安全组检查

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

安全组是一种虚拟防火墙,能够控制ECS实例的出入站流量。安全组规则设置不当可能会导致严重的安全问题。您可以使用云防火墙的安全组检查功能,快速识别及修复ECS安全组潜在的风险规则,以便您更安全、高效地管理安全组。安全组检查功能同时支持普通安全组和企业级安全组。

版本支持说明

云防火墙高级版、企业版和旗舰版均支持安全组检查功能。

如果您使用的是免费版云防火墙,您可以选择立即升级去安全组手动修复

  • 立即升级:购买云防火墙高级版及以上的版本,使用云防火墙提供的安全组检查功能修复安全组高危规则。云防火墙可统一管理安全组和公网IP访问控制策略,及时缩小安全风险暴露面,提高安全管理效率。推荐您使用该方式。

  • 去安全组手动修复:请参见修改安全组规则

安全组配置检查项列表

重要

云防火墙安全组检查项如下,您可以根据实际业务开启检查项。当前只支持开启或者关闭检查项,不支持修改检查项。

检查项名称

安全风险

修复建议

Linux远程运维端口暴露

22端口允许任意IP访问,关联的Linux服务器可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器22端口的访问。如果业务需要访问服务器22端口,建议您限制可访问该端口的公网IP,或使用堡垒机进行远程运维。更多信息,请参见基础版和企业双擎版简介并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Windows远程运维端口暴露

3389端口允许任意IP访问,关联的Windows服务器可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器3389端口的访问。如果业务需要访问服务器3389端口,建议您限制可访问该端口的公网IP,或使用堡垒机进行远程运维。更多信息,请参见基础版和企业双擎版简介并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

DB2远程运维端口暴露

50000端口允许任意IP访问,关联的DB2数据库可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器50000端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

ECS加入的安全组数量过多

ECS实例加入了3个及以上安全组,会增加运维难度,提高错误配置风险。

建议一台ECS实例加入的安全组数量小于等于2个。更多信息,请参见安全组概述。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Elasticsearch远程运维端口暴露

9200、9300端口允许任意IP访问,关联的Elasticsearch可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器9200、9300端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Hadoop YARN远程运维端口暴露

8088端口允许任意IP访问,关联的Hadoop YRAN可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器8088端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Hadoop远程运维端口暴露

50070、50030端口允许任意IP访问,关联的Hadoop可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器50070、50030端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

MongoDB远程运维端口暴露

27017端口允许任意IP访问,关联的Mongo DB数据库可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器27017端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

MySQL远程运维端口暴露

3306端口允许任意IP访问,关联的MySQL数据库可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器3306端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Oracle远程运维端口暴露

1521端口允许任意IP访问,关联的Oracle数据库可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器1521端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

PostgreSQL远程运维端口暴露

5432端口允许任意IP访问,关联的PostgreSQL数据库可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器5432端口的访问。 并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Redis远程运维端口暴露

6379端口允许任意IP访问,关联的Redis数据库可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器6379端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

SQL Server远程运维端口暴露

1433端口允许任意IP访问,关联的SQL Sever数据库可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器1433端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Spark远程运维端口暴露

6066端口允许任意IP访问,关联的Spark可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器6066端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

Splunk远程运维端口暴露

8089、8090端口允许任意IP访问,关联的Splunk可能被暴力破解入侵。

建议您在ECS管理控制台安全组列表页面配置拒绝公网IP对服务器8089、8090端口的访问。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

访问源过度开放

检查到安全组配置为入方向允许任意IP访问任意端口,关联服务器被入侵风险极大。

建议仅开放业务所需端口,并限制访问源IP范围。并在云防火墙控制台防护配置中开启威胁情报,基础防护开关。

检查安全组风险

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 安全组检查

  3. 安全组检查页面,单击获取最新检查结果

    安全组检查预计需要1~5分钟,请您耐心等待。

    说明

    安全组检查根据安全规则的静态分析得出最新检查结果,可能无法覆盖全部的端口风险情况。您可以在公网暴露页面查看端口相关的全部检查结果,了解端口的实际暴露情况。

    image

查看检查结果

检查结果详情区域,查看检测出的安全组风险详细信息。包含安全组风险等级检查项风险安全组/服务器数检查项状态信息。其中高危风险是指检查到安全组配置为入方向允许任意IP访问任意端口,关联服务器被入侵风险极大。

说明

您可以根据需要打开或关闭检查项状态。关闭表示不检查该项。

image

修复高危安全组检查项

  1. 定位到指定的检查项,单击其操作列下的修复详情

    您也可以单击风险安全组/服务器数下的数字(大于0则表示存在高危风险,需要尽快修复),跳转至安全组修复详情页面。

  2. 安全组修复详情页面,定位到需要修复的安全组,单击其操作列下的去安全组修复

    您也可以单击风险安全组ID/名称下的安全组ID链接跳转ECS管理控制台安全组列表页面,对有风险的安全组规则进行修复。

    警告

    安全组规则设置不当可能会引起严重的安全事故。安全组修复详情页面针对风险安全组提供了修复建议,建议您根据修复建议尽快修改存在风险的安全组规则。

    image

相关文档

配置主机边界访问控制策略

安全组概述