合規包協助您動態且持續地檢查資源的合規性,對於不合規資源,提醒您及時修複。本文介紹24種合規包的主要功能。
網路及資料安全最佳實務
從網路架構和資料安全等方面進行全面檢測,以確保系統和資料進行了合理的設定和保護,有效減少網路和資料泄漏的風險。滿足這些要求,可以大幅度降低網路安全風險。
網路及資料安全最佳實務支援的功能如下表所示。
功能 | 說明 |
檢查帳號 | 檢查阿里雲帳號及RAM使用者的密碼設定、權限原則等。 |
檢查網路 | 檢查執行個體的網路歸屬、安全性群組設定、連接埠是否開放、流量監控等。 |
檢查虛擬機器 | 檢查虛擬機器的磁碟是否加密、連接埠是否開放、系統補丁、端點保護等。 |
檢查Object Storage Service | 檢查儲存空間的讀寫設定、安全傳輸、內容加密等。 |
檢查資料庫 | 檢查資料庫的連線類型、資料加密、Database Audit等。 |
等保三級預檢合規包
基於等保2.0三級標準,等保三級預檢為您動態且持續地監控阿里雲上資源的合規性,從而避免正式檢查時反覆整改,協助您快速通過等保檢查。
等保三級預檢檢查的功能如下表所示。
功能 | 說明 |
檢查網路類型 | 檢查ECS執行個體和資料庫執行個體的網路類型是否為專用網路。如果為專用網路,且關聯的專用網路在指定參數範圍內,則視為“合規”。 |
檢查防護設定 | 檢查ECS執行個體和資料庫的IP白名單是否設定為0.0.0.0/0,以及ECS資料磁碟加密是否開啟。 |
檢查Object Storage Service | 檢查OSS儲存空間的讀寫設定是否為唯讀,以及同城冗餘儲存和服務端OSS完全託管加密是否開啟。 |
檢查頻寬 | 檢查Server Load Balancer和Elastic IP Address的頻寬是否滿足最低要求。 |
OSS合規管理最佳實務
Object Storage Service(Object Storage Service)是很多客戶用來儲存業務資料的重要儲存服務。如果儲存空間(Bucket)設定不符合安全防護要求,則可能帶來資料泄露甚至丟失的巨大業務風險。OSS合規管理最佳實務可以協助您動態且持續地監控儲存區空間的不合規設定,並提醒您及時修複。
OSS合規管理最佳實務檢查的功能如下表所示。
功能 | 說明 |
檢查讀寫設定 | 全域檢查儲存空間許可權是否為公用讀取或公用讀寫。 |
檢查防護設定 | 為進一步提升資料安全性,要求儲存空間必須設定檔案加密和防盜鏈。 |
檢查同城冗餘 | 檢查儲存空間是否啟用同城冗餘儲存。 |
負載平衡應用最佳實務
檢測傳統負載平衡和應用負載平衡的公網及白名單設定、多可用容災能力、執行個體續約及到期、變更管理等是否存在風險,確保正確應用Server Load Balancer執行個體。
負載平衡應用最佳實務檢查的功能如下表所示。
功能 | 說明 |
避免業務中斷 | 如果網路負載額度達不到業務峰值要求,則服務可能在業務高峰期中斷。 |
實現公網隔離 | 如果網路設定存在疏漏,則可能將業務系統暴露到公網環境,面對潛在的公網攻擊和資料泄露。 |
及時發現網路問題 | 如果網路監控的即時監測未啟用,則無法及時發現網路疏漏,帶來潛在的業務風險。 |
資源開啟保護最佳實務
資源開啟保護最佳實務用於檢測ECS、RDS等雲產品是否開啟保護功能。
資源開啟保護最佳實務檢查的功能如下表所示。
功能 | 說明 |
檢查阿里雲帳號和RAM使用者登入 | 檢查阿里雲帳號和RAM使用者密碼的有效期間,以及是否開啟MFA。 |
檢查安全設定 | 檢查是否存在無效的RAM使用者、使用者組和策略,以及是否存在阿里雲帳號下的金鑰組。 |
檢查授權 | 檢查RAM使用者是否直接繫結原則,以及是否存在全量授權。 |
AccessKey及許可權治理最佳實務
為AccessKey及許可權的治理提供最佳實務,從AccessKey、阿里雲帳號、RAM使用者的設定和使用方式等方面進行檢測。
資料庫合規管理最佳實務
資料庫合規管理最佳實務持續檢查雲資料庫RDS、Redis、MongoDB、PolarDB執行個體的加密防護和存取控制的合規性,避免資料泄露風險。
資料庫合規管理最佳實務檢查的功能如下表所示。
功能 | 說明 |
檢查資料庫到期時間 | 檢查資料庫執行個體的到期時間。 |
檢查資料庫防護設定 | 檢查資料庫執行個體是否開啟釋放保護,以及IP白名單是否設定為0.0.0.0/0。 |
檢查資料庫網路類型 | 檢查資料庫執行個體的網路類型是否為專用網路,以及關聯的專用網路是否在指定參數範圍內。 |
ECS合規管理最佳實務
ECS合規管理最佳實務持續檢查Elastic Compute Service的運行狀態、安全設定、防護設定、快照設定的合規性,避免業務中斷和成本溢出的風險。
