セキュリティグループのインバウンドルールの「ポート範囲」パラメーターが、インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合に「すべて」に設定されているかどうかを確認します。そうでない場合、評価結果は「準拠」です。インバウンドルールの「ポート範囲」パラメーターが「すべて」に設定されているが、すべてのポートからのアクセスが優先順位の高いインバウンドルールによって拒否されているかどうかを確認します。その場合、評価結果は「準拠」です。
シナリオ
このルールは、最小権限の原則(PoLP)に基づいてセキュリティグループのルールを構成する必要がある場合に適用されます。これは、ネットワークの露出を減らし、クラウド環境のネットワークセキュリティを確保するのに役立ちます。
リスクレベル
デフォルトのリスクレベル:高。
このルールを適用する場合は、ビジネス要件に基づいてリスクレベルを変更できます。
コンプライアンス評価ロジック
- セキュリティグループのインバウンドルールの「ポート範囲」パラメーターが、インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合に「すべて」に設定されていない場合、評価結果は「準拠」です。インバウンドルールの「ポート範囲」パラメーターが「すべて」に設定されているが、すべてのポートからのアクセスが優先順位の高いインバウンドルールによって拒否されている場合も、評価結果は「準拠」です。
- インバウンドルールの「ポート範囲」パラメーターが「すべて」に設定されているが、すべてのポートからのアクセスが優先順位の高いインバウンドルールによって拒否されていない場合、評価結果は「非準拠」です。非準拠の構成を修正する方法の詳細については、「非準拠の修正」をご参照ください。
- このルールは Elastic Compute Service (ECS)にのみ適用されます。 Cloud Firewall (CFW)や NAT Gateway などの他の Alibaba Cloud サービス、または仮想ネットワーク事業者(VNO)が使用するセキュリティグループには適用されません。説明 マネージドモードで ECS 以外の Alibaba Cloud サービスを使用して作成されたセキュリティグループは、マネージドセキュリティグループと呼ばれます。マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。
ルールの詳細
| 項目 | 説明 |
| ルール名 | ecs-security-group-not-open-all-port |
| ルール ID | ecs-security-group-not-open-all-port |
| タグ | SecurityGroup |
| 自動修復 | サポートされていません |
| トリガータイプ | 構成の変更 |
| サポートされているリソースタイプ | ECS セキュリティグループ |
| 入力パラメーター | なし。 |
非準拠の修正
セキュリティグループルールを変更します。詳細については、「セキュリティグループルールを変更する」をご参照ください。