本文为您介绍安全组最佳实践合规包中的默认规则。
| 规则名称 | 规则描述 |
|---|---|
| 安全组非白名单端口入网设置有效 | 除指定的白名单端口外,其余端口不能有授权策略设置为允许且来源为0.0.0.0/0的入方向规则,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。 |
| 安全组不允许对全部网段开启风险端口 | 当入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”;当安全组入网网段设置为0.0.0.0/0时,端口范围不包含指定风险端口,也视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。 |
| ECS实例在指定安全组下 | ECS实例在指定的安全组下,视为“合规”。 |
| 安全组入网设置有效 | 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。 |
| 安全组入网设置中不能有对所有端口开放的访问规则 | 安全组入方向授权策略为允许,当端口范围未设置为-1/-1时,视为“合规”;如果端口范围设置为-1/-1,但被优先级更高的授权策略拒绝,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。 |
| 安全组入网设置不能有对所有协议开放的访问规则 | 安全组入方向授权策略为允许,当端协议类型未设置为All时,视为“合规”;如果协议类型设置为All,但被优先级更高的授权策略拒绝,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。 |
| 安全组入网设置允许的来源IP不包含公网IP | 安全组入网方向授权策略为允许的来源IP地址段不包含公网IP,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。 |
| 安全组出方向未设置为全通 | 安全组出网方向未设置为全通,视为“合规”;云服务或虚商所使用的安全组不适用本规则,视为“不适用”。 |