全部產品
Search
文件中心

Cloud Governance Center:統一配置防護規則

更新時間:Oct 24, 2024

您可以在雲治理中心統一配置和開啟配置審計的防護規則,保證雲治理中心建立的資源結構和基礎配置不被修改,同時保證多帳號環境的安全性。

防護規則初始化

  1. 登入雲治理中心控制台

  2. 在左側導覽列,選擇Landing Zone > Landing Zone搭建

  3. 選擇藍圖,然後單擊搭建

    本文以標準藍圖為例。

  4. 配置藍圖頁面的已添加搭建項地區,單擊防護規則

  5. 選擇需要開啟的防護規則。

    必選規則會預設選中,您可以選擇推薦或可選規則。

管理防護規則

防護規則初始化成功後,您可以管理防護規則。包括查看規則詳情、查看資源合規結果、開啟或關閉推薦規則和可選規則的開關。

  1. 登入雲治理中心控制台

  2. 在左側導覽列,選擇多帳號管理 > 防護規則

  3. 概覽地區,查看發現風險規則已開啟規則未開啟規則最近修改時間

  4. 全部頁簽,單擊目標防護規則名稱,管理防護規則。

    • 規則詳情頁簽,查看規則詳情。同時,您可以開啟或關閉推薦規則和可選規則的開關。

    • 檢測結果頁簽,查看資源的合規結果。

防護規則列表

根據最佳實務的指導,您可以根據情況開啟以下三類規則:

  • 必選規則:基礎防護類規則,強制開啟。開啟後,您不能自行關閉。

  • 推薦規則:安全合規類規則,推薦開啟。您可以選擇需要開啟的規則,開啟後,您可以自行關閉。

  • 可選規則:您可以根據實際情況選擇需要開啟的規則。開啟後,您可以自行關閉。

規則名稱

規則說明

作用節點

開啟指導

雲治理中心指定儲存審計日誌的OSS儲存空間未開啟公用讀寫

雲治理中心指定儲存審計日誌的OSS儲存空間,ACL策略禁止公用讀寫,視為“合規”。

日誌帳號

必選

雲治理中心指定儲存審計日誌的OSS儲存空間開啟服務端加密

雲治理中心指定儲存審計日誌的OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。

日誌帳號

必選

雲治理中心用於提供服務的指定角色存在

根據名稱檢查雲治理中心用於提供服務的指定角色存在,視為“合規”。

日誌帳號

可選

禁止刪除儲存審計日誌的OSS儲存空間

禁止刪除日誌帳號中由雲治理中心建立的,用來儲存審計日誌的OSS儲存空間。

Core檔案夾

必選

禁止修改儲存審計日誌的OSS儲存空間加密配置

對於日誌帳號中由雲治理中心建立的,用來儲存審計日誌的OSS儲存空間,禁止修改其加密配置。

Core檔案夾

必選

禁止修改儲存審計日誌的OSS儲存空間生命週期

對於日誌帳號中由雲治理中心建立的,用來儲存審計日誌的OSS儲存空間,禁止修改其生命週期配置。

Core檔案夾

必選

禁止修改雲治理中心用於提供服務的指定角色

禁止修改雲治理中心用於提供服務的指定角色。

Core檔案夾

必選

禁止停用配置審計功能

開啟配置審計,用以進行資源與合規審計。

Core檔案夾

必選

資來源目錄內所有雲帳號不存在AccessKey

資來源目錄內所有雲帳號不存在任何狀態的AccessKey,視為“合規”。

資來源目錄全域

推薦

資來源目錄內所有雲帳號開啟MFA認證

資來源目錄內所有雲帳號開啟MFA認證,視為“合規”。

資來源目錄全域

推薦

所有ECS資料磁碟開啟加密

所有ECS資料磁碟已開啟加密,視為“合規”。

資來源目錄全域

推薦

安全性群組不允許對全部網段開啟風險連接埠

當安全性群組入網網段設定為0.0.0.0/0時,且已關閉連接埠22或3389,視為“合規”。

資來源目錄全域

推薦

安全性群組入網設定有效

安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現時,視為“合規”。

資來源目錄全域

推薦

所有OSS儲存空間未開啟公用讀寫

所有OSS儲存空間,ACL策略禁止公用讀寫,視為“合規”。

資來源目錄全域

推薦

RDS執行個體開啟TDE加密

RDS執行個體的資料安全性設定開啟TDE加密,視為“合規”。

資來源目錄全域

推薦

使用專用網路類型的RDS執行個體

如果未指定參數,則檢查RDS執行個體的網路類型為專用網路;如果指定參數,則檢查RDS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個規格用半形逗號(,)分隔。

