安全组指定协议不允许对全部网段开启风险端口
ID: rule:aliyun:ecs-security-group-risky-ports-check-with-protocol
严重程度: high
描述
当安全组入网网段设置为 0.0.0.0/0 时,指定协议的端口范围不包含指定风险端口,降低服务器登录密码被暴力破解风险,视为合规。默认检测风险端口为 22、3389。
违规原因
安全组允许从所有来源(0.0.0.0/0)访问风险端口(SSH:22、RDP:3389),增加了暴力破解密码的风险。
建议
限制对端口 22(SSH)和 3389(RDP)的访问,将来源 CIDR 限制为特定的可信 IP 范围,而不是 0.0.0.0/0。
资源类型
ALIYUN::ECS::SecurityGroupALIYUN::ECS::SecurityGroupIngressALIYUN::ECS::SecurityGroupIngresses
此文档由策略元数据自动生成。