基於等保2.0三級的部分要求,對阿里雲上資源的合規性做檢測。合規包模板為您提供通用的合規性架構,通過輸入規則參數和修正設定,可以協助您快速建立符合目標情境的合規包。規則的“合規”僅指符合規則定義本身的合規性描述,不確保您符合特定法規或行業標準的所有要求。
規則名稱 | 編號 | 編號描述 | 規則描述 |
彈性IP執行個體頻寬滿足最低要求 | 8.1.2.1 | b)應保證網路各個部分的頻寬滿足業務高峰期需要。 c)應劃分不同的網路地區,並按照方便管理和控制的原則為各網路地區分配地址。 | 彈性IP執行個體可用頻寬大於等於指定參數值,視為“合規”。預設值:10MB。 |
SLB執行個體滿足指定頻寬要求 | SLB執行個體可用頻寬大於等於指定參數值,視為“合規”。預設值:10MB。 | ||
CEN執行個體中的跨地區串連頻寬分配滿足指定要求 | 雲企業網執行個體下所有跨地區串連分配的頻寬大於參數指定值,視為“合規”。參數預設值:1Mbps。 | ||
SNAT條目綁定多個EIP時頻寬峰值設定一致 | NAT Gateway中SNAT條目綁定的多個EIP,加入共用頻寬包或者所綁定的EIP頻寬峰值設定一致,視為“合規”。VPC NAT Gateway不適用本規則,視為“不適用”。 | ||
使用專用網路類型的ECS執行個體 | 如果未指定參數,則檢查ECS執行個體的網路類型為專用網路;如果指定參數,則檢查ECS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個參數值用英文逗號(,)分隔。 | ||
使用專用網路類型的RDS執行個體 | 如果未指定參數,則檢查RDS執行個體的網路類型為專用網路;如果指定參數,則檢查RDS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個參數值用英文逗號(,)分隔。 | ||
使用專用網路類型的Redis執行個體 | 如果指定參數,則檢查Redis執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查Redis執行個體的網路類型為專用網路,視為“合規”。 | ||
SLB執行個體的HTTPS監聽使用指定的安全性原則套件 | 8.1.2.2 | b)應採用密碼技術保證通訊過程中資料的保密性。 | SLB執行個體的所有HTTPS類型監聽使用參數指定的安全性原則套件版本,視為“合規”。未設定HTTPS類型監聽的SLB執行個體,視為“不適用”。 |
RDS執行個體開啟SSL並使用指定的TLS版本 | RDS執行個體開啟SSL同時使用的TLS版本在參數指定的版本範圍內,視為“合規”。 | ||
OSS儲存空間權限原則設定安全訪問 | OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間視為“不適用”。 | ||
CDN網域名稱開啟TLS13版本檢測 | 檢測CDN網域名稱是否啟用TLS1.3,啟用視為“合規”。 | ||
PolarDB叢集設定SSL加密 | PolarDB叢集設定了SSL加密,視為“合規”。 | ||
API Gateway中API分組的HTTPS安全性原則滿足要求 | API Gateway中的API分組設定的HTTPS安全性原則在指定的參數列表中,視為“合規”。 | ||
OSS儲存空間不能為匿名帳號授予任何許可權 | OSS Bucket授權策略中未授予匿名帳號任何讀寫權限,視為“合規”。若OSS Bucket未設定任何授權策略,視為“合規”。 | ||
安全性群組入網設定有效 | 8.1.3.1 8.1.3.2 | 8.1.3.1 a)應保證跨越邊界的訪問和資料流通過邊界裝置提供的受控介面進行通訊。 b)應能夠對非授權裝置私自聯到內部網路的行為進行限制或檢查。 8.1.3.2 a)應在網路邊界或地區之間根據存取控制原則設定存取控制規則,預設情況下除允許通訊外受控介面拒絕所有通訊。 c)應對源地址、目的地址、源連接埠、目的連接埠和協議等進行檢查,以允許/拒絕資料包進出 | 安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 |
開啟公網IP的RDS執行個體白名單未對所有來源開放 | RDS執行個體為開啟公網IP,或者開啟白名單未設定為對所有來源IP開放,視為“合規”。 | ||
Container Registry執行個體白名單檢測 | Container Registry執行個體白名單不存在任意IP條目,視為“合規”,適用於企業版。 | ||
