本文为您介绍资源开启公网检测最佳实践的业务背景、应用场景,以及合规包中的默认规则。

业务背景

云上资源无限制的开启公网访问会带来较大的安全隐患和管理成本。基于对公网安全、成本、权限和监控等诉求,通常企业IT管理团队会统一部署安全的公网出口,其他云资源避免开通不受限制的公网访问,从而降低业务潜在的网络攻击、数据泄露等安全风险。此合规包可以帮助您检测不受限制的公网访问的云资源。

应用场景

应用于有重要业务数据及服务托管在云上的企业。

规则列表

说明 合规包模板为您提供通用的合规性框架,帮助您快速创建符合目标场景的合规包。规则的“合规”仅指资源符合规则定义本身的合规性描述,不确保符合特定法规或行业标准的所有要求。
规则名称 规则描述
Redis实例未开启公网或安全白名单未设置为允许任意来源访问 Redis实例未开启公网或安全白名单未设置为允许任意来源访问,视为“合规”。
RDS实例未开公网或IP白名单未设置为全网段
  • RDS实例关闭公网,视为“合规”。
  • RDS实例开启公网但白名单未设置为0.0.0.0/0,视为“合规”。
PolarDB实例未开启公网或IP白名单未设置为全网段
  • 检测当前账号下PolarDB实例未开启公网,视为“合规”。
  • 检测当前账号下PolarDB实例开启公网但不允许任意来源公网访问,视为“合规”。
Oceanbase租户未开启公网或安全白名单未设置为允许任意来源访问
  • 检测OceanBase租户未开启公网,视为“合规”。
  • 检测OceanBase租户开启公网但不允许任意来源IP访问,视为“合规”。
MongoDB实例未开启公网或安全白名单未设置为允许任意来源访问
  • 检测MongoDB实例未开启公网,视为“合规“。
  • 检测MongoDB实例开启公网但不允许任意来源公网访问,视为“合规”。
Elasticsearch实例未开启公网或不允许任意IP访问
  • Elasticsearch实例未启公网访问,视为“合规”。
  • Elasticsearch实例开启公网但不允许任意IP访问,视为“合规”。
表格存储实例网络类型设置为限定VPC或控制台访问 表格存储实例的网络类型设置为限定VPC或控制台访问,视为”合规“。
MSE集群开放公网访问且开启鉴权
  • MSE集群开放公网访问且开启鉴权,视为“合规”。
  • MSE集群未开启公网访问,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。
ACK集群未设置公网连接端点 ACK集群未设置公网连接端点,视为“合规”。
容器镜像服务镜像仓库类型为私有 容器镜像服务的镜像仓库类型设置为私有,视为“合规”。
Hbase集群未开启公网地址 Hbase集群未开启公网,视为“合规”。
ADB集群未开启公网 ADB实例未开启公网访问,视为“合规”。