网络和内容交付服务运营最佳实践
该示例模板中对应的合规规则的说明如下表所示:
合规规则 | 规则中文名称 | 涉及云服务 | 规则描述 |
|---|---|---|---|
apig-instances-execution-logging-enabled | APIG专享版实例配置访问日志 | apig | APIG专享版实例未配置访问日志,视为“不合规” |
apig-instances-ssl-enabled | APIG专享版实例域名均关联SSL证书 | apig | APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” |
as-group-elb-healthcheck-required | 弹性伸缩组使用弹性负载均衡健康检查 | as | 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” |
elb-tls-https-listeners-only | ELB监听器配置HTTPS监听协议 | elb | 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
vpc-sg-restricted-ssh | 安全组入站流量限制SSH端口 | vpc | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” |
ecs-instance-in-vpc | ECS资源属于指定虚拟私有云ID | ecs, vpc | 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
private-nat-gateway-authorized-vpc-only | NAT私网网关绑定指定VPC资源 | nat | NAT私网网关未与指定的VPC资源绑定,视为“不合规” |
vpc-sg-restricted-common-ports | 安全组入站流量限制指定端口 | vpc | 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” |
vpc-default-sg-closed | 默认安全组关闭出、入方向流量 | vpc | 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” |
vpc-flow-logs-enabled | VPC启用流日志 | vpc | 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
vpc-acl-unused-check | 未与子网关联的网络ACL | vpc | 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” |
vpc-sg-ports-check | 安全组端口检查 | vpc | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规” |
vpn-connections-active | VPN连接状态为“正常” | vpnaas | VPN连接状态不为“正常”,视为“不合规” |
