規則名稱 | 規則描述 | 建議項編號 | 建議項說明 |
RAM使用者訪問設定人員和程式分離 | RAM使用者未同時開啟控制台訪問和API調用訪問,視為“合規”。 | A.6.1.2 | Segregation of duties |
不直接授權給RAM使用者 | RAM使用者沒有直接綁定權限原則,視為“合規”。推薦RAM使用者從RAM組或角色繼承許可權。 | A.6.1.2 | Segregation of duties |
不存在閑置的RAM使用者組 | RAM使用者組至少包含一個RAM使用者且綁定了至少一個RAM權限原則,視為“合規”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3
| |
RAM使用者組非空 | RAM使用者組至少包含一個RAM使用者,視為“合規”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3
| |
不存在超級管理員 | RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.1 A.9.4.5 A.18.1.3
| Segregation of duties Access control policy User registration and de-registration User access provisioning Management of privileged access rights Information access restriction Access control to program source code Protection of records
|
不存在閑置的RAM權限原則 | RAM權限原則至少綁定一個RAM使用者組、RAM角色或RAM使用者,視為“合規”。 | A.6.1.2 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.5
| Segregation of duties User registration and de-registration User access provisioning Management of privileged access rights Access control to program source code
|
運行中的ECS執行個體開啟Security Center防護 | 通過在主機上安裝Security Center外掛程式,提供主機的安全防護服務。如果有安裝Security Center外掛程式,則視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | A.8.1.1 A.8.1.2 A.12.1.2 A.12.5.1 A.12.6.1 A.14.1.1 A.14.2.1 A.16.1.2
| Inventory of assets Ownership of assets Change management Installation of software on operational systems Management of technical vulnerabilities Information security requirements analysis and specification Secure development policy Reporting information security events
|
存在所有指定標籤 | 最多可定義10組標籤,資源需同時具有指定的所有標籤,視為“合規”。標籤輸入大小寫敏感,每組最多隻能輸入一個值。 | | Inventory of assets Ownership of assets
|
ECS關聯資源所屬資源群組繼承自ECS執行個體 | 相關資源繼承ECS執行個體歸屬的資源群組檢測,綁定了ECS執行個體且資源群組資訊一致,視為“合規”,如果未綁定到ECS執行個體視為“不適用”。 | | Inventory of assets Ownership of assets
|
資源關聯的資源群組不是預設資源群組 | 資源關聯的資源群組不是預設資源群組,視為“合規”。若未關聯資源群組,視為“不適用”。 | | Inventory of assets Ownership of assets
|
阿里雲帳號不存在AccessKey | 阿里雲帳號不存在任何狀態的AccessKey,視為“合規”。 | A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.1 A.9.4.4 A.9.4.5 A.18.1.3
| Access control policy User registration and de-registration User access provisioning Management of privileged access rights Information access restriction Use of privileged utility programs Access control to program source code Protection of records
|
不直接授權給RAM使用者 | RAM使用者沒有直接綁定權限原則,視為“合規”。推薦RAM使用者從RAM組或角色繼承許可權。 | | Segregation of duties Access control policy
|
Elasticsearch執行個體未開啟公網訪問 | Elasticsearch執行個體未開啟公網訪問,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.13.1.1 A.13.1.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Network controls Segregation in networks Protection of records Privacy and protection of personally identifiable information
|
OSS儲存空間ACL禁止公用讀寫 | OSS儲存空間的ACL策略禁止公用讀寫,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
Function Compute服務禁止訪問公網 | Function Compute服務設定了禁止訪問公網,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