資來源目錄全域

推薦

RDS白名單未設定為全網段

RDS執行個體的IP白名單未設定為0.0.0.0/0,視為“合規”。

資來源目錄全域

推薦

OSS儲存空間開啟日誌轉存

OSS儲存空間的日誌管理中開啟日誌轉存,視為“合規”。

資來源目錄全域

可選

RAM使用者密碼策略符合要求

RAM使用者密碼策略中各項配置符合存取控制的配置,視為“合規”。

資來源目錄全域

推薦

RAM使用者不存在閑置AccessKey

RAM使用者AccessKey的最後使用時間小於參數設定的時間,視為“合規”。預設值:90天。

資來源目錄全域

推薦

ECS執行個體開啟釋放保護

ECS執行個體開啟釋放保護,視為“合規”。

資來源目錄全域

推薦

SLB執行個體開啟釋放保護

SLB執行個體開啟釋放保護,視為“合規”。

資來源目錄全域

推薦

所有OSS儲存空間開啟服務端加密

OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。

資來源目錄全域

可選

RAM使用者開啟MFA認證

RAM使用者開啟MFA,視為“合規”。

資來源目錄全域

可選

資源必須具備指定標籤中的至少一項

參數可指定一個標籤的多種取值,資源具備其中一種取值,視為“合規”。

資來源目錄全域

可選

資源必須具備所有指定標籤

最多可定義6組標籤,資源需同時具有指定的所有標籤,視為“合規”。

資來源目錄全域

可選

RAM使用者在指定時間內有登入行為

如果RAM使用者在最近90天有登入行為,視為“合規”;如果RAM使用者的最近登入時間為空白,則檢查更新時間,當更新時間小於等於90天時,視為“合規”。未開啟控制台訪問的使用者視為“不適用”。

資來源目錄全域

可選

SLB開啟HTTPS監聽

SLB開啟HTTPS監聽80/8080連接埠,視為“合規”。

資來源目錄全域

可選

資源歸屬指定地區範圍

資源歸屬於參數指定的地區範圍,視為“合規”。

資來源目錄全域

可選

WAF執行個體開啟日誌採集

已接入WAF進行防護的網域名稱均開啟日誌採集,視為“合規”。

資來源目錄全域

可選

VPC開啟流日誌記錄

VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。

資來源目錄全域

可選

API Gateway中API分組綁定網域名稱接入WAF

API Gateway中的API分組綁定自訂網域名且網域名稱接入了WAF防護,視為“合規”。

資來源目錄全域

可選

WAF防護網域名稱開啟指定防護功能

WAF防護網域名稱開啟指定防護功能模組,視為“合規”。

資來源目錄全域

可選

安全性群組指定協議不允許對全部網段開啟風險連接埠

當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。

資來源目錄全域

可選

安全性群組非白名單連接埠入網設定有效

除指定的白名單連接埠外,其餘連接埠不能有授權原則設定為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。

資來源目錄全域

可選

OSS公開儲存空間設定權限原則且不能為匿名帳號授予任何許可權

為讀寫權限公開的OSS Bucket設定授權策略,並且授權策略中不能為匿名帳號授予任何讀寫的操作許可權,視為“合規”。讀寫權限為私人的OSS Bucket視為“不適用”。

資來源目錄全域

可選

ECS執行個體禁止綁定公網地址

ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。

資來源目錄全域

可選

RDS執行個體未開公網或IP白名單未設定為全網段

RDS執行個體開啟公網且白名單設定為0.0.0.0/0,同時滿足視為“不合規”。

資來源目錄全域

可選

PolarDB執行個體未開啟公網或IP白名單未設定為全網段

檢測帳號下PolarDB執行個體開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。

資來源目錄全域

可選

Cloud Firewall中不存在未開啟防護的資產

Cloud Firewall中不存在未開啟防護的資產,視為“合規”。本規則只對Cloud Firewall付費使用者有效,未開通Cloud Firewall或者免費使用者預設視為“合規”。

資來源目錄全域

可選

運行中的ECS執行個體開啟Security Center防護

通過在主機上安裝Security Center外掛程式,提供主機的安全防護服務。如果有安裝Security Center外掛程式則視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。

