基於等保2.0二級的部分要求,對阿里雲上資源的合規性做檢測。合規包模板為您提供通用的合規性架構,通過輸入規則參數和修正設定,可以協助您快速建立符合目標情境的合規包。規則的“合規”僅指符合規則定義本身的合規性描述,不確保您符合特定法規或行業標準的所有要求。
規則名稱 | 編號 | 編號描述 | 規則描述 |
規則名稱 | 編號 | 編號描述 | 規則描述 |
彈性IP執行個體頻寬滿足最低要求 | 7.1.2.1 | b)應保證網路各個部分的頻寬滿足業務高峰期需要。 | 彈性IP執行個體可用頻寬大於等於指定參數值,視為“合規”。預設值:10MB。 |
SLB執行個體滿足指定頻寬要求 | SLB執行個體可用頻寬大於等於指定參數值,視為“合規”。預設值:10MB。 | ||
CEN執行個體中的跨地區串連頻寬分配滿足指定要求 | 雲企業網執行個體下所有跨地區串連分配的頻寬大於參數指定值,視為“合規”。參數預設值:1Mbps。 | ||
SNAT條目綁定多個EIP時頻寬峰值設定一致 | NAT Gateway中SNAT條目綁定的多個EIP,加入共用頻寬包或者所綁定的EIP頻寬峰值設定一致,視為“合規”。VPC NAT Gateway不適用本規則,視為“不適用”。 | ||
OSS儲存空間不能為匿名帳號授予任何許可權 | 7.1.3.1 | a)應保證跨越邊界的訪問和資料流通過邊界裝置提供的受控介面進行通訊。 | OSS Bucket授權策略中未授予匿名帳號任何讀寫權限,視為“合規”。若OSS Bucket未設定任何授權策略,視為“合規”。 |
安全性群組入網設定有效 | 安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | ||
開啟公網IP的RDS執行個體白名單未對所有來源開放 | RDS執行個體為開啟公網IP,或者開啟白名單未設定為對所有來源IP開放,視為“合規”。 | ||
Redis執行個體開啟密碼認證 | Redis執行個體專用網路下開啟密碼認證,視為”合規“。 | ||
Container Registry執行個體白名單檢測 | Container Registry執行個體白名單不存在任意IP條目,視為“合規”,適用於企業版。 | ||
Elasticsearch執行個體未開啟公網或不允許任意IP訪問 | 7.1.3.1 | a)應保證跨越邊界的訪問和資料流通過邊界裝置提供的受控介面進行通訊。 | Elasticsearch執行個體未開啟公網訪問,或者白名單未設定為對所有IP開放,視為“合規”。 |
安全性群組指定協議不允許對全部網段開啟風險連接埠 | 7.1.3.2 | a)應在網路邊界或地區之間根據存取控制原則設定存取控制規則,預設情況下除允許通訊外受控介面拒絕所有通訊。 | 當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 |
NAT Gateway不允許映射指定的風險連接埠 | NAT GatewayDNAT映射連接埠不包含指定的風險連接埠,視為“合規”。 | ||
專用網路ACL未開放風險連接埠 | 當專用網路存取控制入方向規則目的地址設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。 | ||
SLB執行個體所有運行中的監聽都設定存取控制 | SLB執行個體所有運行中的監聽都設定了存取控制,視為“合規”。未配置監聽的執行個體不適用本規則,視為“不適用”。 | ||
ALB執行個體所有運行中的監聽都設定存取控制 | ALB執行個體所有運行中的監聽都設定了存取控制,視為“合規”。未配置監聽的執行個體不適用本規則,視為“不適用”。 | ||
SLB存取控制清單不允許配置所有位址區段 | SLB存取控制清單中不包含0.0.0.0/0條目,視為“合規”。 | ||
OSS儲存空間授權原則設定IP限制 | OSS Bucket讀寫權限設定為私人,或者授權策略中包含只允許特定IP訪問的策略,視為“合規”。 | ||
使用DDoS防護防止DDoS攻擊風險 | 7.1.3.3 | 應在關鍵網路節點處監視網路攻擊行為。 | 使用DDoS防護防止DDoS攻擊風險,視為“合規”。 |
使用Cloud Firewall對網路邊界進行安全防護 | 使用Cloud Firewall對網路邊界進行安全防護,視為“合規”。 | ||
