基於NIST 800-53 rev5的部分要求,對阿里雲上資源的合規性做檢測。
規則名稱 | 編號 | 編號描述 | 規則描述 |
存在所有指定標籤 | PT-2 | PT-2 可處理個人識別資訊的許可權 SC-16 安全和隱私屬性的傳輸 | 最多可定義10組標籤,資源需同時具有指定的所有標籤,視為“合規”。標籤輸入大小寫敏感,每組最多隻能輸入一個值。 |
ACK叢集控制平面組件日誌開啟檢測 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | ACK託管叢集控制平面組件日誌開啟,視為“合規”。叢集類型非託管版的叢集不適用本規則,視為“不適用”。 |
ACK叢集配置Secret的落盤加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | ACK叢集配置Secret的落盤加密,視為“合規”。非專業託管版叢集視為“不適用”。 |
ACK叢集未設定公網串連端點 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | ACK叢集未設定公網串連端點,視為“合規”。 |
使用維護中的ACK版本 | SA-22 | SA-22 SI-2 缺陷糾正 | 使用的ACK叢集版本未停止維護,視為“合規”。 |
ACK叢集已升級至最新版本 | SA-22 | SA-22 SI-2 缺陷糾正 | ACK叢集已升級到最新版本,視為“合規”。 |
ADB叢集開啟SQL審計日誌 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | ADB叢集開啟SQL審計日誌,視為“合規”。 |
ADB叢集開啟記錄備份 | CP-9 | CP-9 系統備份 SC-36 分散式處理和儲存 SC-28 靜態資訊的保護 CP-10 SC-24 處於已知狀態的失敗 | ADB叢集開啟記錄備份,視為“合規”。 |
為ADB叢集設定合理的可維護時間段 | SA-22 | SA-22 SI-2 缺陷糾正 | ADB叢集的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。 |
ADB叢集未開啟公網 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計資訊的保護 SC-7 邊界保護 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 CA-9 內部系統串連 SC-38 操作安全 CM-12 資訊位置 SC-10 網路斷開 AC-3 存取控制 CP-9 系統備份 AC-4 資訊流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和使用者功能的分離 IA-5 認證管理 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-11 可信路徑 SC-20 安全的名稱/位址解析服務(權威源) IA-3 裝置識別和認證 | ADB執行個體未開啟公網訪問,視為“合規”。 |
使用多可用性區域的ALB執行個體 | CP-7 | CP-7 備用處理網站 CP-9 系統備份 AC-4 資訊流強制 SC-36 分散式處理和儲存 CP-6 備用儲存網站 SC-6 資源可用性 SI-13 可預測的故障預防 SC-22 名稱/位址解析服務的架構和配置 AU-5 對審計Tlog失敗的響應 SI-22 資訊多樣性 CP-2 應急計劃 | ALB執行個體為多可用性區域執行個體,視為“合規”。如果只選擇了一個可用性區域,當這個可用性區域出現故障時,會影響ALB執行個體,進而影響業務穩定性。 |
API Gateway中API分組綁定網域名稱接入WAF或者WAF3.0 | PL-8 | PL-8 SC-3 安全功能隔離 SC-7 邊界保護 AC-4 資訊流強制 | API Gateway中的API分組綁定的網域名稱接入了WAF或者WAF3.0,視為“合規”。 |
API Gateway中API分組的自訂網域名設定了SSL認證 | SC-12 | SC-12 加密金鑰的建立和管理 AC-20 使用外部系統 IA-7 加密模組認證 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-28 靜態資訊的保護 IA-9 服務識別和認證 AC-17 遠端存取 SC-17 公開金鑰基礎設施認證 CA-9 內部系統串連 SC-13 加密保護 SC-23 會話真實性 SC-7 邊界保護 CM-3 配置更改控制 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | API Gateway中的API分組綁定自訂網域名並且設定了SSL認證,視為“合規”。 |
