安全组出网方向未设置为全通,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

ECS实例在指定安全组下

ECS实例在指定的安全组下,视为“合规”。

安全组指定协议不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。