更新时间:2025-08-25 GMT+08:00

安全组非白名单端口检查

规则详情

表1 规则详情

参数

说明

规则名称

vpc-sg-by-white-list-ports-check

规则展示名

安全组非白名单端口检查

规则描述

除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规”。

标签

vpc

规则触发方式

配置变更

规则评估的资源类型

vpc.securityGroups

规则参数

whiteListPorts:白名单端口列表。

应用场景

检查安全组的端口是公有云安全管理中至关重要的环节,其核心目的是确保网络流量的安全性和可控性。开放的端口是外部攻击的主要入口。例如,暴露不必要的端口(如未加密的HTTP端口80、数据库默认端口3306/27017),遭受黑客扫描和入侵。

修复项指导

请根据指导修改安全组规则,避免暴露不必要的端口。

检测逻辑

  • 安全组入方向规则和出方向规则均不放通所有白名单端口以外端口的流量,视为“合规”。
  • 安全组入方向规则或出方向规则放通任意白名单端口以外端口的流量,视为“不合规”。

安全组内一般包含多个安全组规则,流量匹配时生效机制复杂,见流量匹配安全组规则的顺序。Config进行分析时会忽略策略为“拒绝”的安全组规则,而只关心您可能放通了哪些流量。