默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” vpc-acl-unused-check
安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/
0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有ipv4地址(0.0.0.0/0),视为“不合规” vpc-sg-restricted-ssh
检查CSMS凭据轮转成功 csms CSMS凭据轮转失败,视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-flow-logs-enabled VPC启用流日志
如果告警规则被停用,则无法实时监控资源健康状态: 关键指标监控:通过告警规则监控云服务器(ECS)、云数据库(RDS)、负载均衡(ELB)、存储(OBS)等核心资源的CPU、内存、磁盘、网络流量、连接数等关键指标。
OPS-15 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。
检测逻辑(2025年9月之后评估的资源) “公开”是指请求者无需拥有特定权限或身份验证即可访问桶和桶内数据,存在数据泄露和恶意访问导致大量外网流量的风险。 OBS 桶策略或桶 ACL授权了公开读的访问权限,视为"不合规"。
检测逻辑(2025年9月之后评估的资源) “公开”是指请求者无需拥有特定权限或身份验证即可访问桶和桶内数据,存在数据泄露和恶意访问导致大量外网流量的风险。 OBS 桶策略或桶 ACL授权了公开写的访问权限,视为"不合规"。
给指定资源类型绑定相关的告警规则,可以实时监控资源健康状态: 关键指标监控:通过告警规则监控云服务器(ECS)、云数据库(RDS)、负载均衡(ELB)、存储(OBS)等核心资源的CPU、内存、磁盘、网络流量、连接数等关键指标。
成本增加:多张网卡通常会增加云服务费用,尤其是按流量或带宽计费时。如果多张网卡未充分利用,可能导致资源浪费,增加不必要的成本。 修复项指导 请确认您的业务是否需要使用到多个弹性公网IP,如确实不需要,则解绑弹性公网IP。
vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” C.CS.FOUNDATION.G_5_1.R_2 禁用匿名访问 obs-bucket-policy-not-more-permissive OBS桶策略授权约束
弹性公网IP未进行任何绑定 统一网络架构 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 统一网络架构 vpc-acl-unused-check 未与子网关联的网络ACL 统一网络架构 vpc-sg-restricted-ssh 安全组入站流量限制
安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0),视为“不合规” 12.2 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22
vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。
配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups
R_13 确保任何单个 IAM 用户仅有一个可用的活动访问密钥 iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” C.CS.FOUNDATION.G_2.R_5 启用 VPC 流量日志功能
vpc-flow-logs-enabled VPC流日志提供了虚拟私有云的流量信息的详细记录。 2.8.1 应保存适当和最新的资料记录,可供金管局检查。