運行中的ECS執行個體在專用網路 | 阿里雲推薦購買的ECS放在VPC裡面。如果ECS有歸屬VPC,則視為“合規”。如果指定參數,則檢查ECS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。非運行中的ECS執行個體,視為“不適用”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
ADB叢集未開啟公網 | ADB執行個體未開啟公網訪問,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
RDS執行個體禁止配置公網地址 | RDS執行個體未配置公網地址,視為“合規”。生產環境的RDS執行個體不推薦配置公網直接存取,容易被駭客攻擊。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
ACK叢集未設定公網串連端點 | ACK叢集未設定公網串連端點,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
訪問ECS執行個體中繼資料時強制使用加固模式 | 訪問ECS執行個體中繼資料時強制使用加固模式,視為“合規”。 | | |
函數服務設定為僅允許指定VPC調用 | 函數服務設定為僅允許指定VPC調用,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
OSS儲存空間ACL禁止公用讀取 | OSS儲存空間的ACL策略禁止公用讀取,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
運行中的ECS執行個體未綁定公網地址 | 運行中的ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
PolarDB叢集的所有串連地址都未開啟公網 | PolarDB叢集的所有串連地址都未開啟公網,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
阿里雲帳號開啟MFA | 阿里雲帳號開啟MFA,視為“合規”。 | | |
RAM使用者開啟MFA | 開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | | |
使用Security Center企業版 | 使用Security Center企業版或者更進階別的版本,視為“合規”。 | A.12.2.1 A.12.4.1 A.12.6.1 A.16.1.1 A.16.1.2
| Controls against malware Event logging Management of technical vulnerabilities Responsibilities and procedures Reporting information security events
|
Key Management Service設定憑據自動輪轉 | Key Management Service中的憑據設定自動輪轉,視為“合規”。如果密鑰類型為普通密鑰,視為“不適用”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.18.1.5
| User registration and de-registration User access provisioning Management of privileged access rights Regulation of cryptographic controls
|
KMS憑據成功輪轉 | KMS憑據開啟自動輪轉並且根據設定的輪轉周期成功進行了輪轉,視為“合規”。通用憑據不支援在KMS直接配置周期性輪轉,視為“不適用”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.18.1.5
| User registration and de-registration User access provisioning Management of privileged access rights Regulation of cryptographic controls
|
RAM使用者密碼策略符合要求 | RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 | | |
RAM使用者的AccessKey在指定時間內輪換 | RAM使用者的AccessKey建立時間距離檢查時間不超過指定天數,視為“合規”。預設值:90天。 | | |
開啟Action Trail全量日誌跟蹤 | Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員帳號,當管理員有建立應用到所有成員帳號的跟蹤時,視為“合規”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.12.4.1 A.12.4.2 A.12.4.3 A.14.1.1 A.14.2.3 A.16.1.2 A.16.1.7
| User registration and de-registration User access provisioning Management of privileged access rights Event logging Protection of log information Administrator and operator logs Information security requirements analysis and specification Technical review of applications after operating platform changes Reporting information security events Collection of evidence
|
RDS執行個體開啟TDE加密 | RDS執行個體的資料安全性設定開啟TDE加密,視為“合規”。不支援TDE加密的執行個體規格或版本視為“不適用”。 | A.10.1.1 | Policy on the use of cryptographic controls |
OSS儲存空間權限原則設定安全訪問 | OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間,視為“不適用”。 | | Policy on the use of cryptographic controls Information transfer policies and procedures Securing application services on public networks
|
