資料庫合規管理最佳實務用於檢查雲資料庫RDS、Redis、MongoDB、PolarDB執行個體的加密防護和存取控制的合規性,避免資料泄露風險。本文為您介紹資料庫合規管理最佳實務合規包中的預設規則。
規則名稱 | 規則描述 |
MongoDB預付費叢集到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的叢集視為“合規”。 | |
HBase預付費叢集到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。 | |
RDS執行個體使用高安全白名單模式,視為“合規”。 | |
使用的PolarDB產品系列為叢集版或者多主架構叢集版,視為“合規”。謹慎使用單節點版資料庫,故障恢複慢。 | |
Redis執行個體開啟釋放保護,視為“合規”。 | |
Redis執行個體已設定禁用高風險命令,視為“合規”。 | |
HBase叢集類型為叢集版,視為“合規”。 | |
如果指定參數,則檢查HBase叢集關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查HBase執行個體的網路類型為專用網路,視為“合規”。 | |
HBase叢集的配置為高可用,視為“合規”。 | |
HBase叢集開啟刪除保護,視為“合規”。 | |
MongoDB執行個體開啟釋放保護,視為“合規”。 | |
MongoDB執行個體的鎖定狀態為正常,視為“合規”。 | |
MongoDB執行個體開啟審計日誌,視為“合規”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。後付費資源執行個體不適用本規則,視為“不適用”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
Redis預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
RDS執行個體的SQL審計狀態為開啟,視為“合規”。 | |
RDS執行個體未配置公網地址,視為“合規”。生產環境的RDS執行個體不推薦配置公網直接存取,容易被駭客攻擊。 | |
使用的RDS執行個體為高可用版,視為“合規”。建議使用高可用版RDS執行個體,謹慎使用穩定性較差的基礎版。 | |
如果未指定參數,則檢查RDS執行個體的網路類型為專用網路;如果指定參數,則檢查RDS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個參數值用半形逗號(,)分隔。 | |
RDS執行個體為多可用性區域執行個體,視為“合規”。 | |
RDS執行個體的資料安全性設定開啟SSL認證,視為“合規”。 | |
RDS執行個體的資料安全性設定開啟TDE加密,視為“合規”。 | |
如果指定參數,則檢查Redis執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查Redis執行個體的網路類型為專用網路,視為“合規”。 | |
Redis執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。 | |
Redis執行個體的架構類型為叢集版,視為“合規”。 | |
MongoDB執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。 | |
如果指定參數,則檢查MongoDB執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查MongoDB執行個體的網路類型為專用網路,視為“合規”。 | |
PolarDB執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。 | |
如果指定參數,則檢查PolarDB執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查PolarDB執行個體的網路類型為專用網路,視為“合規”。 | |
RDS Mysql類型執行個體開啟SQL審計且日誌保留天數大於等於指定值,視為“合規”。預設值:180天。 | |
RDS執行個體開啟歷史事件記錄,視為“合規”。 | |
RDS執行個體已開啟安全白名單,且安全白名單中不包含0.0.0.0/0,視為“合規”。 |