Elasticsearch執行個體未開啟公網或不允許任意IP訪問 | Elasticsearch執行個體未開啟公網訪問,或者白名單未設定為對所有IP開放,視為“合規”。 | ||
Container Registry執行個體未開啟公網訪問入口 | Container Registry執行個體未開啟公網訪問入口,視為“合規”,適用於企業版。 | ||
Redis執行個體未開啟公網或安全白名單未設定為允許任意來源訪問 | Redis執行個體未開公網或安全白名單未設定為允許任意來源訪問,視為“合規”。Redis執行個體存在公網且允許任意來源訪問,如果同時滿足視為“不合規”。 | ||
安全性群組指定協議不允許對全部網段開啟風險連接埠 | 當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | ||
NAT Gateway不允許映射指定的風險連接埠 | NAT GatewayDNAT映射連接埠不包含指定的風險連接埠,視為“合規”。 | ||
NAS檔案系統使用的許可權組未對所有來源開放 | 8.1.3.1 | a)應保證跨越邊界的訪問和資料流通過邊界裝置提供的受控介面進行通訊。 b)應能夠對非授權裝置私自串連到內部網路的行為進行限制或檢查 | NAS檔案系統使用的許可權組未對所有訪問來源開放,視為“合規”。檔案系統未添加掛載點或關聯許可權組未添加任何規則視為“不適用”。 |
Bukect策略組織外授權檢測 | OSS bucket如果未開啟公用讀取且分析結果未發現組織外授權,視為“合規”。如果bucket policy分析結果顯示無法分析,視為”不合規“;如果bucket policy分析結果全部存在於資來源目錄,視為“合規”;如果存在資來源目錄下帳號之外的授權,判定為組織外授權,評估為“不合規”。 | ||
OSS儲存空間ACL禁止公用讀取 | OSS儲存空間的ACL策略禁止公用讀取,視為“合規”。 | ||
ACK叢集未設定公網串連端點 | ACK叢集未設定公網串連端點,視為“合規”。 | ||
運行中的ECS執行個體未綁定公網地址 | 運行中的ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 | ||
SLB執行個體未綁定公網IP | SLB執行個體未綁定公網IP,視為“合規”。如果沒有公網需求,建議SLB執行個體不要直接綁定公網IP地址。如果有公網需求,建議購買EIP並和相關SLB執行個體進行綁定,使用EIP更加靈活、同時可使用共用頻寬降低成本。 | ||
Redis執行個體開啟密碼認證 | Redis執行個體專用網路下開啟密碼認證,視為”合規“。 | ||
專用網路ACL未開放風險連接埠 | 8.1.3.2 | a)應在網路邊界或地區之間根據存取控制原則設定存取控制規則,預設情況下除允許通訊外受控介面拒絕所有通訊。 c)應對源地址、目的地址、源連接埠、目的連接埠和協議等進行檢查,以允許/拒絕資料包進出。 | 當專用網路存取控制入方向規則目的地址設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。 |
SLB執行個體所有運行中的監聽都設定存取控制 | 8.1.3.2 | SLB執行個體所有運行中的監聽都設定了存取控制,視為“合規”。未配置監聽的執行個體不適用本規則,視為“不適用”。 | |
ALB執行個體所有運行中的監聽都設定存取控制 | 8.1.3.2 | ALB執行個體所有運行中的監聽都設定了存取控制,視為“合規”。未配置監聽的執行個體不適用本規則,視為“不適用”。 | |
SLB存取控制清單不允許配置所有位址區段 | 8.1.3.2 | SLB存取控制清單中不包含0.0.0.0/0條目,視為“合規”。 | |
OSS儲存空間授權原則設定IP限制 | 8.1.3.2 | OSS Bucket讀寫權限設定為私人,或者授權策略中包含只允許特定IP訪問的策略,視為“合規”。 | |
SLB執行個體監聽連接埠不包含指定連接埠 | 8.1.3.2 | SLB執行個體監聽的連接埠不包含指定的風險連接埠,視為“合規”。 | |
OSS儲存空間開啟防盜鏈 | 8.1.3.2 | OSS儲存空間訪問來源白名單不為空白,而且是否允許空Referer的設定和指定的參數值保持一致,視為“合規”。 | |
PolarDB執行個體未開啟公網或IP白名單未設定為全網段 | 8.1.3.2 | 檢測帳號下PolarDB執行個體開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。 | |