資來源目錄全域

可選

使用Security Center企業版

使用Security Center企業版或者更進階別的版本,視為“合規”。

資來源目錄全域

可選

運行中的ECS執行個體無待修複漏洞

ECS執行個體在Security Center無指定類型和等級的待修複漏洞,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。

資來源目錄全域

可選

RDS執行個體開啟SQL審計

RDS執行個體的SQL審計狀態為開啟,視為“合規”。

資來源目錄全域

可選

開啟Action Trail全量日誌跟蹤

Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員帳號,當管理員有建立應用到所有成員帳號的跟蹤時,視為“合規”。

資來源目錄全域

可選

RDS執行個體SQL審計日誌保留天數滿足指定要求

RDS MySQL類型執行個體開啟SQL審計且日誌保留天數大於等於指定值,視為“合規”。預設值:180天。

資來源目錄全域

可選

ECS自動快照保留天數滿足指定要求

ECS自動快照原則設定快照保留天數大於設定的天數,視為“合規”。預設值:7天。

資來源目錄全域

可選

PolarDB叢集的資料一級備份保留周期滿足指定要求

PolarDB叢集一級備份保留周期大於等於指定天數,視為“合規”。參數預設值7天。

資來源目錄全域

可選

PolarDB叢集開啟TDE

PolarDB叢集開啟TDE,視為“合規”。

資來源目錄全域

可選

Key Management Service設定憑據自動輪轉

Key Management Service中的憑據設定自動輪轉,視為“合規”。

資來源目錄全域

可選

Key Management Service設定主要金鑰自動輪轉

對Key Management Service中的使用者主要金鑰設定自動輪轉,視為“合規”。

資來源目錄全域

可選

KMS主要金鑰開啟刪除保護

KMS主要金鑰開啟刪除保護,視為“合規”。

資來源目錄全域

可選

OSS儲存空間使用自訂KMS祕密金鑰加密

OSS儲存空間使用了自訂的KMS祕密金鑰加密,視為“合規”。

資來源目錄全域

可選

RDS執行個體使用自訂密鑰開啟TDE

RDS執行個體使用自訂密鑰開啟TDE,視為“合規”。

資來源目錄全域

可選

Redis執行個體使用自訂密鑰開啟TDE加密

Redis執行個體使用自訂密鑰開啟TDE加密,視為“合規”。

資來源目錄全域

可選

CDN網域名稱開啟HTTPS加密

CDN網域名稱開啟HTTPS協議加密,視為“合規”。

資來源目錄全域

可選

API Gateway中開啟公網訪問的API請求方式為HTTPS

API Gateway中開啟公網訪問的API請求方式設定為HTTPS,視為“合規”。只限制內網調用的API不適用此規則,視為“不適用”。

資來源目錄全域

可選

Elasticsearch執行個體使用HTTPS傳輸協議

Elasticsearch執行個體使用HTTPS傳輸協議,視為“合規”。

資來源目錄全域

可選

OSS儲存空間權限原則設定安全訪問

OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間視為“不適用”。

資來源目錄全域

可選

SLB執行個體的HTTPS監聽使用指定的安全性原則套件

SLB執行個體的所有HTTPS類型監聽使用參數指定的安全性原則套件版本,視為“合規”。未設定HTTPS類型監聽的SLB執行個體,視為“不適用”。

資來源目錄全域

可選

Function Compute函數綁定到自訂網域名且開啟TLS指定版本

Function Compute函數綁定到自訂網域名且開啟TLS指定版本,視為“合規”。

資來源目錄全域

可選

帳號下所有ECS執行個體已安裝Security Center代理

帳號下所有ECS執行個體均已安裝Security Center代理,視為“合規”。

資來源目錄全域

可選

在Security Center設定指定等級的漏洞掃描

在Security Center設定指定風險等級的漏洞掃描,視為“合規”。

資來源目錄全域

可選

Security Center通知專案已設定通知方式

Security Center通知專案均已設定通知方式,視為“合規”。

資來源目錄全域

可選

為RDS執行個體設定合理的可維護時間段

RDS執行個體的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。

資來源目錄全域

可選

為PolarDB叢集設定合理的維護時間段

