当云服务器ECS安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”;当云服务器ECS安全组入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,视为“合规”;当检测到云服务器ECS安全组的风险端口被优先级更高的授权策略拒绝时,视为“合规”。
应用场景
为安全组设置最小的授权策略,减小开放的网络范围,保障云环境的网络安全。
风险等级
默认风险等级:高风险。
当您使用该规则时,可以按照实际需求变更风险等级。
检测逻辑
- 当云服务器ECS安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”;当云服务器ECS安全组入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,视为“合规”;当检测到云服务器ECS安全组的风险端口被优先级更高的授权策略拒绝时,视为“合规”。
- 当云服务器ECS安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围包含指定风险端口,视为“不合规”。关于如何修正该问题,请参见修正指导。
- 云产品或虚商所使用的安全组,视为“不适用”。
规则详情
| 参数 | 说明 |
|---|---|
| 规则名称 | 安全组指定协议不允许对全部网段开启风险端口 |
| 规则标识 | ecs-security-group-risky-ports-check-with-protocol |
| 标签 | SecurityGroup |
| 自动修正 | 不支持 |
| 规则触发机制 | 配置变更 |
| 规则支持的资源类型 | ECS安全组 |
| 规则入参 |
|
修正指导
修改云服务器ECS的安全组规则,使其不包含风险端口或风险端口被优先级更高的授权策略拒绝。具体操作,请参见修改安全组规则 。