使用Web防火牆對網站或APP進行安全防護 | 8.1.3.3 8.1.3.4 8.1.4.4 8.1.5.4 | 8.1.3.3 a)應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為。 b)應在關鍵網路節點處檢測、防止或限制從內部發起的網路攻擊行為。 c)應採取技術措施對網路行為進行分析,實現對網路攻擊特別是新型網路攻擊行為的分析。 d)當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供警示。 8.1.3.4 a)應在關鍵網路節點處對惡意代碼進行檢測和清除,並維護惡意代碼防護機制的升級和更新。 b)應在關鍵網路節點處對垃圾郵件進行檢測和防護,並維護垃圾郵件防護機制的升級和更新。 8.1.4.4 e)應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞。 f)應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供警示。 8.1.5.4 d)應對分散在各個裝置上的審計資料進行收集、匯總和集中分析,並保證審計記錄的留存時間符合法律法規要求。 e)應對安全性原則、惡意代碼、補丁升級等安全相關事項進行集中管理。 | 使用Web防火牆對網站或APP進行安全防護,視為“合規”。 |
使用Security Center企業版 | 使用Security Center企業版或者更進階別的版本,視為“合規”。 | ||
使用DDoS防護防止DDoS攻擊風險 | 8.1.3.3 8.1.4.4 8.1.5.4 | 8.1.3.3 a)應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為。 b)應在關鍵網路節點處檢測、防止或限制從內部發起的網路攻擊行為。 c)應採取技術措施對網路行為進行分析,實現對網路攻擊特別是新型網路攻擊行為的分析。 d)當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供警示。 8.1.4.4 e)應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞。 f)應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供警示。 8.1.5.4 d)應對分散在各個裝置上的審計資料進行收集匯總和集中分析,並保證審計記錄的留存時間符合法律法規要求。 e)應對安全性原則、惡意代碼、補丁升級等安全相關事項進行集中管理。 | 使用DDoS防護防止DDoS攻擊風險,視為“合規”。 |
使用Cloud Firewall對網路邊界進行安全防護 | 使用Cloud Firewall對網路邊界進行安全防護,視為“合規”。 | ||
Cloud Firewall中資產開啟保護 | 8.1.3.3 | a)應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為。 b)應在關鍵網路節點處檢測、防止或限制從內部發起的網路攻擊行為。 c)應採取技術措施對網路行為進行分析,實現對網路攻擊特別是新型網路攻擊行為的分析。 d)當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供警示。 | Cloud Firewall中資產開啟保護,視為“合規”。本規則只對Cloud Firewall付費使用者有效,未開通Cloud Firewall或者免費使用者資產無檢測資料。 |
在Security Center開啟指定類型的主動防禦 | 8.1.3.5 8.1.5.4 | 8.1.3.5 b)審計記錄應包括事件的日期和時間、使用者、事件類型、事件是否成功及其他與審計相關的資訊。 8.1.5.4 d)應對分散在各個裝置上的審計資料進行收集匯總和集中分析,並保證審計記錄的留存時間符合法律法規要求。 e)應對安全性原則、惡意代碼、補丁升級等安全相關事項進行集中管理。 | 在雲安全中開啟了參數指定的主動防禦類型,視為“合規”。 |
WAF3執行個體開啟指定防護規則 | 8.1.3.5 8.1.5.4 | WAF3.0執行個體開啟指定防護情境的規則,視為“合規”。 | |
