セキュリティグループのインバウンド CIDR (Classless Inter-Domain Routing) ブロックが 0.0.0.0/0 に設定されていないか、セキュリティグループのインバウンド CIDR ブロックが 0.0.0.0/0 に設定されているが、指定された高リスクポートが無効になっているかを確認します。セキュリティグループのインバウンド CIDR ブロックが 0.0.0.0/0 に設定されていないか、セキュリティグループのインバウンド CIDR ブロックが 0.0.0.0/0 に設定されているが、指定された高リスクポートが無効になっている場合、構成は準拠していると見なされます。
シナリオ
インターネット経由ですべての CIDR ブロックから Elastic Compute Service (ECS) インスタンスへのアクセスを許可する場合は、すべてのリスクの高いポートを無効にする必要があります。これにより、システムのネットワーク セキュリティが確保されます。
リスク レベル
デフォルトのリスク レベル: 高
このルールを構成するときは、ビジネス要件に基づいてリスク レベルを変更できます。
コンプライアンス評価ロジック
- セキュリティグループのインバウンド CIDR ブロックが 0.0.0.0/0 に設定されていない場合、構成は準拠していると見なされます。
- セキュリティグループのインバウンド CIDR ブロックが 0.0.0.0/0 に設定されているが、指定されたリスクの高いポートが無効になっている場合も、構成は準拠していると見なされます。
- セキュリティグループのインバウンド CIDR ブロックが 0.0.0.0/0 に設定されており、指定されたリスクの高いポートが有効になっている場合、構成は非準拠と見なされます。非準拠の構成を修正する方法の詳細については、「非準拠の修正」をご参照ください。
ルールの詳細
| 項目 | 説明 |
| ルール名 | sg-risky-ports-check |
| ルール ID | sg-risky-ports-check |
| タグ | SecurityGroup |
| 自動修復 | サポートされていません |
| トリガー タイプ | 構成の変更 |
| サポートされているリソース タイプ | ECS セキュリティグループ |
| 入力パラメーター | ports説明 複数のポートはコンマ (,) で区切ります。 |
非準拠の修正
セキュリティグループルールを変更します。詳細については、「セキュリティグループルールの変更」をご参照ください。