本文為您介紹PCI-DSS資料安全標準合規包的業務背景、應用情境,以及合規包中的預設規則。
業務背景
PCI DSS(Payment Card Industry Data Security Standard)是支付卡產業資料安全標準,用於提高持卡人的資料安全,是支付卡組織採用的全球化一致性的資料安全措施。PCI DSS提供了一套保護持卡人資料的技術,以及操作基準。
PCI DSS資料安全標準合規包基於PCI DSS V4.0對帳號資料保護的基準標準,從雲上資源使用和管控方面提供部分建議的合規性檢測。
關於PCI DSS合規標準的更多資訊,請參見PCI安全標準官網。
應用情境
PCI DSS資料安全標準合規包應用於金融行業及對資料安全要求較高的企業。
預設規則
合規包模板為您提供通用的合規性架構,協助您快速建立符合目標情境的合規包。規則的“合規”僅指資源符合規則定義本身的合規性描述,不確保符合特定法規或行業標準的所有要求。
規則名稱 | 規則描述 |
已接入WAF2.0進行防護的網域名稱均開啟日誌採集,視為“合規”。 | |
VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 | |
API Gateway中的API分組綁定自訂網域名且網域名稱接入了WAF防護,視為“合規”。 | |
WAF防護網域名稱開啟指定防護功能模組,視為“合規”。 | |
安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組,視為“不適用”。 | |
除指定的白名單連接埠外,其餘連接埠不能有授權原則設定為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。雲產品或虛商所使用的安全性群組不適用本規則,視為“不適用”。 | |
為讀寫權限公開的OSS儲存空間設定授權策略,並且授權策略中不能為匿名帳號授予任何讀寫的操作許可權,視為“合規”。讀寫權限為私人的OSS儲存空間,視為“不適用”。 | |
ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 | |
RDS執行個體開啟公網且白名單設定為0.0.0.0/0,同時滿足視為“不合規”。 | |
檢測帳號下PolarDB執行個體開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。 | |
Cloud Firewall中不存在未開啟防護的資產,視為“合規”。本規則只對Cloud Firewall付費使用者有效,未開通Cloud Firewall或者免費使用者預設,視為“合規”。 | |
通過在主機上安裝Security Center外掛程式,提供主機的安全防護服務。如果有安裝Security Center外掛程式,視為"合規"。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
使用Security Center企業版或者更進階別的版本,視為“合規”。 | |
ECS執行個體在Security Center無指定類型和等級的待修複漏洞,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
RDS執行個體的SQL審計狀態為開啟,視為“合規”。 | |
Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員帳號,當管理員有建立應用到所有成員帳號的跟蹤時,視為“合規”。 | |
RDS Mysql類型執行個體開啟SQL審計且日誌保留天數大於等於指定值,視為“合規”。預設值:180天。 | |
ECS自動快照原則設定快照保留天數大於設定的天數,視為“合規”。預設值:7天。 | |
PolarDB叢集一級備份保留周期大於等於指定天數,視為“合規”。參數預設值7天。 | |
PolarDB叢集開啟TDE,視為“合規”。 | |
Key Management Service中的憑據設定自動輪轉,視為“合規”。 | |
對Key Management Service中的使用者主要金鑰設定自動輪轉,視為“合規”。 | |
KMS主要金鑰開啟刪除保護,視為“合規”。 | |
OSS儲存空間使用了自訂的KMS祕密金鑰加密,視為“合規”。 | |
RDS執行個體使用自訂密鑰開啟TDE,視為“合規”。 | |
Redis執行個體使用自訂密鑰開啟TDE加密,視為”合規“。 | |
CDN網域名稱開啟HTTPS協議加密,視為“合規”。 | |
API Gateway中開啟公網訪問的API請求方式設定為HTTPS,視為“合規”。只限制內網調用的API不適用此規則,視為“不適用”。 | |
Elasticsearch執行個體使用HTTPS傳輸協議,視為“合規”。 | |
OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間,視為“不適用”。 | |
SLB執行個體的所有HTTPS類型監聽使用參數指定的安全性原則套件版本,視為“合規”。未設定HTTPS類型監聽的SLB執行個體,視為“不適用”。 | |
Function Compute函數綁定到自訂網域名且開啟TLS指定版本,視為“合規”。 | |
帳號下所有ECS執行個體均已安裝Security Center代理,視為“合規”。 | |
在Security Center設定指定風險等級的漏洞掃描,視為“合規”。 | |
Security Center通知專案均已設定通知方式,視為“合規”。 | |
RDS執行個體的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | |
PolarDB叢集的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | |
RAM使用者未綁定符合參數條件的權限原則,包括繼承自使用者組的許可權,視為“合規”。參數預設值表示管理員的許可權配置,表示擁有管理員權限,視為“不合規”。 | |
RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*和Action為*的超級管理員權限,視為“合規”。 | |
RAM使用者下AccessKey的建立時間距離檢查時間不超過指定天數,視為“合規”。預設值:90天。 | |
所有RAM使用者均歸屬於RAM使用者組,視為“合規”。 | |
RAM使用者未同時開啟控制台訪問和API調用訪問,視為“合規”。 | |
阿里雲帳號不存在任何狀態的AccessKey,視為“合規”。 | |
RAM使用者開啟SSO,視為“合規”。 | |
RAM使用者AccessKey的最後使用時間距今天數小於參數設定的天數,視為“合規”。預設值:90天。 | |
如果RAM使用者在最近90天有登入行為,視為“合規”。如果RAM使用者的最近登入時間為空白,則檢查更新時間,當更新時間小於等於90天時,視為“合規”。未開啟控制台訪問的使用者,視為“不適用”。 | |
RAM權限原則至少綁定一個RAM使用者組、RAM角色或RAM使用者,視為“合規”。 | |
RAM使用者組至少包含一個RAM使用者,視為“合規”。 | |
RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 | |
阿里雲帳號開啟MFA,視為“合規”。 | |
開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | |
Security Center未發現已泄露的AccessKey資訊,視為“合規”。 | |
PolarDB叢集SQL審計狀態為開啟,視為“合規”。 | |
如果沒有開啟記錄備份,當本地日誌丟失會出現無法恢複資料的風險。如果RDS執行個體開啟記錄備份,則視為"合規"。 | |
為NAS檔案系統建立備份計劃,視為“合規”。 | |
PolarDB叢集記錄備份保留周期大於等於指定天數,視為“合規”。參數預設值30天。未開啟記錄備份或備份保留周期小於指定天數視為“不合規”。 | |
如果沒有開啟同城冗餘儲存,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響資料恢複目標。OSS儲存空間開啟同城冗餘儲存,視為“合規”。 | |
Log Service日誌庫設定了資料加密,視為“合規”。 | |
OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。 | |
RDS執行個體開啟歷史事件記錄,視為“合規”。 | |
PolarDB叢集參數 | |
企業可以規範企業內部的OS版本,要求生產環境的主機都必須統一作業系統版本。同時對於那些官方停止維護的作業系統需要及時升級,以免出現安全性漏洞。ECS執行個體使用的作業系統英文名稱在指定的白名單範圍中,或者作業系統英文名稱不在指定的黑名單範圍中,視為“合規”。 | |
運行中的ECS執行個體安裝CloudMonitor外掛程式而且外掛程式狀態為運行中,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
在CloudMonitor為指定命名空間的雲端服務設定了至少一條警示規則,視為“合規”。 | |
ECS資料磁碟已開啟加密,視為“合規”。 | |
RDS執行個體開啟了雲端硬碟加密,視為”合規“。 |