文档

安全组非白名单端口入网设置有效

更新时间:

除指定的白名单端口外,其余端口授权策略设置为拒绝,且来源为0.0.0.0/0的入方向规则,视为“合规”。

应用场景

为安全组设置最小的授权策略,减小开放的网络范围,保障云环境的网络安全。

风险等级

默认风险等级:高风险。

当您使用该规则时,可以按照实际需求变更风险等级。

检测逻辑

  • 除指定的白名单端口外,其余端口授权策略设置为拒绝,且来源为0.0.0.0/0的入方向规则,视为“合规”。

  • 除指定的白名单端口外,其余端口授权策略设置为允许,且来源为0.0.0.0/0的入方向规则,视为“不合规”。关于如何修正该问题,请参见修正指导

  • 除ECS外的云服务(例如:云防火墙、NAT网关等)或虚商所使用的安全组不适用本规则,视为“不适用”。

    说明

    除ECS外的云服务在托管模式下创建的安全组称为托管安全组。关于托管安全组的更多信息,请参见托管安全组

规则详情

参数

说明

规则名称

安全组非白名单端口入网设置有效

规则标识

ecs-security-group-white-list-port-check

标签

SecurityGroup

自动修正

不支持

规则触发机制

配置变更

规则支持的资源类型

ECS安全组

规则入参

ports

说明

多个规格之间用半角逗号(,)分隔。

修正指导

修改安全组规则。具体操作,请参见修改安全组规则