安全组指定协议不允许对全部网段开启风险端口

当云服务器ECS安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”;当云服务器ECS安全组入网网段未设置为0.0.0.0/0时,使指定协议的端口范围包含指定的风险端口,视为“合规”;当检测到云服务器ECS安全组的风险端口被优先级更高的授权策略拒绝时,视为“合规”。

应用场景

为安全组设置最小的授权策略,减小开放的网络范围,保障云环境的网络安全。

风险等级

默认风险等级:高风险。

当您使用该规则时,可以按照实际需求变更风险等级。

检测逻辑

  • 当云服务器ECS安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。

  • 当云服务器ECS安全组入网网段未设置为0.0.0.0/0时,使指定协议的端口范围包含指定的风险端口,视为“合规”。

  • 当检测到云服务器ECS安全组的风险端口被优先级更高的授权策略拒绝时,视为“合规”。

  • 当云服务器ECS安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围包含指定风险端口,视为“不合规”。关于如何修正该问题,请参见修正指导

  • 云产品或虚商所使用的安全组,视为“不适用”。

规则详情

参数

说明

规则名称

安全组指定协议不允许对全部网段开启风险端口

规则标识

ecs-security-group-risky-ports-check-with-protocol

标签

SecurityGroup

自动修正

不支持

规则触发机制

配置变更

规则支持的资源类型

ECS安全组

规则入参

  • ports(默认值:22,3389。)

  • protocols(默认值:TCP,UDP。)

修正指导

修改云服务器ECS的安全组规则,使其不包含风险端口或风险端口被优先级更高的授权策略拒绝。具体操作,请参见修改安全组规则