規(guī)則名稱

規(guī)則描述

開啟操作審計(jì)全量日志跟蹤

操作審計(jì)中存在開啟狀態(tài)的跟蹤，且跟蹤全部地域和全部事件類型，視為“合規(guī)”。如果是資源目錄成員賬號(hào)，當(dāng)管理員有創(chuàng)建應(yīng)用到所有成員賬號(hào)的跟蹤時(shí)，視為“合規(guī)”。

為ADB集群設(shè)置合理的可維護(hù)時(shí)間段

ADB集群的可維護(hù)時(shí)間段在參數(shù)指定的其中一個(gè)時(shí)間段范圍內(nèi)，視為“合規(guī)”。

ADB集群未開啟公網(wǎng)

ADB實(shí)例未開啟公網(wǎng)訪問，視為“合規(guī)”。

API網(wǎng)關(guān)中API分組綁定域名接入WAF或者WAF3.0

API網(wǎng)關(guān)中的API分組綁定的域名接入了WAF或者WAF3.0，視為“合規(guī)”。

API網(wǎng)關(guān)中API分組的自定義域名設(shè)置了SSL證書

API網(wǎng)關(guān)中的API分組綁定自定義域名并且設(shè)置了SSL證書，視為“合規(guī)”。

云盤閑置檢測(cè)

云盤為狀態(tài)為使用中，視為“合規(guī)”。如果云盤創(chuàng)建時(shí)間在指定天數(shù)（默認(rèn)7天）內(nèi)，視為“不適用”。

使用中的ECS數(shù)據(jù)磁盤開啟加密

使用中的ECS數(shù)據(jù)磁盤已開啟加密，視為“合規(guī)”。

運(yùn)行中的ECS實(shí)例開啟云安全中心防護(hù)

通過在主機(jī)上安裝云安全中心插件，提供主機(jī)的安全防護(hù)服務(wù)。如果有安裝云安全中心插件則，視為“合規(guī)”。非運(yùn)行中狀態(tài)的實(shí)例不適用本規(guī)則，視為“不適用”。

ECS實(shí)例被授予實(shí)例RAM角色

ECS實(shí)例被授予了實(shí)例RAM角色，視為“合規(guī)”。

ECS實(shí)例狀態(tài)不是已停止?fàn)顟B(tài)

ECS實(shí)例狀態(tài)不是已停止?fàn)顟B(tài)，視為“合規(guī)”。

運(yùn)行中的ECS實(shí)例無待修復(fù)漏洞

ECS實(shí)例在云安全中心無指定類型和等級(jí)的待修復(fù)漏洞，視為“合規(guī)”。非運(yùn)行中狀態(tài)的實(shí)例不適用本規(guī)則，視為“不適用”。

使用專有網(wǎng)絡(luò)類型的ECS實(shí)例

如果未指定參數(shù)，則檢查ECS實(shí)例的網(wǎng)絡(luò)類型為專有網(wǎng)絡(luò)；如果指定參數(shù)，則檢查ECS實(shí)例的專有網(wǎng)絡(luò)實(shí)例在指定參數(shù)范圍內(nèi)，視為“合規(guī)”。多個(gè)參數(shù)值用英文逗號(hào)（,）分隔。

運(yùn)行中的ECS實(shí)例未綁定公網(wǎng)地址

運(yùn)行中的ECS實(shí)例沒有直接綁定IPv4公網(wǎng)IP或彈性公網(wǎng)IP，視為“合規(guī)”。

檢查閑置安全組

檢查閑置安全組，安全組綁定的ECS實(shí)例數(shù)量大于0，視為“合規(guī)”。

安全組指定協(xié)議不允許對(duì)全部網(wǎng)段開啟風(fēng)險(xiǎn)端口

當(dāng)安全組入網(wǎng)網(wǎng)段設(shè)置為0.0.0.0/0時(shí)，指定協(xié)議的端口范圍不包含指定風(fēng)險(xiǎn)端口，視為“合規(guī)”。若入網(wǎng)網(wǎng)段未設(shè)置為0.0.0.0/0時(shí)，即使端口范圍包含指定的風(fēng)險(xiǎn)端口，視為“合規(guī)”。如果檢測(cè)到的風(fēng)險(xiǎn)端口被優(yōu)先級(jí)更高的授權(quán)策略拒絕，視為“合規(guī)”。云產(chǎn)品或虛商所使用的安全組，視為“不適用”。

