安全云脑 SECMASTER-内置检查项:华为云安全配置基线—网络

时间:2024-11-19 19:07:17

华为 云安全 配置基线—网络

表32 网络风险项检查项

检查子项目

检查项目

确保限制SSH的Internet公网访问

SSH协议多作用于远程连接并管理主机,默认端口为22,在网络攻击中经常作为资源扫描和暴力破解的入口。

配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的SSH协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。

确保安全组不允许源地址0.0.0.0/0访问远程管理端口及高危端口

配置VPC安全组规则时,建议在安全组入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。

源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。

高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。

远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。

确保子网ACL不允许源地址0.0.0.0/0访问远程管理端口及高危端口

配置VPC子网的网络ACL规则时,建议在网络ACL入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。

源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。

高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。

远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。

确保限制RDP的Internet公网访问

RDP协议作用于远程桌面连接并管理主机,默认端口为3389,在网络攻击中经常作为资源扫描和暴力破解的入口。配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的RDP协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。

启用ELB监听器的访问控制

ELB负载均衡 器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。

访问流量的IP先通过白名单或黑名单访问控制,然后负载均衡转发流量,通过安全组安全规则限制,所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。

访问控制只限制实际业务的流量转发,不限制ping命令操作,被限制的IP仍可以ping通后端服务器。

对于共享型负载均衡实例来说,需要创建监听器并添加后端云服务器,才可以ping通。

对于独享型负载均衡实例来说,创建完监听器,不需要添加后端云服务器,即可以ping通。

确保VPC对等连接满足最小化访问控制

对等连接是指两个VPC之间的网络连接,对于对等连接的路由应该满足最小访问权限原则。

建议本端路由的目的地址最好限定在最小子网网段内,对端路由的目的地址最好限定在最小子网网段内。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0021.html