インターネットアクセスに関するベストプラクティス - Cloud Config

このトピックでは、BestPracticeForInternetAccessResourceDetection コンプライアンスパッケージテンプレートの背景情報、シナリオ、およびデフォルトルールについて説明します。

背景情報

Alibaba Cloud リソースのインターネットアクセスを有効にする際に制限を設定しないと、セキュリティリスクが高まり、管理コストが増加する可能性があります。インターネットセキュリティ、コスト、権限、および監視の要件を満たすために、企業の IT 管理チームは、常にセキュアなインターネットエグレスを集中管理方式で展開します。これにより、制限が設定されていない Alibaba Cloud リソースに対してインターネットアクセスが有効になるのを防ぎます。このようにして、サイバー攻撃やデータ漏洩によって発生する可能性のあるセキュリティリスクを軽減できます。テンプレートから作成されたコンプライアンスパッケージを使用して、制限が設定されていない場合に、クラウドリソースに対してインターネットアクセスが有効になっているかどうかを確認できます。

シナリオ

このテンプレートは、企業が Alibaba Cloud によって管理される重要なビジネスデータとサービスを持っている場合に適用されます。

デフォルトルール

ルール名	説明
ApsaraDB for Redis インスタンスのインターネットアクセス機能が無効になっているか、すべての CIDR ブロックがホワイトリストに追加されていない。	各 ApsaraDB for Redis インスタンスのインターネットアクセスが有効になっているかどうか、およびすべての CIDR ブロックがインスタンスの IP ホワイトリストに追加されているかどうかを確認します。有効になっていない場合、またはすべての CIDR ブロックが追加されていない場合、評価結果は「準拠」です。有効になっている場合、評価結果は「非準拠」です。
rds-public-and-any-ip-access-check	各 ApsaraDB RDS インスタンスのインターネットアクセスが有効になっており、0.0.0.0/0 CIDR ブロックがホワイトリストに追加されているかどうかを確認します。追加されている場合、評価結果は「非準拠」です。
polardb-public-and-any-ip-access-check	各 PolarDB インスタンスのインターネットアクセスが有効になっており、すべてのインターネットアクセスが許可されているかどうかを確認します。許可されている場合、評価結果は「非準拠」です。
oceanbase-public-and-any-ip-access-check	各 PolarDB インスタンスのインターネットアクセスが有効になっており、任意の IP アドレスからのアクセスが許可されているかどうかを確認します。許可されている場合、評価結果は「非準拠」です。
mongodb-public-and-any-ip-access-check	各 ApsaraDB for MongoDB インスタンスのインターネットアクセスが有効になっており、すべてのインターネットアクセスが許可されているかどうかを確認します。許可されている場合、評価結果は「非準拠」です。
elasticsearch-public-and-any-ip-access-check	各 Elasticsearch クラスタのインターネットアクセスが有効になっており、すべてのインターネットアクセスが許可されているかどうかを確認します。許可されている場合、評価結果は「非準拠」です。
ots-instance-network-not-normal	各 Tablestore インスタンスのネットワークタイプが VPC またはコンソールアクセスに設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。
mse-cluster-config-auth-enabled	各 MSE クラスタがインターネットからのアクセスを許可し、認証が有効になっているか、またはインターネットからのアクセスを拒否しているかどうかを確認します。許可し認証が有効になっているか、またはインターネットからのアクセスを拒否している場合、評価結果は「準拠」です。
sg-public-access-check	各セキュリティグループのインバウンド権限付与ポリシーが「許可」に設定されており、ポート範囲が -1/-1 に設定されているか、または承認済み IP アドレスが 0.0.0.0/0 に設定されているか、または優先順位の高い権限付与ポリシーが設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワークオペレーターによって使用されている場合、評価結果は「該当なし」です。
ack-cluster-public-endpoint-check	各 Container Service for Kubernetes クラスタにパブリックエンドポイントが指定されているかどうかを確認します。指定されていない場合、評価結果は「準拠」です。
cr-repository-type-private	コンテナレジストリイメージリポジトリのタイプが「非公開」であるかどうかを確認します。「非公開」の場合、評価結果は「準拠」です。
ApsaraDB for HBase クラスタのインターネットアクセスが無効になっている。	ApsaraDB for HBase クラスタのインターネットアクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。
adb-public-access-check	各 AnalyticDB インスタンスのインターネットアクセスが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。
ecs-running-instance-no-public-ip	実行中の ECS インスタンスにパブリック IPv4 アドレスまたは Elastic IP アドレスが割り当てられていないかどうかを確認します。割り当てられていない場合、評価結果は「準拠」です。