為API分組設定調用日誌儲存 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | API Gateway中API分組設定了調用日誌儲存,視為“合規”。 |
為API分組配置鏈路追蹤功能 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 AU-7 審計記錄減少和報告產生 SI-7 軟體、韌體和資訊的完整性 AU-6 審計記錄審查、分析和報告 AC-17 遠端存取 AU-9 審計資訊的保護 AU-10 非否認性 RA-5 漏洞監控和掃描 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-2 賬戶管理 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | API Gateway中為API分組配置鏈路追蹤功能,視為“合規”。 |
CDN網域名稱開啟HTTPS加密 | SC-12 | SC-12 加密金鑰的建立和管理 AC-20 使用外部系統 IA-7 加密模組認證 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-28 靜態資訊的保護 IA-9 服務識別和認證 AC-17 遠端存取 SC-17 公開金鑰基礎設施認證 CA-9 內部系統串連 SC-13 加密保護 SC-23 會話真實性 SC-7 邊界保護 CM-3 配置更改控制 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | CDN網域名稱開啟HTTPS協議加密,視為“合規”。 |
CDN網域名稱開啟TLS13版本檢測 | CP-9 | CP-9 系統備份 SA-4 擷取流程 CM-7 最少功能 AC-17 遠端存取 MA-4 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 裝置識別和認證 | 檢測CDN網域名稱是否啟用TLS1.3,啟用視為“合規”。 |
為指定雲產品設定CloudMonitor警示規則 | SI-4 | SI-4 系統監控 AU-7 審計記錄減少和報告產生 AU-6 審計記錄審查、分析和報告 AC-17 遠端存取 AU-9 審計資訊的保護 RA-5 漏洞監控和掃描 AC-2 賬戶管理 AC-4 資訊流強制 | 在CloudMonitor為指定命名空間的雲端服務設定了至少一條警示規則,視為“合規”。 |
為容器鏡像執行個體開啟安全掃描 | RA-5 | RA-5 漏洞監控和掃描 | 容器鏡像執行個體開啟鏡像掃描功能,視為“合規”。 |
Container Registry鏡像版本為不可變 | PT-2 | PT-2 可處理個人識別資訊的許可權 SC-16 安全和隱私屬性的傳輸 | Container Registry鏡像版本為不可變,視為“合規”。 |
DTS遷移任務源庫和目標庫使用SSL安全連結 | CP-9 | CP-9 系統備份 AC-17 遠端存取 SC-8 傳輸機密性和完整性 MA-4 SC-23 會話真實性 IA-5 認證管理 IA-3 裝置識別和認證 | DTS執行個體下遷移任務源庫和目標庫均使用SSL安全連結,視為“合規”。任務類型為非遷移類型的DTS執行個體不適用本規則,視為“不適用”。 |
ECI彈性容器組環境變數不包含敏感資訊 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 IA-2 身分識別驗證和認證(組織使用者) SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 AC-2 賬戶管理 | ECI彈性容器組環境變數名稱不包含參數指定的鍵,視為“合規”。參數預設值為AccessKey等。 |
ECS磁碟設定自動快照策略 | CP-9 | CP-9 系統備份 SC-36 分散式處理和儲存 SC-28 靜態資訊的保護 CP-10 SC-24 處於已知狀態的失敗 | ECS磁碟設定了自動快照策略,視為“合規”。狀態非使用中的磁碟、不支援設定自動快照策略的磁碟、ACK叢集掛載的非持久化使用情境的磁碟視為“不適用”。 |
使用中的ECS資料磁碟開啟加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | 使用中的ECS資料磁碟已開啟加密,視為“合規”。 |
不存在閑置的ECS資料磁碟 | SI-12 | SI-12 資訊管理和保留 SI-14 非持久性 AU-11 審計記錄保留 AU-4 審計日誌儲存容量 AU-10 非否認性 | ECS磁碟均已掛載到ECS執行個體,視為“合規”。 |
訪問ECS執行個體中繼資料時強制使用加固模式 | SC-10 | SC-10 網路斷開 SI-14 非持久性 AC-12 會話終止 IA-11 再認證 AC-17 遠端存取 AC-10 並發會話控制 SC-23 會話真實性 AC-2 賬戶管理 | 訪問ECS執行個體中繼資料時強制使用加固模式,視為“合規”。 |
