资源开启公网检测最佳实践

本文为您介绍资源开启公网检测最佳实践的业务背景、应用场景,以及合规包中的默认规则。

业务背景

云上资源无限制的开启公网访问会带来较大的安全隐患和管理成本。基于对公网安全、成本、权限和监控等诉求,通常企业IT管理团队会统一部署安全的公网出口,其他云资源避免开通不受限制的公网访问,从而降低业务潜在的网络攻击、数据泄露等安全风险。此合规包可以帮助您检测不受限制的公网访问的云资源。

应用场景

应用于有重要业务数据及服务托管在云上的企业。

默认规则

规则名称

规则描述

Redis实例未开启公网或安全白名单未设置为允许任意来源访问

Redis实例未开公网或安全白名单未设置为允许任意来源访问,视为“合规”。Redis实例存在公网且允许任意来源访问,如果同时满足视为“不合规”。

RDS实例未开公网且IP白名单未设置为全网段

RDS实例开启公网且白名单设置为0.0.0.0/0,同时满足视为“不合规”。

PolarDB实例未开启公网或IP白名单未设置为全网段

检测账号下PolarDB实例开启公网且允许任意来源公网访问,同时满足视为“不合规”。

Oceanbase租户未开启公网或安全白名单未设置为允许任意来源访问

检测OceanBase租户开启公网且允许任意来源IP访问,同时满足视为“不合规”。

MongoDB实例未开启公网或安全白名单未设置为允许任意来源访问

检测MongoDB实例开启公网且允许任意来源公网访问,如果同时满足视为“不合规”。

Elasticsearch实例未开启公网或不允许任意IP访问

Elasticsearch实例未开启公网访问,或者白名单未设置为对所有IP开放,视为“合规”。

表格存储实例网络类型设置为限定VPC或控制台访问

表格存储实例网络类型设置为限定VPC或控制台访问,视为”合规“。

MSE集群开放公网访问且开启鉴权

MSE集群开放公网访问且开启鉴权,或未开启公网访问 ,视为合规。

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组,视为“不适用”。

ACK集群未设置公网连接端点

ACK集群未设置公网连接端点,视为“合规”。

容器镜像服务镜像仓库类型为私有

容器镜像服务镜像仓库类型设置为私有,视为“合规”。

Hbase集群未开启公网地址

检测Hbase集群是否开启公网,开启视为“不合规”。

ADB集群未开启公网

ADB实例未开启公网访问,视为“合规”。

运行中的ECS实例未绑定公网地址

运行中的ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。