PolarDB叢集的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。

資來源目錄全域

可選

RAM使用者及所屬使用者組未綁定指定條件的權限原則

RAM使用者未綁定符合參數條件的權限原則,包括繼承自使用者組的許可權,視為“合規”。參數預設值表示管理員的許可權配置,表示擁有管理員權限視為“不合規”。

資來源目錄全域

可選

不存在超級管理員

RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。

資來源目錄全域

可選

RAM使用者的AccessKey在指定時間內輪換

RAM使用者下AccessKey的建立時間距離檢查時間不超過指定天數,視為“合規”。預設值:90天。

資來源目錄全域

可選

RAM使用者歸屬使用者組

所有RAM使用者均歸屬於RAM使用者組,視為“合規”。

資來源目錄全域

可選

RAM使用者訪問設定人員和程式分離

RAM使用者未同時開啟控制台訪問和API調用訪問,視為“合規”。

資來源目錄全域

可選

RAM使用者開啟SSO

RAM使用者開啟SSO,視為“合規”。

資來源目錄全域

可選

不存在閑置的RAM權限原則

RAM權限原則至少綁定一個RAM使用者組、RAM角色或RAM使用者,視為“合規”。

資來源目錄全域

可選

RAM使用者組非空

RAM使用者組至少包含一個RAM使用者,視為“合規”。

資來源目錄全域

可選

Security Center未發現已泄露的AccessKey

Security Center未發現已泄露的AccessKey資訊,視為“合規”。

資來源目錄全域

可選

PolarDB叢集開啟SQL審計

PolarDB叢集SQL審計狀態為開啟,視為“合規”。

資來源目錄全域

可選

RDS執行個體開啟記錄備份

如果沒有開啟記錄備份,當本地日誌丟失會出現無法恢複資料的風險。如果RDS執行個體開啟記錄備份則視為"合規"。

資來源目錄全域

可選

為NAS檔案系統建立備份計劃

為NAS檔案系統建立備份計劃,視為“合規”。

資來源目錄全域

可選

PolarDB叢集記錄備份保留周期滿足指定要求

PolarDB叢集記錄備份保留周期大於等於指定天數,視為“合規”。參數預設值30天。未開啟記錄備份或備份保留周期小於指定天數視為“不合規”。

資來源目錄全域

可選

OSS儲存空間開啟同城冗餘儲存

如果沒有開啟同城冗餘儲存,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響資料恢複目標。OSS儲存空間開啟同城冗餘儲存,視為“合規”。

資來源目錄全域

可選

Log Service日誌庫設定資料加密

Log Service日誌庫設定了資料加密,視為“合規”。

資來源目錄全域

可選

RDS執行個體開啟歷史事件

RDS執行個體開啟歷史事件記錄,視為“合規”。

資來源目錄全域

可選

PolarDB叢集預設時區參數值非SYSTEM

PolarDB叢集參數default_time_zone不等於SYSTEM,視為“合規”。建議指定為明確的時區設定,保障資料庫時區配置一致。

資來源目錄全域

可選

ECS執行個體使用指定版本的作業系統

企業可以規範企業內部的OS版本,要求生產環境的主機都必須統一作業系統版本。同時對於那些官方停止維護的作業系統需要及時升級,以免出現安全性漏洞。ECS執行個體使用的作業系統英文名稱在指定的白名單範圍中,或者作業系統英文名稱不在指定的黑名單範圍中,視為“合規”。

資來源目錄全域

可選

運行中的ECS執行個體安裝了CloudMonitor外掛程式

運行中的ECS執行個體安裝CloudMonitor外掛程式而且外掛程式狀態為運行中,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。

資來源目錄全域

可選

為指定雲產品設定CloudMonitor警示規則

在CloudMonitor為指定命名空間的雲端服務設定了至少一條警示規則,視為“合規”。

資來源目錄全域

可選

RDS執行個體開啟雲端硬碟加密

RDS執行個體開啟了雲端硬碟加密,視為“合規”。

資來源目錄全域

可選

使用中的ECS資料磁碟開啟加密

使用中的ECS資料磁碟已開啟加密,視為“合規”。

資來源目錄全域

可選

待掛載的ECS資料磁碟開啟加密

待掛載的ECS資料磁碟已開啟加密,視為“合規”。

資來源目錄全域

可選

使用專用網路類型的ECS執行個體

如果未指定參數,則檢查ECS執行個體的網路類型為專用網路;如果指定參數,則檢查ECS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個參數值用半形逗號(,)分隔。