使用Security Center企業版 | 7.1.3.4 | 應在關鍵網路節點處對惡意代碼進行檢測和清除,並維護惡意代碼防護機制的升級和更新。 | 使用Security Center企業版或者更進階別的版本,視為“合規”。 |
在Security Center開啟指定類型的主動防禦 | 在雲安全中開啟了參數指定的主動防禦類型,視為“合規”。 | ||
WAF3執行個體開啟指定防護規則 | WAF3.0執行個體開啟指定防護情境的規則,視為“合規”。 | ||
使用Web防火牆對網站或APP進行安全防護 | 使用Web防火牆對網站或APP進行安全防護,視為“合規”。 | ||
開啟Action Trail全量日誌跟蹤 | 7.1.3.5 7.1.4.3 | 7.1.3.5 b)審計記錄應包括事件的日期和時間、使用者、事件類型、事件是否成功及其他與審計相關的資訊。 7.1.4.3 b)審計記錄應包括事件的日期和時間、使用者、事件類型、事件是否成功及其他與審計相關的資訊。 | Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員帳號,當管理員有建立應用到所有成員帳號的跟蹤時,視為“合規”。 |
RDS執行個體開啟SQL審計 | RDS執行個體的SQL審計狀態為開啟,視為“合規”。 | ||
ADB叢集開啟SQL審計日誌 | ADB叢集開啟SQL審計日誌,視為“合規”。 | ||
VPC開啟流日誌記錄 | VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 | ||
RAM使用者密碼策略符合要求 | 7.1.4.1 | b)應具有登入失敗處理功能,應配置並啟用結束會話、限制非法登入次數和當登入連線逾時自動結束等相關措施。 | RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 |
RAM使用者在指定時間內有登入行為 | 7.1.4.2 | c)應及時刪除或停用多餘的、到期的賬戶,避免共用賬戶的存在。 d)應授予系統管理使用者所需的最小許可權,實現系統管理使用者的許可權分離。 | 如果RAM使用者在最近90天有登入行為,視為“合規”。如果RAM使用者的最近登入時間為空白,則檢查更新時間,當更新時間小於等於90天時,視為“合規”。未開啟控制台訪問的使用者視為“不適用”。 |
不存在閑置的RAM權限原則 | RAM權限原則至少綁定一個RAM使用者組、RAM角色或RAM使用者,視為“合規”。 | ||
RAM使用者組非空 | RAM使用者組至少包含一個RAM使用者,視為“合規”。 | ||
不直接授權給RAM使用者 | RAM使用者沒有直接綁定權限原則,視為“合規”。推薦RAM使用者從RAM組或角色繼承許可權。 | ||
RAM使用者不存在閑置AccessKey | RAM使用者AccessKey的最後使用時間距今天數小於參數設定的天數,視為“合規”。預設值:90天。 | ||
不存在超級管理員 | RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 | ||
RAM使用者訪問設定人員和程式分離 | RAM使用者未同時開啟控制台訪問和API調用訪問,視為“合規”。 | ||
運行中的ECS執行個體開啟Security Center防護 | 7.1.4.4 | e)應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞。 | 通過在主機上安裝Security Center外掛程式,提供主機的安全防護服務。如果有安裝Security Center外掛程式則視為"合規"。非運行中狀態的執行個體不適用本規則,視為“不適用”。 |
運行中的ECS執行個體無待修複漏洞 | ECS執行個體在Security Center無指定類型和等級的待修複漏洞,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | ||
ECS磁碟設定自動快照策略 | 7.1.4.8 | a)應提供重要資料的本機資料備份與恢複功能。 b)應提供異地即時備份功能,利用通訊網路將重要資料即時備份至備份場地。 | ECS磁碟設定了自動快照策略,視為“合規”。狀態非使用中的磁碟、不支援設定自動快照策略的磁碟、ACK叢集掛載的非持久化使用情境的磁碟視為“不適用”。 |