運行中的ECS執行個體安裝了CloudMonitor外掛程式 | SI-4 | SI-4 系統監控 AU-7 審計記錄減少和報告產生 AU-6 審計記錄審查、分析和報告 AC-17 遠端存取 AU-9 審計資訊的保護 RA-5 漏洞監控和掃描 AC-2 賬戶管理 AC-4 資訊流強制 | 運行中的ECS執行個體安裝CloudMonitor外掛程式而且外掛程式狀態為運行中,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 |
ECS執行個體未綁定SSH金鑰組 | AC-3 | AC-3 存取控制 IA-8 身分識別驗證和認證(非組織使用者) IA-2 身分識別驗證和認證(組織使用者) IA-9 服務識別和認證 IA-4 標識管理 IA-5 認證管理 AC-2 賬戶管理 | ECS執行個體未綁定SSH金鑰組,視為“合規”。適用於部分企業對訪問執行個體的特殊管控情境。 |
ECS執行個體被授予執行個體RAM角色 | CM-5 | CM-5 更改訪問限制 AC-9 先前登入通知 IA-8 身分識別驗證和認證(非組織使用者) IA-11 再認證 SC-50 軟體強制分離和策略執行 AC-2 賬戶管理 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 AC-24 存取控制決策 IA-4 標識管理 AC-3 存取控制 AU-6 審計記錄審查、分析和報告 SC-2 系統和使用者功能的分離 IA-5 認證管理 SC-34 不可修改的可執行程式 IA-2 身分識別驗證和認證(組織使用者) AC-7 登入失敗嘗試 AC-6 最小許可權 AC-4 資訊流強制 | ECS執行個體被授予了執行個體RAM角色,視為“合規”。 |
ECS執行個體狀態不是已停止狀態 | SA-3 | SA-3 系統開發生命週期 | ECS執行個體狀態不是已停止狀態,視為“合規”。已到期或者已設定為停機節省模式的執行個體視為“不適用”。 |
運行中的ECS執行個體無待修複漏洞 | SA-22 | SA-22 RA-5 漏洞監控和掃描 SI-2 缺陷糾正 | ECS執行個體在Security Center無指定類型和等級的待修複漏洞,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 |
檢查閑置安全性群組 | CA-9 | CA-9 內部系統串連 SC-7 邊界保護 IA-3 裝置識別和認證 | 檢查閑置安全性群組,安全性群組綁定的ECS執行個體數量大於0視為“合規”。 |
安全性群組非白名單連接埠入網設定有效 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 CM-7 最少功能 AC-17 遠端存取 SA-4 擷取流程 CA-9 內部系統串連 SC-23 會話真實性 SC-7 邊界保護 SC-8 傳輸機密性和完整性 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | 除指定的白名單連接埠外,其餘連接埠不能有授權原則設定為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 |
檢測閑置Elastic IP Address | AC-3 | AC-3 存取控制 AC-16 安全和隱私屬性 PL-10 IA-4 標識管理 CM-2 基準配置 SC-16 安全和隱私屬性的傳輸 AC-4 資訊流強制 | Elastic IP Address已綁定到ECS或者NAT執行個體,非閑置狀態,視為“合規”。 |
Elasticsearch執行個體資料節點開啟雲端硬碟加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | Elasticsearch執行個體資料節點開啟雲端硬碟加密,視為“合規”。 |
Elasticsearch執行個體未開啟公網或不允許任意IP訪問 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | Elasticsearch執行個體未開啟公網訪問,或者白名單未設定為對所有IP開放,視為“合規”。 |
Elasticsearch執行個體使用HTTPS傳輸協議 | CP-9 | CP-9 系統備份 SA-4 擷取流程 CM-7 最少功能 AC-17 遠端存取 MA-4 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 裝置識別和認證 | Elasticsearch執行個體使用HTTPS傳輸協議,視為“合規”。 |
Auto Scaling組開啟ECS執行個體健全狀態檢查 | CP-7 | CP-7 備用處理網站 CP-9 系統備份 AC-4 資訊流強制 SC-36 分散式處理和儲存 CP-6 備用儲存網站 SI-13 可預測的故障預防 SC-22 名稱/位址解析服務的架構和配置 AU-5 對審計Tlog失敗的響應 SI-22 資訊多樣性 CP-2 應急計劃 | Auto Scaling組開啟對ECS執行個體的健全狀態檢查,視為“合規”。 |
