阿里雲卓越架構安全支柱針對網路安全、身份安全、主機安全、資料安全等全方位地進行規劃和實施,同時持續對威脅進行檢測和快速響應。該合規包模板提供了阿里雲卓越架構安全支柱與配置審計規則模板之間的映射。本文為您介紹阿里雲卓越架構安全支柱最佳實務中的預設規則。
規則名稱 | 規則描述 |
Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員帳號,當管理員有建立應用到所有成員帳號的跟蹤時,視為“合規”。 | |
ADB叢集的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。 | |
ADB執行個體未開啟公網訪問,視為“合規”。 | |
API Gateway中的API分組綁定的網域名稱接入了WAF或者WAF3.0,視為“合規”。 | |
API Gateway中的API分組綁定自訂網域名並且設定了SSL認證,視為“合規”。 | |
雲端硬碟為狀態為使用中,視為“合規”。如果雲端硬碟建立時間在指定天數(預設7天)內,視為“不適用”。 | |
使用中的ECS資料磁碟已開啟加密,視為“合規”。 | |
通過在主機上安裝Security Center外掛程式,提供主機的安全防護服務。如果有安裝Security Center外掛程式則,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
ECS執行個體被授予了執行個體RAM角色,視為“合規”。 | |
ECS執行個體狀態不是已停止狀態,視為“合規”。 | |
ECS執行個體在Security Center無指定類型和等級的待修複漏洞,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
如果未指定參數,則檢查ECS執行個體的網路類型為專用網路;如果指定參數,則檢查ECS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個參數值用英文逗號(,)分隔。 | |
運行中的ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 | |
檢查閑置安全性群組,安全性群組綁定的ECS執行個體數量大於0,視為“合規”。 | |
當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組,視為“不適用”。 | |
除指定的白名單連接埠外,其餘連接埠不能有授權原則設定為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 | |
Elasticsearch執行個體資料節點開啟雲端硬碟加密,視為“合規”。 | |
如果指定參數,則檢查Elasticsearch執行個體關聯的專用網路在指定參數範圍內,視為“合規”;如果未指定參數,則檢查Easticsearch執行個體的網路類型為專用網路,視為“合規”。 | |
Auto Scaling配置中未設定分配公網IPv4地址,視為“合規”。 | |
Function Compute服務設定了禁止訪問公網,視為“合規”。 | |
函數服務設定為僅允許指定VPC調用,視為“合規”。 | |
KMS主要金鑰建立來源不是外部,視為“合規”。 | |
對Key Management Service中的使用者主要金鑰設定自動輪轉,視為“合規”。 | |
KMS主要金鑰未設定為待刪除,視為“合規”。 | |
Key Management Service中的憑據設定自動輪轉,視為“合規”。 | |
NAS檔案系統設定了加密,視為“合規”。 | |
OSS儲存空間的日誌管理中開啟日誌轉存,視為“合規”。 | |
OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間,視為“不適用”。 | |
OSS Bucket授權策略中未授予匿名帳號任何讀寫權限,視為“合規”。若OSS Bucket未設定任何授權策略,視為“合規”。 | |
OSS儲存空間的ACL策略禁止公用讀取,視為“合規”。 | |
OSS儲存空間的ACL策略禁止公用讀寫,視為“合規”。 | |
OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。 | |
如果沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。如果開啟版本控制則,視為“合規”。 | |
OSS儲存空間使用了自訂的KMS祕密金鑰加密,視為“合規”。 | |
Table Store執行個體中所有資料表都設定了加密,視為“合規”。 | |
RAM使用者組至少包含一個RAM使用者,視為“合規”。 | |
RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 | |
RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 | |
RAM使用者下AccessKey的建立時間距離檢查時間不超過指定天數,視為“合規”。預設值:90天。 | |
RAM使用者AccessKey的最後使用時間距今天數小於參數設定的天數,視為“合規”。預設值:90天。 | |
所有RAM使用者均歸屬於RAM使用者組,視為“合規”。 | |
開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | |
RAM使用者未擁有管理員權限或者某個雲產品的管理員權限,包括繼承自使用者組的許可權,視為“合規”。 | |
RDS執行個體的資料安全性設定開啟TDE加密,視為“合規”。 | |
RDS Mysql類型執行個體開啟SQL審計且日誌保留天數大於等於指定值,視為“合規”。預設值:180天。 | |
RDS執行個體開啟公網且白名單設定為0.0.0.0/0,同時滿足,視為“不合規”。 | |
阿里雲帳號不存在任何狀態的AccessKey,視為“合規”。 | |
阿里雲帳號開啟MFA,視為“合規”。 | |
使用Security Center企業版或者更進階別的版本,視為“合規”。 | |
SLB傳統型Server Load Balancer執行個體開啟訪問日誌,視為“合規”。未啟用7層監聽的執行個體不支援開啟訪問日誌,視為“不適用”。 | |
SLB在指定連接埠上開啟HTTPS協議的監聽,視為“合規”。如果SLB執行個體只開啟TCP或者UDP協議的監聽,視為“不適用”。 | |
VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 | |
已接入WAF2.0進行防護的網域名稱均開啟日誌採集,視為“合規”。 |