OSS儲存空間開啟服務端加密 | OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。 | | |
SLB使用認證為阿里雲簽發 | SLB使用認證為阿里雲簽發,視為“合規”。 | | Policy on the use of cryptographic controls Information transfer policies and procedures Securing application services on public networks
|
NAS檔案系統設定了加密 | NAS檔案系統設定了加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
ECS資料磁碟開啟加密 | ECS資料磁碟已開啟加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
Elasticsearch執行個體資料節點開啟雲端硬碟加密 | Elasticsearch執行個體資料節點開啟雲端硬碟加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
PolarDB叢集開啟TDE | PolarDB叢集開啟TDE,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
Table Store執行個體中所有資料表都設定加密 | Table Store執行個體中所有資料表都設定了加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
MaxCompute專案開啟加密 | MaxCompute專案開啟加密,視為“合規”。凍結狀態的專案,視為“不適用”。 | A.10.1.1 | Policy on the use of cryptographic controls |
Key Management Service設定主要金鑰自動輪轉 | 對Key Management Service中的使用者主要金鑰設定自動輪轉,視為“合規”。如果是服務密鑰,視為“不適用”。如果來源是使用者內建密鑰,視為“不適用”。 | | |
KMS主要金鑰未設定為待刪除 | KMS主要金鑰未設定為待刪除,視為“合規”。 | | |
SSL認證到期檢測 | SSL認證到期時間剩餘天數大於參數指定的天數,視為“合規”。參數預設值為30天。 | A.10.1.2 A.13.1.1 A.13.1.3 A.13.2.1 A.13.2.3 A.14.1.2 A.18.1.4
| Key management Network controls Segregation in networks Information transfer policies and procedures Electronic messaging Securing application services on public networks Privacy and protection of personally identifiable information
|
為PolarDB叢集設定合理的維護時間段 | PolarDB叢集的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | A.12.1.2 | Change management |
為RDS執行個體設定合理的可維護時間段 | RDS執行個體的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | A.12.1.2 | Change management |
為自動快照原則設定合理的建立時間點 | 自動快照策略中設定的快照建立時間點在參數指定的時間點範圍內,視為“合規”。建立快照會暫時降低Block StorageI/O效能,一般效能差異在10%以內,出現短暫瞬間變慢。建議您選擇避開業務高峰的時間點。 | A.12.1.2 | Change management |
Function Compute中函數設定滿足參數指定要求 | Function Compute2.0中的函數設定滿足參數指定的要求,視為“合規”。 | A.12.1.3 | Capacity management |
專用網路交換器可用IP數量大於指定值 | 專用網路交換器可用IP數量大於指定數值,視為“合規”。 | A.12.1.3 | Capacity management |
ECS磁碟設定自動快照策略 | ECS磁碟設定了自動快照策略,視為“合規”。 | A.12.3.1 | Information backup |
為NAS檔案系統建立備份計劃 | 為NAS檔案系統建立備份計劃,視為“合規”。 | A.12.3.1 | Information backup |
ADB叢集開啟記錄備份 | ADB叢集開啟記錄備份,視為“合規”。 | A.12.3.1 | Information backup |
RDS執行個體開啟記錄備份 | RDS執行個體開啟記錄備份視為“合規”。 | A.12.3.1 | Information backup |
Redis執行個體開啟增量備份 | Redis執行個體開啟增量備份,視為“合規”。本規則只適用於類型為Tair或企業版的執行個體,非Tair或企業版類型的執行個體視為不適用。 | A.12.3.1 | Information backup |
OSS儲存空間開啟同城冗餘儲存 | 如果沒有開啟同城冗餘儲存,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響資料恢複目標。OSS儲存空間開啟同城冗餘儲存,視為“合規”。 | | |
PolarDB叢集的資料一級備份保留周期滿足指定要求 | PolarDB叢集一級備份保留周期大於等於指定天數,視為“合規”。參數預設值7天。 | A.12.3.1 | Information backup |
OSS儲存空間開啟版本控制 | 如果沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。如果開啟版本控制則視為“合規”。 | | |
SLB執行個體開啟訪問日誌 | SLB傳統型Server Load Balancer執行個體開啟訪問日誌,視為“合規”。未啟用7層監聽的執行個體不支援開啟訪問日誌,視為“不適用”。 | A.12.4.1 A.14.1.1 A.14.2.3 A.16.1.7
| |
VPC開啟流日誌記錄 | VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 | A.12.4.1 A.14.1.1 A.14.2.3 A.16.1.7
| |
為API分組設定調用日誌儲存 | API Gateway中API分組設定了調用日誌儲存,視為“合規”。 | A.12.4.1 | Event logging |