資來源目錄全域

可選

不直接授權給RAM使用者

RAM使用者沒有直接綁定權限原則,視為“合規”。推薦RAM使用者從RAM組或角色繼承許可權。

資來源目錄全域

可選

PostgreSQL資料庫參數log_connections設定為on

RDS執行個體PostgreSQL類型資料庫參數log_connections設定為on,視為“合規”。

資來源目錄全域

可選

PostgreSQL資料庫參數log_disconnections設定為on

RDS執行個體PostgreSQL類型資料庫參數log_disconnections設定為on,視為“合規”。

資來源目錄全域

可選

PostgreSQL資料庫參數log_duration設定為on

RDS執行個體PostgreSQL類型資料庫參數log_duration設定為on,視為“合規”。

資來源目錄全域

可選

OSS儲存空間授權原則設定IP限制

OSS Bucket讀寫權限設定為私人,或者授權策略中包含只允許特定IP訪問的策略,視為“合規”。

資來源目錄全域

可選

OSS儲存空間ACL禁止公用讀取

OSS儲存空間的ACL策略禁止公用讀取,視為“合規”。

資來源目錄全域

可選

帳號下所有ECS執行個體已安裝Security Center代理

帳號下所有ECS執行個體均已安裝Security Center代理,視為“合規”。

資來源目錄全域

可選

VPC自訂網段已設定路由

VPC自訂網段在關聯路由表中存在至少一條網段內IP的路由資訊,視為“合規”。

資來源目錄全域

可選

RDS執行個體使用SSL認證

RDS執行個體的資料安全性設定開啟SSL認證,視為“合規”。

資來源目錄全域

可選

ACK叢集使用Terway網路外掛程式

ACK叢集使用Terway網路外掛程式,視為“合規”。

資來源目錄全域

可選

ACK叢集未設定公網串連端點

ACK叢集未設定公網串連端點,視為“合規”。

資來源目錄全域

可選

ACK叢集節點安裝CloudMonitor外掛程式

ACK叢集節點均已安裝CloudMonitor外掛程式,且外掛程式運行狀態正常,視為“合規”。

資來源目錄全域

可選

Action Trail跟蹤狀態為開啟

Action Trail跟蹤狀態為開啟,視為“合規”。

資來源目錄全域

可選

使用高可用的RDS執行個體

使用的RDS執行個體為高可用版,視為“合規”。建議使用高可用版RDS執行個體,謹慎使用穩定性較差的基礎版。

資來源目錄全域

可選

使用多可用性區域的RDS執行個體

RDS執行個體為多可用性區域執行個體,視為“合規”。

資來源目錄全域

可選

RDS執行個體正確開啟安全白名單

RDS執行個體已開啟安全白名單,且安全白名單中不包含0.0.0.0/0,視為“合規”。

資來源目錄全域

可選

使用專用網路類型的Redis執行個體

如果指定參數,則檢查Redis執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查Redis執行個體的網路類型為專用網路,視為“合規”。

資來源目錄全域

可選

Redis執行個體IP白名單不設定為全網段

Redis執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。

資來源目錄全域

可選

使用專用網路類型的MongoDB執行個體

如果指定參數,則檢查MongoDB執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查MongoDB執行個體的網路類型為專用網路,視為“合規”。

資來源目錄全域

可選

MongoDB執行個體IP白名單禁止設定為全網段

MongoDB執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。

資來源目錄全域

可選

推薦使用專用網路類型的PolarDB執行個體

如果指定參數,則檢查PolarDB執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查PolarDB執行個體的網路類型為專用網路,視為“合規”。

資來源目錄全域

可選

使用資料庫代理模式訪問SQL Server

RDS執行個體SQL Server類型資料庫的訪問模式為代理模式,視為“合規”。

資來源目錄全域

可選

SLB存取控制清單不允許配置所有位址區段

SLB存取控制清單中不包含0.0.0.0/0條目,視為“合規”。

資來源目錄全域

可選

彈性IP執行個體頻寬滿足最低要求

彈性IP執行個體可用頻寬大於等於指定參數值,視為“合規”。預設值:10 MB。

資來源目錄全域

可選

SLB執行個體滿足指定頻寬要求

SLB執行個體可用頻寬大於等於指定參數值,視為“合規”。預設值:10 MB。

資來源目錄全域

可選

PolarDB執行個體IP白名單禁止設定為全網段

PolarDB執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。

資來源目錄全域

可選