Auto Scaling配置中未設定分配公網IPv4地址 | SI-4 | SI-4 系統監控 SC-7 邊界保護 | Auto Scaling配置中未設定分配公網IPv4地址,視為“合規”。 |
Auto Scaling組關聯至少兩個交換器 | SI-22 | SI-22 資訊多樣性 SC-36 分散式處理和儲存 SC-6 資源可用性 | Auto Scaling組關聯至少兩個交換器,視為“合規”。 |
Function Compute中函數設定滿足參數指定要求 | SA-22 | SA-22 SI-2 缺陷糾正 | Function Compute2.0中的函數設定滿足參數指定的要求,視為“合規”。 |
Function Compute服務禁止訪問公網 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計資訊的保護 SC-7 邊界保護 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 CA-9 內部系統串連 SC-38 操作安全 CM-12 資訊位置 SC-10 網路斷開 AC-3 存取控制 CP-9 系統備份 AC-4 資訊流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和使用者功能的分離 IA-5 認證管理 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-11 可信路徑 SC-20 安全的名稱/位址解析服務(權威源) IA-3 裝置識別和認證 | Function Compute服務設定了禁止訪問公網,視為“合規”。 |
Function Compute服務啟用日誌功能 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 CP-7 備用處理網站 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 SC-36 分散式處理和儲存 IR-4 CP-10 AU-10 非否認性 CP-6 備用儲存網站 AU-2 事件記錄記錄 CP-2 應急計劃 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | Function Compute服務啟用日誌功能,視為“合規”。 |
函數服務設定為僅允許指定VPC調用 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | 函數服務設定為僅允許指定VPC調用,視為“合規”。 |
Cloud Firewall中資產開啟保護 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | Cloud Firewall中資產開啟保護,視為“合規”。本規則只對Cloud Firewall付費使用者有效,未開通Cloud Firewall或者免費使用者資產無檢測資料。 |
不使用外部來源KMS主要金鑰 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | KMS主要金鑰建立來源不是外部,視為“合規”。 |
KMS主要金鑰未設定為待刪除 | SC-12 | SC-12 加密金鑰的建立和管理 IA-7 加密模組認證 SC-28 靜態資訊的保護 SC-17 公開金鑰基礎設施認證 SC-13 加密保護 SC-23 會話真實性 CM-3 配置更改控制 IA-5 認證管理 | KMS主要金鑰未設定為待刪除,視為“合規”。 |
KMS憑據成功輪轉 | IA-10 | SIA-10 IA-2 身分識別驗證和認證(組織使用者) AC-24 存取控制決策 IA-5 認證管理 AC-2 賬戶管理 | KMS憑據開啟自動輪轉並且根據設定的輪轉周期成功進行了輪轉,視為“合規”。通用憑據不支援在KMS直接配置周期性輪轉,視為“不適用”。 |
Key Management Service設定憑據自動輪轉 | IA-10 | IA-10 IA-2 身分識別驗證和認證(組織使用者) AC-24 存取控制決策 IA-5 認證管理 AC-2 賬戶管理 | Key Management Service中的憑據設定自動輪轉,視為“合規”。如果密鑰類型為普通密鑰,視為“不適用”。 |
MongoDB執行個體開啟記錄備份 | SI-12 | SI-12 資訊管理和保留 SI-14 非持久性 CP-9 系統備份 SC-36 分散式處理和儲存 AU-11 審計記錄保留 AU-4 審計日誌儲存容量 CP-10 AU-10 非否認性 SC-24 處於已知狀態的失敗 | MongoDB執行個體開啟記錄備份,視為“合規”。 |
