RMiT金融標準檢查合規包基於馬來西亞金融行業通用的IT風險控制標準,持續檢查雲上IT系統的合規性。本文為您介紹RMiT金融標準檢查合規包中的預設規則。
規則名稱 | 規則描述 |
Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員,當管理員有建立應用到所有成員的跟蹤時,視為“合規”。 | |
Action Trail跟蹤狀態為開啟,視為“合規”。 | |
OSS儲存空間使用了自訂的KMS祕密金鑰加密,視為“合規”。 | |
ECS磁碟設定了自動快照策略,視為“合規”。 | |
ECS資料磁碟已開啟加密,視為“合規”。 | |
ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 | |
如果未指定參數,則檢查ECS執行個體的網路類型為專用網路;如果指定參數,則檢查ECS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個參數值用半形逗號(,)分隔。 | |
SLB使用認證為阿里雲簽發,視為“合規”。 | |
SLB伺服器憑證在有效期間內,視為”合規“。 | |
SLB執行個體開啟釋放保護,視為“合規”。 | |
SLB在指定連接埠上開啟HTTPS協議的監聽,視為“合規”。如果SLB執行個體只開啟TCP或者UDP協議的監聽,視為“不適用”。 | |
RAM使用者組至少包含一個RAM使用者,視為“合規”。 | |
RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 | |
RAM使用者、RAM使用者組、RAM角色均未擁有Resource為*和Action為*的超級管理員權限,視為“合規”。 | |
阿里雲帳號不存在任何狀態的AccessKey,視為“合規”。 | |
所有RAM使用者均歸屬於RAM使用者組,視為“合規”。 | |
開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | |
RAM使用者沒有直接綁定權限原則,視為“合規”。推薦RAM使用者從RAM組或角色繼承許可權。 | |
如果RAM使用者在最近90天有登入行為,視為“合規”。如果RAM使用者的最近登入時間為空白,則檢查更新時間,當更新時間小於等於90天時,視為“合規”。未開啟控制台訪問的使用者視為“不適用”。 | |
RDS執行個體未配置公網地址,視為“合規”。生產環境的RDS執行個體不推薦配置公網直接存取,容易被駭客攻擊。 | |
RDS執行個體開啟歷史事件記錄,視為“合規”。 | |
RDS執行個體為多可用性區域執行個體,視為“合規”。 | |
RDS執行個體的資料安全性設定開啟TDE加密,視為“合規”。 | |
OSS儲存空間的日誌管理中開啟日誌轉存,視為“合規”。 | |
為讀寫權限公開的OSS儲存空間設定授權策略,並且授權策略中不能為匿名帳號授予任何讀寫的操作許可權,視為“合規”。讀寫權限為私人的OSS儲存空間視為“不適用”。 | |
OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。 | |
OSS儲存空間開啟服務端KMS加密,視為“合規”。 | |
如果沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。如果開啟版本控制則視為"合規"。 | |
VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 | |
IPsec VPN串連狀態為“已建立”,視為“合規”。 | |
已接入WAF2.0進行防護的網域名稱均開啟日誌採集,視為“合規”。 | |
OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間視為“不適用”。 | |
安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
對Key Management Service中的使用者主要金鑰設定自動輪轉,視為“合規”。 | |
如果指定參數,則檢查Elasticsearch執行個體關聯的專用網路在指定參數範圍內視為“合規”;如果未指定參數,則檢查Easticsearch執行個體的網路類型為專用網路,視為“合規”。 |