ECS合规管理最佳实践用于检查云服务器ECS的运行状态、安全设置、防护设置、快照设置的合规性,避免业务中断和成本溢出的风险。本文为您介绍ECS合规管理最佳实践合规包中的默认规则。
规则名称 | 规则描述 |
ECS实例状态不是已停止状态,视为“合规”。 | |
对于预付费资源,需要提前续费,避免出现因费用问题停机。预付费实例到期时间距离检查时间大于设置的天数,视为“合规”。默认值:30天。开启自动续费的实例视为“合规”。后付费资源实例不适用本规则,视为“不适用”。 | |
ECS实例开启释放保护,视为“合规”。 | |
如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。 | |
ECS数据磁盘已开启加密,视为“合规”。 | |
ECS磁盘均已挂载到ECS实例,视为“合规”。 | |
安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 | |
ECS实例在指定的安全组下,视为“合规”。 | |
ECS实例系统镜像在参数设置的范围内,视为“合规”。 | |
云安全中心发现的所有ECS实例的漏洞都已修复,视为“合规”。 | |
账号下所有ECS实例均已安装云安全中心代理,视为“合规”。 | |
ECS实例未因欠费或安全等原因而被锁定,视为“合规”。 | |
弹性伸缩组开启对ECS实例的健康检查,视为“合规”。 | |
ECS磁盘设置了自动快照策略,视为“合规”。 | |
ECS磁盘未因欠费或安全等原因而被锁定,视为“合规”。 | |
设置ECS磁盘释放时保留自动快照,视为“合规”。 | |
ECS自动快照策略设置快照保留天数大于设置的天数,视为“合规”。默认值:7天。 | |
当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 |