MongoDB叢集開啟審計日誌 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | MongoDB執行個體開啟審計日誌,視為“合規”。 |
NAS檔案儲存體存取點啟用RAM策略 | CM-12 | CM-12 資訊位置 AC-3 存取控制 SC-20 安全的名稱/位址解析服務(權威源) AC-16 安全和隱私屬性 CP-9 系統備份 AU-6 審計記錄審查、分析和報告 CA-3 資訊交換 AU-9 審計資訊的保護 SC-2 系統和使用者功能的分離 IA-5 認證管理 AC-4 資訊流強制 SC-38 操作安全 | NAS檔案儲存體存取點啟用RAM策略,視為“合規”。 |
NAS檔案儲存體存取點根目錄未設定為預設目錄 | CM-12 | CM-12 資訊位置 AC-3 存取控制 SC-20 安全的名稱/位址解析服務(權威源) AC-16 安全和隱私屬性 CP-9 系統備份 AU-6 審計記錄審查、分析和報告 CA-3 資訊交換 AU-9 審計資訊的保護 SC-2 系統和使用者功能的分離 IA-5 認證管理 AC-4 資訊流強制 SC-38 操作安全 | 檔案儲存體存取點根目錄未設定為預設的目錄,視為“合規”。 |
為NAS檔案系統建立備份計劃 | CP-9 | CP-9 系統備份 SC-36 分散式處理和儲存 SC-28 靜態資訊的保護 CP-10 SC-24 處於已知狀態的失敗 | 為NAS檔案系統建立備份計劃,視為“合規”。 |
NAS檔案系統設定了加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | NAS檔案系統設定了加密,視為“合規”。 |
OSS儲存空間開啟日誌轉存 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | OSS儲存空間的日誌管理中開啟日誌轉存,視為“合規”。 |
OSS儲存空間權限原則設定安全訪問 | CP-9 | CP-9 系統備份 SA-4 擷取流程 CM-7 最少功能 AC-17 遠端存取 MA-4 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 裝置識別和認證 | OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間視為“不適用”。 |
OSS儲存空間不能為匿名帳號授予任何許可權 | CM-5 | CM-5 更改訪問限制 AC-9 先前登入通知 IA-8 身分識別驗證和認證(非組織使用者) IA-11 再認證 SC-50 軟體強制分離和策略執行 AU-9 審計資訊的保護 AC-2 賬戶管理 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 AC-24 存取控制決策 IA-4 標識管理 AC-3 存取控制 AU-6 審計記錄審查、分析和報告 IA-5 認證管理 SC-34 不可修改的可執行程式 IA-2 身分識別驗證和認證(組織使用者) AC-7 登入失敗嘗試 SA-17 AC-6 最小許可權 AC-4 資訊流強制 | OSS Bucket授權策略中未授予匿名帳號任何讀寫權限,視為“合規”。若OSS Bucket未設定任何授權策略,視為“合規”。 |
OSS儲存空間ACL禁止公用讀取 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計資訊的保護 SC-7 邊界保護 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 CA-9 內部系統串連 SC-38 操作安全 CM-12 資訊位置 SC-10 網路斷開 AC-3 存取控制 CP-9 系統備份 AC-4 資訊流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和使用者功能的分離 IA-5 認證管理 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-11 可信路徑 SC-20 安全的名稱/位址解析服務(權威源) IA-3 裝置識別和認證 | OSS儲存空間的ACL策略禁止公用讀取,視為“合規”。 |
OSS儲存空間ACL禁止公用讀寫 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計資訊的保護 SC-7 邊界保護 AU-16 跨組織審計日誌記錄 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 CA-9 內部系統串連 SC-38 操作安全 CM-12 資訊位置 SC-10 網路斷開 AC-3 存取控制 CP-9 系統備份 AU-6 審計記錄審查、分析和報告 SC-2 系統和使用者功能的分離 IA-5 認證管理 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-11 可信路徑 AU-7 審計記錄減少和報告產生 SC-20 安全的名稱/位址解析服務(權威源) AC-4 資訊流強制 IA-3 裝置識別和認證 | OSS儲存空間的ACL策略禁止公用讀寫,視為“合規”。 |
