セキュリティグループの各インバウンドルールで、インバウンドルールの承認オブジェクトパラメーターが 0.0.0.0/0 に設定されている場合、指定された範囲のポートからのアクセスのみが許可されているかどうかを確認します。許可されている場合、評価結果は「準拠」になります。
シナリオ
このルールは、最小権限の原則(PoLP)に基づいてセキュリティグループのルールを構成する必要がある場合に適用されます。これは、ネットワークへの露出を減らし、クラウド環境のネットワークセキュリティを確保するのに役立ちます。
リスクレベル
デフォルトのリスクレベル:高。
このルールを適用する場合は、ビジネス要件に基づいてリスクレベルを変更できます。
コンプライアンス評価ロジック
- セキュリティグループの各インバウンドルールで、インバウンドルールの承認オブジェクトパラメーターが 0.0.0.0/0 に設定されている場合、指定された範囲のポートからのアクセスのみが許可されている場合、評価結果は「準拠」になります。
- インバウンドルールの承認オブジェクトパラメーターが 0.0.0.0/0 に設定されている場合、指定された範囲外のポートからのアクセスが許可されている場合、評価結果は「非準拠」になります。非準拠の構成を修正する方法については、「非準拠の修正」をご参照ください。
- このルールは Elastic Compute Service (ECS)にのみ適用されます。 Cloud Firewall (CFW)や NAT ゲートウェイなどの他の Alibaba Cloud サービス、または仮想ネットワーク事業者(VNO)が使用するセキュリティグループには適用されません。説明 マネージドモードで ECS 以外の Alibaba Cloud サービスを使用して作成されたセキュリティグループは、マネージドセキュリティグループと呼ばれます。マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。
ルールの詳細
| 項目 | 説明 |
| ルール名 | ecs-security-group-white-list-port-check |
| ルール ID | ecs-security-group-white-list-port-check |
| タグ | SecurityGroup |
| 自動修復 | サポートされていません |
| トリガータイプ | 構成の変更 |
| サポートされているリソースタイプ | ECS セキュリティグループ |
| 入力パラメーター | ports説明 複数の値はカンマ(,)で区切ります。 |
非準拠の修正
セキュリティグループルールを変更します。詳細については、「セキュリティグループルールを変更する」をご参照ください。