网络和内容交付服务运营最佳实践
该示例模板中对应的合规规则的说明如下表所示:
|
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
|---|---|---|---|
|
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
apig |
APIG专享版实例未配置访问日志,视为“不合规” |
|
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
apig |
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” |
|
as-group-elb-healthcheck-required |
弹性伸缩组使用弹性负载均衡健康检查 |
as |
与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” |
|
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
|
vpc-sg-restricted-ssh |
安全组入站流量限制SSH端口 |
vpc |
当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” |
|
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
ecs, vpc |
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
|
private-nat-gateway-authorized-vpc-only |
NAT私网网关绑定指定VPC资源 |
nat |
NAT私网网关未与指定的VPC资源绑定,视为“不合规” |
|
vpc-sg-restricted-common-ports |
安全组入站流量限制指定端口 |
vpc |
当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” |
|
vpc-default-sg-closed |
默认安全组关闭出、入方向流量 |
vpc |
虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” |
|
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
|
vpc-acl-unused-check |
未与子网关联的网络ACL |
vpc |
检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” |
|
vpc-sg-ports-check |
安全组端口检查 |
vpc |
当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规” |
|
vpn-connections-active |
VPN连接状态为“正常” |
vpnaas |
VPN连接状态不为“正常”,视为“不合规” |