OSS儲存空間開啟服務端加密 | AU-7 | AU-7 審計記錄減少和報告產生 SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 AU-16 跨組織審計日誌記錄 | OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。 |
OSS儲存空間開啟版本控制 | SC-21 | SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-34 不可修改的可執行程式 SI-7 軟體、韌體和資訊的完整性 SI-19 去標識化 SC-23 會話真實性 SC-16 安全和隱私屬性的傳輸 AU-16 跨組織審計日誌記錄 SC-20 安全的名稱/位址解析服務(權威源) | 如果沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。如果開啟版本控制則視為"合規"。 |
OSS儲存空間開啟服務端KMS加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | OSS儲存空間開啟服務端KMS加密,視為“合規”。 |
OSS儲存空間開啟同城冗餘儲存 | CP-7 | CP-7 備用處理網站 CP-9 系統備份 AC-4 資訊流強制 SC-36 分散式處理和儲存 CP-6 備用儲存網站 SC-6 資源可用性 SI-13 可預測的故障預防 SC-22 名稱/位址解析服務的架構和配置 AU-5 對審計Tlog失敗的響應 SI-22 資訊多樣性 CP-2 應急計劃 | 如果沒有開啟同城冗餘儲存,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響資料恢複目標。OSS儲存空間開啟同城冗餘儲存,視為“合規”。 |
Table Store執行個體中所有資料表都設定加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | Table Store執行個體中所有資料表都設定了加密,視為“合規”。 |
PolarDB叢集開啟SQL審計 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | PolarDB叢集SQL審計狀態為開啟,視為“合規”。 |
PolarDB叢集的資料一級備份保留周期滿足指定要求 | CP-9 | CP-9 系統備份 SC-36 分散式處理和儲存 SC-28 靜態資訊的保護 CP-10 SC-24 處於已知狀態的失敗 | PolarDB叢集一級備份保留周期大於等於指定天數,視為“合規”。參數預設值7天。 |
為PolarDB叢集開啟熱備叢集 | SI-22 | SI-22 資訊多樣性 SC-36 分散式處理和儲存 SC-6 資源可用性 | PolarDB叢集開啟儲存熱備叢集,資料分布在多個可用性區域,視為“合規”。 |
PolarDB資料庫小版本狀態為stable | SA-22 | SA-22 SI-2 缺陷糾正 | PolarDB當前資料庫小版本狀態為stable的視為“合規”。 |
RAM使用者組非空 | AC-3 | AC-3 存取控制 IA-8 身分識別驗證和認證(非組織使用者) IA-2 身分識別驗證和認證(組織使用者) AU-6 審計記錄審查、分析和報告 IA-9 服務識別和認證 AU-9 審計資訊的保護 IA-4 標識管理 SA-1 IA-5 認證管理 AC-6 最小許可權 AC-2 賬戶管理 | RAM使用者組至少包含一個RAM使用者,視為“合規”。 |
不存在閑置的RAM使用者組 | CM-5 | CM-5 更改訪問限制 AC-3 存取控制 IA-8 身分識別驗證和認證(非組織使用者) IA-2 身分識別驗證和認證(組織使用者) IA-9 服務識別和認證 IA-4 標識管理 IA-5 認證管理 AC-2 賬戶管理 | RAM使用者組至少包含一個RAM使用者且綁定了至少一個RAM權限原則,視為“合規”。 |
不存在閑置的RAM權限原則 | CM-5 | CM-5 更改訪問限制 AC-9 先前登入通知 IA-8 身分識別驗證和認證(非組織使用者) IA-11 再認證 SC-50 軟體強制分離和策略執行 AC-2 賬戶管理 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 AC-24 存取控制決策 IA-4 標識管理 AC-3 存取控制 AU-6 審計記錄審查、分析和報告 IA-5 認證管理 SC-34 不可修改的可執行程式 IA-2 身分識別驗證和認證(組織使用者) AC-7 登入失敗嘗試 AC-6 最小許可權 AC-4 資訊流強制 | RAM權限原則至少綁定一個RAM使用者組、RAM角色或RAM使用者,視為“合規”。 |