OSS儲存空間開啟日誌轉存 | OSS儲存空間的日誌管理中開啟日誌轉存,視為“合規”。 | A.12.4.1 | Event logging |
PolarDB叢集開啟SQL審計 | PolarDB叢集SQL審計狀態為開啟,視為“合規”。 | A.12.4.1 A.14.2.3 A.16.1.1 A.16.1.7
| |
PolarDB叢集記錄備份保留周期滿足指定要求 | PolarDB叢集記錄備份保留周期大於等於指定天數,視為“合規”。參數預設值30天。未開啟記錄備份或備份保留周期小於指定天數視為“不合規”。 | A.12.4.2 | Protection of log information |
運行中的ECS執行個體無待修複漏洞 | ECS執行個體在Security Center無指定類型和等級的待修複漏洞,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | A.12.6.1 | Management of technical vulnerabilities |
安全性群組指定協議不允許對全部網段開啟風險連接埠 | 當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組,視為“不適用”。 | A.13.1.1 A.13.1.3 A.13.2.3 A.18.1.4
| |
PolarDB執行個體IP白名單禁止設定為全網段 | PolarDB執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。 | A.13.1.1 A.13.1.3 A.18.1.3 A.18.1.4
| |
PolarDB叢集設定SSL加密 | PolarDB叢集設定了SSL加密,視為“合規”。 | | |
CDN網域名稱開啟TLS13版本檢測 | 檢測CDN網域名稱是否啟用TLS1.3,啟用視為“合規”。 | | |
DTS同步任務源庫和目標庫使用SSL安全連結 | DTS執行個體下同步任務源庫和目標庫均使用SSL安全連結,視為“合規”。任務類型為非同步類型的DTS執行個體不適用本規則,視為“不適用”。 | A.13.2.1 | Information transfer policies and procedures |
Function Compute函數綁定到自訂網域名且開啟TLS指定版本 | Function Compute函數綁定到自訂網域名且開啟TLS指定版本,視為“合規”。 | | |
SLB開啟HTTPS監聽 | SLB在指定連接埠上開啟HTTPS協議的監聽,視為“合規”。如果SLB執行個體只開啟TCP或者UDP協議的監聽,視為“不適用”。 | | |
ACK叢集節點安裝CloudMonitor外掛程式 | ACK叢集節點均已安裝CloudMonitor外掛程式,且外掛程式運行狀態正常,視為“合規”。 | | Secure development policy Responsibilities and procedures Reporting information security events
|
運行中的ECS執行個體安裝了CloudMonitor外掛程式 | 運行中的ECS執行個體安裝CloudMonitor外掛程式而且外掛程式狀態為運行中,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | A.12.5.1 A.14.2.1 A.16.1.1 A.16.1.2
| Installation of software on operational systems Secure development policy Responsibilities and procedures Reporting information security events
|
Security Center通知專案已設定通知方式 | Security Center通知專案均已設定通知方式,視為“合規”。 | A.16.1.2 | Reporting information security events |
IPsecVPN串連正常 | IPsec VPN串連狀態為“已建立”,視為“合規”。 | A.17.1.2 | Implementing information security continuity |
SLB執行個體開啟釋放保護 | SLB執行個體開啟釋放保護,視為“合規”。 | A.17.1.2 | Implementing information security continuity |
Auto Scaling組開啟ECS執行個體健全狀態檢查 | Auto Scaling組開啟對ECS執行個體的健全狀態檢查,視為“合規”。 | | |
使用多可用性區域的RDS執行個體 | RDS執行個體為多可用性區域執行個體,視為“合規”。 | | |
PolarDB叢集開啟刪除保護 | PolarDB叢集開啟刪除保護,視為“合規”。預付費類型的叢集視為“不適用”。 | A.17.1.2 | Implementing information security continuity |
ACK叢集建議開啟釋放保護 | ACK叢集開啟釋放保護,視為“合規”。 | A.17.1.2 | Implementing information security continuity |
為PolarDB叢集開啟熱備叢集 | PolarDB叢集開啟儲存熱備叢集,資料分布在多個可用性區域,視為“合規”。 | | |
Auto Scaling組關聯至少兩個交換器 | Auto Scaling組關聯至少兩個交換器,視為“合規”。 | A.17.2.1 | Availability of information processing facilities |
使用多可用性區域的ALB執行個體 | ALB執行個體為多可用性區域執行個體,視為“合規”。如果只選擇了一個可用性區域,當這個可用性區域出現故障時,會影響ALB執行個體,進而影響業務穩定性。 | A.17.2.1 | Availability of information processing facilities |
使用地區級多可用性區域叢集 | 使用地區級ACK叢集,節點分布在3個及以上可用性區域,視為“合規”。 | A.17.2.1 | Availability of information processing facilities |
ALB負載平衡的所有監聽和轉寄規則都設定了健全狀態檢查 | ALB負載平衡的所有監聽和轉寄規則均設定了健全狀態檢查,視為“合規”。 | A.17.2.1 | Availability of information processing facilities |