Cloud Config：網路及資料安全最佳實務

規則名稱

規則描述

使用中的ECS資料磁碟開啟加密

使用中的ECS資料磁碟已開啟加密，視為“合規”。

使用專用網路類型的ECS執行個體

如果未指定參數，則檢查ECS執行個體的網路類型為專用網路；如果指定參數，則檢查ECS執行個體的專用網路執行個體在指定參數範圍內，視為“合規”。多個參數值用英文逗號（,）分隔。

OSS儲存空間開啟服務端加密

OSS儲存空間開啟服務端OSS完全託管加密，視為“合規”。

RDS執行個體禁止配置公網地址

RDS執行個體未配置公網地址，視為“合規”。生產環境的RDS執行個體不推薦配置公網直接存取，容易被駭客攻擊。

RAM使用者開啟MFA

開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA，視為“合規”。

阿里雲帳號不存在AccessKey

阿里雲帳號不存在任何狀態的AccessKey，視為“合規”。

阿里雲帳號開啟MFA

阿里雲帳號開啟MFA，視為“合規”。

RAM使用者密碼策略符合要求

RAM使用者密碼策略中各項配置滿足參數設定的值，視為“合規”。

不存在超級管理員

RAM使用者、RAM使用者組、RAM角色均未擁有Resource為且Action為的超級管理員權限，視為“合規”。

不直接授權給RAM使用者

RAM使用者沒有直接綁定權限原則，視為“合規”。推薦RAM使用者從RAM組或角色繼承許可權。

OSS儲存空間開啟日誌轉存

OSS儲存空間的日誌管理中開啟日誌轉存，視為“合規”。

OSS儲存空間使用自訂KMS祕密金鑰加密

OSS儲存空間使用了自訂的KMS祕密金鑰加密，視為“合規”。

RDS執行個體開啟SQL審計

RDS執行個體的SQL審計狀態為開啟，視為“合規”。

RDS執行個體SQL審計日誌保留天數滿足指定要求

RDS Mysql類型執行個體開啟SQL審計且日誌保留天數大於等於指定值，視為“合規”。預設值：180天。

PostgreSQL資料庫參數log_connections設定為on

RDS執行個體PostgreSQL類型資料庫參數log_connections設定為on，視為“合規”。

PostgreSQL資料庫參數log_disconnections設定為on

RDS執行個體PostgreSQL類型資料庫參數log_disconnections設定為on，視為“合規”。

PostgreSQL資料庫參數log_duration設定為on

RDS執行個體PostgreSQL類型資料庫參數log_duration設定為on，視為“合規”。

OSS公開儲存空間設定權限原則且不能為匿名帳號授予任何許可權

為讀寫權限公開的OSS Bucket設定授權策略，並且授權策略中不能為匿名帳號授予任何讀寫的操作許可權，視為“合規”。讀寫權限為私人的OSS Bucket，視為“不適用”。

OSS儲存空間權限原則設定安全訪問

OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS，或者拒絕訪問的訪問方式設定為HTTP，視為“合規”。權限原則為空白的OSS儲存空間，視為“不適用”。

OSS儲存空間授權原則設定IP限制

OSS Bucket讀寫權限設定為私人，或者授權策略中包含只允許特定IP訪問的策略，視為“合規”。

OSS儲存空間ACL禁止公用讀寫

OSS儲存空間的ACL策略禁止公用讀寫，視為“合規”。

OSS儲存空間ACL禁止公用讀取

OSS儲存空間的ACL策略禁止公用讀取，視為“合規”。

帳號下所有ECS執行個體已安裝Security Center代理

帳號下所有ECS執行個體均已安裝Security Center代理，視為“合規”。

所有ECS執行個體漏洞都已修複

Security Center發現的所有ECS執行個體的漏洞都已修複，視為“合規”。

VPC自訂網段已設定路由

VPC自訂網段在關聯路由表中存在至少一條網段內IP的路由資訊，視為“合規”。

RAM使用者在指定時間內有登入行為

如果RAM使用者在最近90天有登入行為，視為“合規”。如果RAM使用者的最近登入時間為空白，則檢查更新時間，當更新時間小於等於90天時，視為“合規”。未開啟控制台訪問的使用者，視為“不適用”。

RAM使用者的AccessKey在指定時間內輪換

RAM使用者下AccessKey的建立時間距離檢查時間不超過指定天數，視為“合規”。預設值：90天。

VPC開啟流日誌記錄

VPC已開啟流日誌（Flowlog）記錄功能，視為“合規”。

RDS執行個體開啟TDE加密

RDS執行個體的資料安全性設定開啟TDE加密，視為“合規”。

RDS執行個體使用SSL認證

RDS執行個體的資料安全性設定開啟SSL認證，視為“合規”。

開啟Action Trail全量日誌跟蹤

Action Trail中存在開啟狀態的跟蹤，且跟蹤全部地區和全部事件類型，視為“合規”。如果是資來源目錄成員帳號，當管理員有建立應用到所有成員帳號的跟蹤時，視為“合規”。

WAF執行個體開啟日誌採集

已接入WAF2.0進行防護的網域名稱均開啟日誌採集，視為“合規”。

ACK叢集使用Terway網路外掛程式

ACK叢集使用Terway網路外掛程式，視為“合規”。

ACK叢集未設定公網串連端點

ACK叢集未設定公網串連端點，視為“合規”。

ACK叢集節點安裝CloudMonitor外掛程式

ACK叢集節點均已安裝CloudMonitor外掛程式，且外掛程式運行狀態正常，視為“合規”。

Security Center通知專案已設定通知方式

Security Center通知專案均已設定通知方式，視為“合規”。

使用Security Center企業版

使用Security Center企業版或者更進階別的版本，視為“合規”。

安全性群組指定協議不允許對全部網段開啟風險連接埠

當安全性群組入網網段設定為0.0.0.0/0時，指定協議的連接埠範圍不包含指定風險連接埠，視為“合規”。若入網網段未設定為0.0.0.0/0時，即使連接埠範圍包含指定的風險連接埠，也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕，視為“合規”。雲產品或虛商所使用的安全性群組，視為“不適用”。

運行中的ECS執行個體開啟Security Center防護

通過在主機上安裝Security Center外掛程式，提供主機的安全防護服務。如果有安裝Security Center外掛程式則視為"合規"。非運行中狀態的執行個體不適用本規則，視為“不適用”。

在Security Center設定指定等級的漏洞掃描

在Security Center設定指定風險等級的漏洞掃描，視為“合規”。

RDS執行個體使用自訂密鑰開啟TDE

RDS執行個體使用自訂密鑰開啟TDE，視為“合規”。