不存在超級管理員 | CM-5 | CM-5 更改訪問限制 AC-9 先前登入通知 IA-8 身分識別驗證和認證(非組織使用者) IA-11 再認證 SC-50 軟體強制分離和策略執行 AU-9 審計資訊的保護 SC-7 邊界保護 AC-2 賬戶管理 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 SI-3 惡意代碼防護 AC-24 存取控制決策 IA-4 標識管理 AC-3 存取控制 AU-6 審計記錄審查、分析和報告 IA-5 認證管理 SC-34 不可修改的可執行程式 IA-2 身分識別驗證和認證(組織使用者) CM-7 最少功能 AC-7 登入失敗嘗試 AC-6 最小許可權 AC-4 資訊流強制 | RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 |
RAM使用者開啟MFA | IA-2 | IA-2 身分識別驗證和認證(組織使用者) | 開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA,視為“合規”。 |
RDS執行個體SQL審計日誌保留天數滿足指定要求 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | RDS MySQL類型執行個體開啟SQL審計且日誌保留天數大於等於指定值,視為“合規”。預設值:180天。不支援該功能的執行個體規格視為“不適用”。 |
RDS執行個體開啟記錄備份 | CP-9 | CP-9 系統備份 SC-36 分散式處理和儲存 SC-28 靜態資訊的保護 CP-10 SC-24 處於已知狀態的失敗 | RDS執行個體開啟記錄備份視為"合規"。 |
RDS執行個體開啟雲端硬碟加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | RDS執行個體開啟了雲端硬碟加密,視為”合規“。本地碟或者不支援雲端硬碟加密的規格執行個體視為“不適用”。 |
RDS執行個體開啟TDE加密 | SC-34 | SC-34 不可修改的可執行程式 CP-9 系統備份 SC-28 靜態資訊的保護 AU-9 審計資訊的保護 IA-5 認證管理 | RDS執行個體的資料安全性設定開啟TDE加密,視為“合規”。 |
使用多可用性區域的RDS執行個體 | SI-22 | SI-22 資訊多樣性 SC-36 分散式處理和儲存 SC-6 資源可用性 | RDS執行個體為多可用性區域執行個體,視為“合規”。 |
開啟公網IP的RDS執行個體白名單未對所有來源開放 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計資訊的保護 SC-7 邊界保護 CA-3 資訊交換 AC-17 遠端存取 IA-9 服務識別和認證 CA-9 內部系統串連 SC-38 操作安全 CM-12 資訊位置 SC-10 網路斷開 AC-3 存取控制 CP-9 系統備份 AC-4 資訊流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和使用者功能的分離 IA-5 認證管理 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) SC-11 可信路徑 SC-20 安全的名稱/位址解析服務(權威源) IA-3 裝置識別和認證 | RDS執行個體為開啟公網IP,或者開啟白名單未設定為對所有來源IP開放,視為“合規”。 |
Redis執行個體開啟增量備份 | CP-9 | CP-9 系統備份 SC-36 分散式處理和儲存 SC-28 靜態資訊的保護 CP-10 SC-24 處於已知狀態的失敗 | Redis執行個體開啟增量備份,視為“合規”。本規則只適用於類型為Tair或企業版的執行個體,非Tair或企業版類型的執行個體視為不適用。 |
Redis執行個體升級至最新小版本 | SA-22 | SA-22 SI-2 缺陷糾正 | Redis執行個體已升級至最新小版本,視為“合規”。 |
阿里雲帳號不存在AccessKey | CM-5 | CM-5 更改訪問限制 AC-3 存取控制 IA-8 身分識別驗證和認證(非組織使用者) IA-2 身分識別驗證和認證(組織使用者) IA-9 服務識別和認證 AC-17 遠端存取 CM-7 最少功能 AU-9 審計資訊的保護 SI-3 惡意代碼防護 SC-7 邊界保護 IA-4 標識管理 IA-5 認證管理 AC-2 賬戶管理 AC-6 最小許可權 AC-4 資訊流強制 | 阿里雲帳號不存在任何狀態的AccessKey,視為“合規”。 |
阿里雲帳號開啟MFA | IA-2 | IA-2 身分識別驗證和認證(組織使用者) | 阿里雲帳號開啟MFA,視為“合規”。 |
