全部产品
Search

搜索本产品

    配置审计:网络及数据安全最佳实践

    文档中心

    配置审计:网络及数据安全最佳实践

    更新时间:Feb 27, 2024

    从网络架构和数据安全等方面进行全面检测,以确保系统和数据进行了合理的设置和保护,有效减少网络和数据泄露的风险,请参考CIS Benchmarks文件要求。本文为您介绍网络及数据安全最佳实践中的默认规则。

    规则名称

    规则描述

    使用中的ECS数据磁盘开启加密

    使用中的ECS数据磁盘已开启加密,视为“合规”。

    使用专有网络类型的ECS实例

    如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用英文逗号(,)分隔。

    OSS存储空间开启服务端加密

    OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

    RDS实例禁止配置公网地址

    RDS实例未配置公网地址,视为“合规”。生产环境的RDS实例不推荐配置公网直接访问,容易被黑客攻击。

    RAM用户开启MFA

    开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。

    阿里云账号不存在AccessKey

    阿里云账号不存在任何状态的AccessKey,视为“合规”。

    阿里云账号开启MFA

    阿里云账号开启MFA,视为“合规”。

    RAM用户密码策略符合要求

    RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

    不存在超级管理员

    RAM用户、RAM用户组、RAM角色均未拥有Resource为且Action为的超级管理员权限,视为“合规”。

    不直接授权给RAM用户

    RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。

    OSS存储空间开启日志转存

    OSS存储空间的日志管理中开启日志转存,视为“合规”。

    OSS存储空间使用自定义KMS密钥加密

    OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。

    RDS实例开启SQL审计

    RDS实例的SQL审计状态为开启,视为“合规”。

    RDS实例SQL审计日志保留天数满足指定要求

    RDS Mysql类型实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。默认值:180天。

    PostgreSQL数据库参数log_connections设置为on

    RDS实例PostgreSQL类型数据库参数log_connections设置为on,视为“合规”。

    PostgreSQL数据库参数log_disconnections设置为on

    RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。

    PostgreSQL数据库参数log_duration设置为on

    RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。

    OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限

    为读写权限公开的OSS Bucket设置授权策略,并且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。读写权限为私有的OSS Bucket,视为“不适用”。

    OSS存储空间权限策略设置安全访问

    OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间,视为“不适用”。

    OSS存储空间授权策略设置IP限制

    OSS Bucket读写权限设置为私有,或者授权策略中包含只允许特定IP访问的策略,视为“合规”。

    OSS存储空间ACL禁止公共读写

    OSS存储空间的ACL策略禁止公共读写,视为“合规”。

    OSS存储空间ACL禁止公共读

    OSS存储空间的ACL策略禁止公共读,视为“合规”。

    账号下所有ECS实例已安装云安全中心代理

    账号下所有ECS实例均已安装云安全中心代理,视为“合规”。

    所有ECS实例漏洞都已修复

    云安全中心发现的所有ECS实例的漏洞都已修复,视为“合规”。

    VPC自定义网段已设置路由

    VPC自定义网段在关联路由表中存在至少一条网段内IP的路由信息,视为“合规”。

    RAM用户在指定时间内有登录行为

    如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户,视为“不适用”。

    RAM用户的AccessKey在指定时间内轮换

    RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。

    VPC开启流日志记录

    VPC已开启流日志(Flowlog)记录功能,视为“合规”。

    RDS实例开启TDE加密

    RDS实例的数据安全性设置开启TDE加密,视为“合规”。

    RDS实例使用SSL证书

    RDS实例的数据安全性设置开启SSL证书,视为“合规”。

    开启操作审计全量日志跟踪

    操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。

    WAF实例开启日志采集

    已接入WAF2.0进行防护的域名均开启日志采集,视为“合规”。

    ACK集群使用Terway网络插件

    ACK集群使用Terway网络插件,视为“合规”。

    ACK集群未设置公网连接端点

    ACK集群未设置公网连接端点,视为“合规”。

    ACK集群节点安装云监控插件

    ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。

    云安全中心通知项目已设置通知方式

    云安全中心通知项目均已设置通知方式,视为“合规”。

    使用云安全中心企业版

    使用云安全中心企业版或者更高级别的版本,视为“合规”。

    安全组指定协议不允许对全部网段开启风险端口

    当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组,视为“不适用”。

    运行中的ECS实例开启云安全中心防护

    通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件则视为"合规"。非运行中状态的实例不适用本规则,视为“不适用”。

    在云安全中心设置指定等级的漏洞扫描

    在云安全中心设置指定风险等级的漏洞扫描,视为“合规”。

    RDS实例使用自定义密钥开启TDE

    RDS实例使用自定义密钥开启TDE,视为“合规”。