プロトコル付きセキュリティグループのリスクポートチェック
ID: rule:aliyun:ecs-security-group-risky-ports-check-with-protocol
重大度: high
IaC タイプ: ROS, Terraform
説明
セキュリティグループのイングレスソースが 0.0.0.0/0 に設定されている場合、ブルートフォース攻撃のリスクを低減するために、指定されたプロトコル(TCP/UDP)のポート範囲にリスクポート(22、3389)を含めるべきではありません。
違反の理由
セキュリティグループがすべてのソース(0.0.0.0/0)からのリスクポート(SSH:22、RDP:3389)へのアクセスを許可しているため、ブルートフォースパスワード攻撃のリスクが増加します。
推奨事項
ソース CIDR を 0.0.0.0/0 ではなく、特定の信頼できる IP 範囲に制限することで、ポート 22(SSH)と 3389(RDP)へのアクセスを制限します。
リソースタイプ
- ROS:
ALIYUN::ECS::SecurityGroup - ROS:
ALIYUN::ECS::SecurityGroupIngress - ROS:
ALIYUN::ECS::SecurityGroupIngresses - Terraform:
alicloud_security_group - Terraform:
alicloud_security_group_rule - Terraform:
alicloud_security_group_rules
このドキュメントはポリシーメタデータから自動生成されます。