本文为您介绍资源开启公网检测最佳实践的业务背景、应用场景,以及合规包中的默认规则。
业务背景
云上资源无限制的开启公网访问会带来较大的安全隐患和管理成本。基于对公网安全、成本、权限和监控等诉求,通常企业IT管理团队会统一部署安全的公网出口,其他云资源避免开通不受限制的公网访问,从而降低业务潜在的网络攻击、数据泄露等安全风险。此合规包可以帮助您检测不受限制的公网访问的云资源。
应用场景
应用于有重要业务数据及服务托管在云上的企业。
规则列表
说明 合规包模板为您提供通用的合规性框架,帮助您快速创建符合目标场景的合规包。规则的“合规”仅指资源符合规则定义本身的合规性描述,不确保符合特定法规或行业标准的所有要求。
| 规则名称 | 规则描述 |
|---|---|
| Redis实例未开启公网或安全白名单未设置为允许任意来源访问 | Redis实例未开启公网或安全白名单未设置为允许任意来源访问,视为“合规”。 |
| RDS实例未开公网或IP白名单未设置为全网段 |
|
| PolarDB实例未开启公网或IP白名单未设置为全网段 |
|
| Oceanbase租户未开启公网或安全白名单未设置为允许任意来源访问 |
|
| MongoDB实例未开启公网或安全白名单未设置为允许任意来源访问 |
|
| Elasticsearch实例未开启公网或不允许任意IP访问 |
|
| 表格存储实例网络类型设置为限定VPC或控制台访问 | 表格存储实例的网络类型设置为限定VPC或控制台访问,视为”合规“。 |
| MSE集群开放公网访问且开启鉴权 |
|
| 安全组入网设置有效 | 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。 |
| ACK集群未设置公网连接端点 | ACK集群未设置公网连接端点,视为“合规”。 |
| 容器镜像服务镜像仓库类型为私有 | 容器镜像服务的镜像仓库类型设置为私有,视为“合规”。 |
| Hbase集群未开启公网地址 | Hbase集群未开启公网,视为“合规”。 |
| ADB集群未开启公网 | ADB实例未开启公网访问,视为“合规”。 |