開啟Action Trail全量日誌跟蹤 | 8.1.3.5 8.1.5.4 | Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員帳號,當管理員有建立應用到所有成員帳號的跟蹤時,視為“合規”。 | |
RDS執行個體開啟SQL審計 | 8.1.3.5 8.1.5.4 | RDS執行個體的SQL審計狀態為開啟,視為“合規”。 | |
ADB叢集開啟SQL審計日誌 | 8.1.3.5 8.1.5.4 | ADB叢集開啟SQL審計日誌,視為“合規”。 | |
VPC開啟流日誌記錄 | 8.1.3.5 8.1.5.4 | VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 | |
RAM使用者密碼策略符合要求 | 8.1.4.1 | b)應具有登入失敗處理功能,應配置並啟用結束會話、限制非法登入次數和當登入連線逾時自動結束等相關措施。 d)應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對使用者進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。 | RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 |
阿里雲帳號開啟MFA | 8.1.4.1 | 阿里雲帳號開啟MFA,視為“合規”。 | |
RAM使用者開啟MFA | 8.1.4.1 | 開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | |
RAM使用者在指定時間內有登入行為 | 8.1.4.2 | c)應及時刪除或停用多餘的、到期的賬戶,避免共用賬戶的存在。 d)應授予系統管理使用者所需的最小許可權,實現系統管理使用者的許可權分離。 | 如果RAM使用者在最近90天有登入行為,視為“合規”。如果RAM使用者的最近登入時間為空白,則檢查更新時間,當更新時間小於等於90天時,視為“合規”。未開啟控制台訪問的使用者視為“不適用”。 |
不存在閑置的RAM權限原則 | 8.1.4.2 | RAM權限原則至少綁定一個RAM使用者組、RAM角色或RAM使用者,視為“合規”。 | |
RAM使用者組非空 | 8.1.4.2 | RAM使用者組至少包含一個RAM使用者,視為“合規”。 | |
不直接授權給RAM使用者 | 8.1.4.2 | RAM使用者沒有直接綁定權限原則,視為“合規”。推薦RAM使用者從RAM組或角色繼承許可權。 | |
RAM使用者不存在閑置AccessKey | 8.1.4.2 | RAM使用者AccessKey的最後使用時間距今天數小於參數設定的天數,視為“合規”。預設值:90天。 | |
不存在超級管理員 | 8.1.4.2 | RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 | |
RAM使用者訪問設定人員和程式分離 | 8.1.4.2 | c)應及時刪除或停用多餘的、到期的賬戶,避免共用賬戶的存在。 d)應授予系統管理使用者所需的最小許可權,實現系統管理使用者的許可權分離。 | RAM使用者未同時開啟控制台訪問和API調用訪問,視為“合規”。 |
運行中的ECS執行個體開啟Security Center防護 | 8.1.4.4 | e)應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞。 f)應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供警示。 | 通過在主機上安裝Security Center外掛程式,提供主機的安全防護服務。如果有安裝Security Center外掛程式則視為"合規"。非運行中狀態的執行個體不適用本規則,視為“不適用”。 |
運行中的ECS執行個體無待修複漏洞 | 8.1.4.4 | ECS執行個體在Security Center無指定類型和等級的待修複漏洞,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
Security Center通知專案已設定通知方式 | 8.1.4.4 | Security Center通知專案均已設定通知方式,視為“合規”。 | |
OSS儲存空間開啟服務端加密 | 8.1.4.8 | b)應採用密碼技術保證重要資料在預存程序中的保密性,包括但不限於鑒別資料、重要業務資料和重要個人資訊等。 | OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。 |
