セキュリティグループのインバウンドルールに 0.0.0.0/0 が含まれていても、指定された高リスクポートが指定されたプロトコルのポート範囲内にない場合、評価結果は「準拠」になります。指定された高リスクポートが指定されたプロトコルのポート範囲内にあるが、セキュリティグループのインバウンドルールに 0.0.0.0/0 が含まれていない場合、評価結果は「準拠」になります。高リスクポートからのアクセスが、優先順位の高いインバウンドルールによって拒否されている場合、評価結果は「準拠」になります。
シナリオ
このルールは、最小権限の原則(PoLP)に基づいてセキュリティグループのルールを構成する必要がある場合に適用されます。これは、ネットワークへの露出を減らし、クラウド環境のネットワークセキュリティを確保するのに役立ちます。
リスクレベル
デフォルトのリスクレベル:高
このルールを適用する際に、ビジネス要件に基づいてリスクレベルを変更できます。
コンプライアンス評価ロジック
- セキュリティグループのインバウンドルールに 0.0.0.0/0 が含まれていても、指定された高リスクポートが指定されたプロトコルのポート範囲内にない場合、評価結果は「準拠」になります。指定された高リスクポートが指定されたプロトコルのポート範囲内にあるが、セキュリティグループのインバウンドルールに 0.0.0.0/0 が含まれていない場合、評価結果は「準拠」になります。高リスクポートからのアクセスが、優先順位の高いインバウンドルールによって拒否されている場合、評価結果は「準拠」になります。
- セキュリティグループのインバウンドルールに 0.0.0.0/0 が含まれていて、指定された高リスクポートが指定されたプロトコルのポート範囲内にある場合、評価結果は「非準拠」になります。非準拠の構成を修正する方法については、このトピックの「非準拠の修正」セクションをご参照ください。
- このルールは、ECS 以外の Alibaba Cloud サービス、または仮想ネットワーク事業者(VNO)が使用するセキュリティグループには適用されません。
ルールの詳細
| 項目 | 説明 |
| ルール名 | ecs-security-group-risky-ports-check-with-protocol |
| ルール ID | ecs-security-group-risky-ports-check-with-protocol |
| タグ | SecurityGroup |
| 自動修復 | サポートされていません |
| トリガータイプ | 構成の変更 |
| サポートされているリソースタイプ | ECS セキュリティグループ |
| 入力パラメーター |
|
非準拠の修正
ECS セキュリティグループのルールを変更して、ルールに高リスクポートが含まれないようにするか、高リスクポートからのアクセスが優先順位の高いインバウンドルールによって拒否されるようにします。詳細については、「セキュリティグループルールを変更する」をご参照ください。