默认安全组关闭出、入方向流量

规则详情

应用场景

如果您未创建任何安全组，那么您在首次使用安全组时，系统会自动为您创建一个默认安全组。详见默认安全组概述。虽然默认安全组提供了基本的网络访问控制，但它们通常配置宽松，无法满足复杂和定制化的安全需求。建议您根据应用需求创建自定义的安全组，明确允许的流量类型和端口，严格遵循最小权限原则。同时禁止默认安全组的出方向流量和入方向流量，防止将资源误配置到默认安全组上，增加资源暴露的风险。

修复项指导

请根据指导修改安全组规则，删除默认安全组中策略为“允许”的安全组规则。

检测逻辑

• VPC安全组非默认安全组，视为“合规”。
• VPC的默认安全组关闭出、入方向的流量，视为“合规”。
• VPC的默认安全组未关闭出、入方向的流量，视为“不合规”。

安全组内一般包含多个安全组规则，流量匹配时生效机制复杂，见流量匹配安全组规则的顺序。Config进行分析时会忽略策略为“拒绝”的安全组规则，而只关心您可能放通了哪些流量。