使用Security Center企業版 | SI-4 | SI-4 系統監控 AU-7 審計記錄減少和報告產生 AU-6 審計記錄審查、分析和報告 AC-17 遠端存取 AU-9 審計資訊的保護 RA-5 漏洞監控和掃描 AC-2 賬戶管理 AC-4 資訊流強制 | 使用Security Center企業版或者更進階別的版本,視為“合規”。 |
使用多可用性區域SLB執行個體並為伺服器組配置多個可用性區域資源 | CP-7 | CP-7 備用處理網站 CP-9 系統備份 AC-4 資訊流強制 SC-36 分散式處理和儲存 CP-6 備用儲存網站 SC-6 資源可用性 SI-13 可預測的故障預防 SC-22 名稱/位址解析服務的架構和配置 AU-5 對審計Tlog失敗的響應 SI-22 資訊多樣性 CP-2 應急計劃 | SLB執行個體為多可用性區域,並且SLB執行個體下所有監聽使用的伺服器組中添加了多個可用性區域的資源,視為“合規”。 |
SLB執行個體的HTTPS監聽使用指定的安全性原則套件 | CP-9 | CP-9 系統備份 SA-4 擷取流程 CM-7 最少功能 AC-17 遠端存取 MA-4 SC-13 加密保護 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 裝置識別和認證 | SLB執行個體的所有HTTPS類型監聽使用參數指定的安全性原則套件版本,視為“合規”。未設定HTTPS類型監聽的SLB執行個體,視為“不適用”。 |
SLB執行個體開啟訪問日誌 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | SLB傳統型Server Load Balancer執行個體開啟訪問日誌,視為“合規”。未啟用7層監聽的執行個體不支援開啟訪問日誌,視為“不適用”。 |
SLB開啟HTTPS監聽 | CP-9 | CP-9 系統備份 SA-4 擷取流程 CM-7 最少功能 AC-17 遠端存取 MA-4 SC-13 加密保護 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 裝置識別和認證 | SLB在指定連接埠上開啟HTTPS協議的監聽,視為“合規”。如果SLB執行個體只開啟TCP或者UDP協議的監聽,視為“不適用”。 |
SSL認證到期檢測 | SC-12 | SC-12 加密金鑰的建立和管理 IA-7 加密模組認證 SC-28 靜態資訊的保護 SC-17 公開金鑰基礎設施認證 SC-13 加密保護 SC-23 會話真實性 CM-3 配置更改控制 IA-5 認證管理 | SSL認證到期時間剩餘天數大於參數指定的天數,視為”合規“。參數預設值為30天。 |
VPC開啟流日誌記錄 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登入通知 SI-7 軟體、韌體和資訊的完整性 AU-10 非否認性 AU-2 事件記錄記錄 AU-8 時間戳記 AU-3 審計記錄內容 AC-6 最小許可權 AU-12 審計記錄產生 AC-4 資訊流強制 | VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 |
專用網路ACL未開放風險連接埠 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | 當專用網路存取控制入方向規則目的地址設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。 |
專用網路ACL綁定至少一個資源 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | 專用網路ACL綁定至少一個資源,視為“合規”。 |
VPC自訂路由目標網段未設定為全部網段 | SC-3 | SC-3 安全功能隔離 AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-6 最小許可權 AC-4 資訊流強制 IA-3 裝置識別和認證 | VPC路由表自訂路由條目目標網段未設定為全部網段,視為“合規”。 |
IPsecVPN串連正常 | SC-3 | SC-3 安全功能隔離 AC-4 資訊流強制 SC-36 分散式處理和儲存 PL-8 SC-7 邊界保護 SI-22 資訊多樣性 SC-6 資源可用性 | IPsec VPN串連狀態為“已建立”,視為“合規”。 |
WAF3.0執行個體開啟指定防護規則 | AC-20 | AC-20 使用外部系統 SC-10 網路斷開 SC-11 可信路徑 SC-21 安全的名稱/位址解析服務(遞迴或緩衝解析器) IA-9 服務識別和認證 AC-17 遠端存取 CA-9 內部系統串連 SC-7 邊界保護 IA-5 認證管理 AC-4 資訊流強制 IA-3 裝置識別和認證 | WAF3.0執行個體開啟指定防護情境的規則,視為“合規”。 |