資源開(kāi)啟公網(wǎng)檢測(cè)最佳實(shí)踐
本文為您介紹資源開(kāi)啟公網(wǎng)檢測(cè)最佳實(shí)踐的業(yè)務(wù)背景、應(yīng)用場(chǎng)景,以及合規(guī)包中的默認(rèn)規(guī)則。
業(yè)務(wù)背景
云上資源無(wú)限制的開(kāi)啟公網(wǎng)訪問(wèn)會(huì)帶來(lái)較大的安全隱患和管理成本。基于對(duì)公網(wǎng)安全、成本、權(quán)限和監(jiān)控等訴求,通常企業(yè)IT管理團(tuán)隊(duì)會(huì)統(tǒng)一部署安全的公網(wǎng)出口,其他云資源避免開(kāi)通不受限制的公網(wǎng)訪問(wèn),從而降低業(yè)務(wù)潛在的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。此合規(guī)包可以幫助您檢測(cè)不受限制的公網(wǎng)訪問(wèn)的云資源。
應(yīng)用場(chǎng)景
應(yīng)用于有重要業(yè)務(wù)數(shù)據(jù)及服務(wù)托管在云上的企業(yè)。
默認(rèn)規(guī)則
規(guī)則名稱 | 規(guī)則描述 |
Redis實(shí)例未開(kāi)啟公網(wǎng)或安全白名單未設(shè)置為允許任意來(lái)源訪問(wèn) | Redis實(shí)例未開(kāi)公網(wǎng)或安全白名單未設(shè)置為允許任意來(lái)源訪問(wèn),視為“合規(guī)”。Redis實(shí)例存在公網(wǎng)且允許任意來(lái)源訪問(wèn),如果同時(shí)滿足視為“不合規(guī)”。 |
RDS實(shí)例開(kāi)啟公網(wǎng)且白名單設(shè)置為0.0.0.0/0,同時(shí)滿足視為“不合規(guī)”。 | |
檢測(cè)賬號(hào)下PolarDB實(shí)例開(kāi)啟公網(wǎng)且允許任意來(lái)源公網(wǎng)訪問(wèn),同時(shí)滿足視為“不合規(guī)”。 | |
Oceanbase租戶未開(kāi)啟公網(wǎng)或安全白名單未設(shè)置為允許任意來(lái)源訪問(wèn) | 檢測(cè)OceanBase租戶開(kāi)啟公網(wǎng)且允許任意來(lái)源IP訪問(wèn),同時(shí)滿足視為“不合規(guī)”。 |
MongoDB實(shí)例未開(kāi)啟公網(wǎng)或安全白名單未設(shè)置為允許任意來(lái)源訪問(wèn) | 檢測(cè)MongoDB實(shí)例開(kāi)啟公網(wǎng)且允許任意來(lái)源公網(wǎng)訪問(wèn),如果同時(shí)滿足視為“不合規(guī)”。 |
Elasticsearch實(shí)例未開(kāi)啟公網(wǎng)訪問(wèn),或者白名單未設(shè)置為對(duì)所有IP開(kāi)放,視為“合規(guī)”。 | |
表格存儲(chǔ)實(shí)例網(wǎng)絡(luò)類型設(shè)置為限定VPC或控制臺(tái)訪問(wèn) | 表格存儲(chǔ)實(shí)例網(wǎng)絡(luò)類型設(shè)置為限定VPC或控制臺(tái)訪問(wèn),視為”合規(guī)“。 |
MSE集群開(kāi)放公網(wǎng)訪問(wèn)且開(kāi)啟鑒權(quán),或未開(kāi)啟公網(wǎng)訪問(wèn) ,視為合規(guī)。 | |
安全組入方向授權(quán)策略為允許,當(dāng)端口范圍-1/-1和授權(quán)對(duì)象0.0.0.0/0未同時(shí)出現(xiàn),或者被優(yōu)先級(jí)更高的授權(quán)策略拒絕,視為“合規(guī)”。云產(chǎn)品或虛商所使用的安全組,視為“不適用”。 | |
ACK集群未設(shè)置公網(wǎng)連接端點(diǎn),視為“合規(guī)”。 | |
容器鏡像服務(wù)鏡像倉(cāng)庫(kù)類型設(shè)置為私有,視為“合規(guī)”。 | |
檢測(cè)Hbase集群是否開(kāi)啟公網(wǎng),開(kāi)啟視為“不合規(guī)”。 | |
ADB實(shí)例未開(kāi)啟公網(wǎng)訪問(wèn),視為“合規(guī)”。 | |
運(yùn)行中的ECS實(shí)例沒(méi)有直接綁定IPv4公網(wǎng)IP或彈性公網(wǎng)IP,視為“合規(guī)”。 |