使用中的ECS資料磁碟開啟加密 | 8.1.4.8 | 使用中的ECS資料磁碟已開啟加密,視為“合規”。 | |
ACK叢集配置Secret的落盤加密 | 8.1.4.8 | ACK叢集配置Secret的落盤加密,視為“合規”。非專業託管版叢集視為“不適用”。 | |
Redis執行個體開啟TDE加密 | 8.1.4.8 | Redis執行個體開啟TDE加密,視為”合規“。 | |
RDS執行個體開啟雲端硬碟加密 | 8.1.4.8 | RDS執行個體開啟了雲端硬碟加密,視為”合規“。本地碟或者不支援雲端硬碟加密的規格執行個體視為“不適用”。 | |
Log Service日誌庫設定資料加密 | 8.1.4.8 | Log Service日誌庫設定了資料加密,視為“合規”。 | |
PolarDB叢集開啟TDE | 8.1.4.8 | PolarDB叢集開啟TDE,視為“合規”。 | |
ECS磁碟設定自動快照策略 | 8.1.4.9 | a)應提供重要資料的本機資料備份與恢複功能。 b)應提供異地即時備份功能,利用通訊網路將重要資料即時備份至備份場地。 c)應提供重要資料處理系統的熱冗餘,保證系統的高可用性。 | ECS磁碟設定了自動快照策略,視為“合規”。狀態非使用中的磁碟、不支援設定自動快照策略的磁碟、ACK叢集掛載的非持久化使用情境的磁碟視為“不適用”。 |
PolarDB叢集資料二級備份保留周期滿足指定要求 | 8.1.4.9 | PolarDB叢集二級備份保留周期大於等於指定天數,視為“合規”。參數預設值30天。未開啟二級備份或備份保留周期小於指定天數視為“不合規”。 | |
為NAS檔案系統建立備份計劃 | 8.1.4.9 | 為NAS檔案系統建立備份計劃,視為“合規”。 | |
RDS執行個體開啟記錄備份 | 8.1.4.9 | RDS執行個體開啟記錄備份視為"合規"。 | |
OSS儲存空間開啟版本控制 | 8.1.4.9 | 如果沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。如果開啟版本控制則視為"合規"。 | |
Elasticsearch執行個體開啟自動備份 | 8.1.4.9 | Elasticsearch執行個體開啟了自動備份,視為“合規”。 | |
MongoDB執行個體開啟記錄備份 | 8.1.4.9 | MongoDB執行個體開啟記錄備份,視為“合規”。 | |
為RDS建立災備執行個體 | 8.1.4.9 | 為RDS執行個體建立災備執行個體,視為“合規”。當RDS執行個體所在可用地區發生故障時,可基於災備執行個體快速恢複服務。 | |
OSS儲存空間開啟同城冗餘儲存 | 8.1.4.9 | 如果沒有開啟同城冗餘儲存,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響資料恢複目標。OSS儲存空間開啟同城冗餘儲存,視為“合規”。 | |
使用多可用性區域的ALB執行個體 | 8.1.4.9 | ALB執行個體為多可用性區域執行個體,視為“合規”。如果只選擇了一個可用性區域,當這個可用性區域出現故障時,會影響ALB執行個體,進而影響業務穩定性。 | |
使用多可用性區域的RDS執行個體 | 8.1.4.9 | RDS執行個體為多可用性區域執行個體,視為“合規”。 | |
為PolarDB叢集開啟熱備叢集 | 8.1.4.9 | PolarDB叢集開啟儲存熱備叢集,資料分布在多個可用性區域,視為“合規”。 | |
使用多可用性區域MongoDB執行個體 | 8.1.4.9 | 使用多可用性區域的MongoDB執行個體,視為“合規”。 | |
使用地區級多可用性區域叢集 | 8.1.4.9 | 使用地區級ACK叢集,節點分布在3個及以上可用性區域,視為“合規”。 | |
Redis執行個體為多可用性區域執行個體 | 8.1.4.9 | Redis執行個體為多可用性區域執行個體,視為“合規”。 | |
使用多可用性區域Elasticsearch執行個體 | 8.1.4.9 | 使用多可用性區域的Elasticsearch執行個體,視為“合規”。 | |
使用多可用性區域SLB執行個體並為伺服器組配置多個可用性區域資源 | 8.1.4.9 | SLB執行個體為多可用性區域,並且SLB執行個體下所有監聽使用的伺服器組中添加了多個可用性區域的資源,視為“合規”。 |