ECS合規管理最佳實務檢查的功能如下表所示。
功能 | 說明 |
檢查運行狀態 | 檢查ECS執行個體的運行狀態。 |
檢查安全設定 | 檢查ECS執行個體的到期時間和安全性群組。 |
檢查防護設定 | 檢查ECS執行個體是否開啟釋放保護和資料磁碟加密。 |
檢查快照設定 | 檢查ECS磁碟是否設定自動快照策略和自動鎖定,以及自動快照保留天數是否滿足要求。 |
RMiT金融標準檢查合規包
RMiT金融標準檢查基於馬來西亞金融行業通用的IT風險控制標準,持續檢查雲上IT系統的合規性。
RMiT金融標準檢查支援的功能如下表所示。
功能 | 說明 |
檢查帳號 | 檢查RAM使用者的密碼設定、權限原則、登入,以及是否開啟MFA。 |
檢查Server Load Balancer | 檢查SLB執行個體是否開啟釋放保護和HTTPS監聽,以及阿里雲簽發的認證是否已到期。 |
檢查Elastic Compute Service | 檢查ECS執行個體的網路類型是否為專用網路、是否開啟資料磁碟加密、是否綁定IPv4公網IP地址等。 |
檢查Object Storage Service | 檢查儲存空間是否開啟服務端KMS加密、是否開啟服務端預設加密、是否開啟日誌儲存等。 |
檢查雲資料庫RDS | 檢查RDS執行個體是否開啟歷史事件、是否開啟TDE加密、是否使用多可用性區域執行個體等。 |
檢查Action Trail | 檢查Action Trail是否存在一個開啟狀態的跟蹤,以及是否開啟全量日誌跟蹤。 |
雲治理中心合規實踐
雲治理中心合規實踐統一配置和開啟規則,保障雲治理中心建立的資源結構和基礎配置不被修改,同時保證多帳號環境的安全性。
安全性群組最佳實務
安全性群組最佳實務持續檢查安全性群組規則的合規性,降低安全風險。
OceanBase最佳實務
OceanBase最佳實務基於安全性群組最佳實務持續檢查OceanBase的合規性。
資源穩定性最佳實務
資源穩定性最佳實務從高可用基礎架構、容量保護、變更管理、監控管理、備份管理和故障隔離六大維度對雲上資源的穩定性進行檢測,有助於您提前發現隱患,提升資源穩定性和營運效率。
PCI DSS資料安全標準合規包
PCI DSS(Payment Card Industry Data Security Standard)資料安全標準合規包基於PCI DSS V4.0對帳號資料保護的基準標準,從雲上資源使用和管控方面提供部分建議的合規性檢測。
GxP歐盟附錄11標準合規包
GxP歐盟附錄11(GxP EU Annex 11)是歐盟對於電腦化系統使用的規範性要求,主要針對在製藥、生物技術和醫學器械領域中使用電腦化系統的企業和組織。GxP歐盟附錄11標準合規包基於GxP歐盟附錄11對帳號資料保護的基準標準,從雲上資源使用和管控方面提供部分建議的合規性檢測。
多可用性區域架構最佳實務
使用多可用性區域的業務架構,資料可靠性更高,在主可用性區域故障時能快速恢複業務。
資源開啟公網檢測最佳實務
基於對公網安全、成本、許可權和監控等訴求,通常企業IT管理團隊會統一部署安全的公網出口,其他雲資源避免開通不受限制的公網訪問,從而降低業務潛在的網路攻擊、資料泄露等安全風險。
資源空閑檢測最佳實務
資源空閑檢測最佳實務檢測常見的雲資源在購買以後是否被閑置,涉及Elastic IP Address、共用頻寬、VPC、VPN等雲產品。資源購買後未啟用會導致企業成本的浪費,建議及時發現並治理。
中國GMP附錄合規包
在製藥領域中使用電腦化系統的企業和組織,在用雲過程中需要滿足中國GMP附錄《電腦化系統》標準。
阿里雲卓越架構安全支柱最佳實務
阿里雲卓越架構安全支柱針對網路安全、身份安全、主機安全、資料安全等全方位地進行規劃和實施,同時持續對威脅進行檢測和快速響應。
變更管理最佳實務
變更管理最佳實務從變更管理維度對雲上資源的穩定性做檢測,有助於提前發現隱患,提升穩定性和營運效率。
資源到期提醒最佳實務
資源到期提醒最佳實務從到期風險維度對雲上資源的穩定性做檢測,有助於提前發現隱患,提升穩定性和營運效率。
資源備份功能開啟最佳實務
資源備份功能開啟最佳實務檢測KVStore for Redis、雲資料庫PolarDB和雲資料庫RDS等雲產品是否開啟資源備份,如未開啟建議及時發現並治理。
Redis應用最佳實務
檢測KVStore for Redis的執行個體規格是否滿足要求,檢測審計日誌開啟、公網及白名單設定、多可用容災能力、執行個體續約及到期、變更管理等是否存在風險,確保正確應用ApsaraDB for Redis,保障系統穩定性和安全性。