安全組非白名單端口入網(wǎng)設(shè)置有效

除指定的白名單端口外，其余端口不能有授權(quán)策略設(shè)置為允許而且來源為0.0.0.0/0的入方向規(guī)則，視為“合規(guī)”。云產(chǎn)品或虛商所使用的安全組不適用本規(guī)則，視為“不適用”。

Elasticsearch實(shí)例數(shù)據(jù)節(jié)點(diǎn)開啟云盤加密

Elasticsearch實(shí)例數(shù)據(jù)節(jié)點(diǎn)開啟云盤加密，視為“合規(guī)”。

使用專有網(wǎng)絡(luò)服務(wù)的Elasticsearch實(shí)例

如果指定參數(shù)，則檢查Elasticsearch實(shí)例關(guān)聯(lián)的專有網(wǎng)絡(luò)在指定參數(shù)范圍內(nèi)，視為“合規(guī)”；如果未指定參數(shù)，則檢查Easticsearch實(shí)例的網(wǎng)絡(luò)類型為專有網(wǎng)絡(luò)，視為“合規(guī)”。

彈性伸縮配置中未設(shè)置分配公網(wǎng)IPv4地址

彈性伸縮配置中未設(shè)置分配公網(wǎng)IPv4地址，視為“合規(guī)”。

函數(shù)計(jì)算服務(wù)禁止訪問公網(wǎng)

函數(shù)計(jì)算服務(wù)設(shè)置了禁止訪問公網(wǎng)，視為“合規(guī)”。

函數(shù)服務(wù)設(shè)置為僅允許指定VPC調(diào)用

函數(shù)服務(wù)設(shè)置為僅允許指定VPC調(diào)用，視為“合規(guī)”。

不使用外部來源KMS主密鑰

KMS主密鑰創(chuàng)建來源不是外部，視為“合規(guī)”。

密鑰管理服務(wù)設(shè)置主密鑰自動(dòng)輪轉(zhuǎn)

對(duì)密鑰管理服務(wù)中的用戶主密鑰設(shè)置自動(dòng)輪轉(zhuǎn)，視為“合規(guī)”。

KMS主密鑰未設(shè)置為待刪除

KMS主密鑰未設(shè)置為待刪除，視為“合規(guī)”。

密鑰管理服務(wù)設(shè)置憑據(jù)自動(dòng)輪轉(zhuǎn)

密鑰管理服務(wù)中的憑據(jù)設(shè)置自動(dòng)輪轉(zhuǎn)，視為“合規(guī)”。

NAS文件系統(tǒng)設(shè)置了加密

NAS文件系統(tǒng)設(shè)置了加密，視為“合規(guī)”。

OSS存儲(chǔ)空間開啟日志轉(zhuǎn)存

OSS存儲(chǔ)空間的日志管理中開啟日志轉(zhuǎn)存，視為“合規(guī)”。

OSS存儲(chǔ)空間權(quán)限策略設(shè)置安全訪問

OSS存儲(chǔ)空間權(quán)限策略中包含了讀寫操作的訪問方式設(shè)置為HTTPS，或者拒絕訪問的訪問方式設(shè)置為HTTP，視為“合規(guī)”。權(quán)限策略為空的OSS存儲(chǔ)空間，視為“不適用”。

OSS存儲(chǔ)空間不能為匿名賬號(hào)授予任何權(quán)限

OSS Bucket授權(quán)策略中未授予匿名賬號(hào)任何讀寫權(quán)限，視為“合規(guī)”。若OSS Bucket未設(shè)置任何授權(quán)策略，視為“合規(guī)”。

OSS存儲(chǔ)空間ACL禁止公共讀

OSS存儲(chǔ)空間的ACL策略禁止公共讀，視為“合規(guī)”。

OSS存儲(chǔ)空間ACL禁止公共讀寫

OSS存儲(chǔ)空間的ACL策略禁止公共讀寫，視為“合規(guī)”。

OSS存儲(chǔ)空間開啟服務(wù)端加密

OSS存儲(chǔ)空間開啟服務(wù)端OSS完全托管加密，視為“合規(guī)”。

OSS存儲(chǔ)空間開啟版本控制

如果沒有開啟版本控制，會(huì)導(dǎo)致數(shù)據(jù)被覆蓋或刪除時(shí)無法恢復(fù)。如果開啟版本控制則，視為“合規(guī)”。

OSS存儲(chǔ)空間使用自定義KMS密鑰加密

OSS存儲(chǔ)空間使用了自定義的KMS密鑰加密，視為“合規(guī)”。

表格存儲(chǔ)實(shí)例中所有數(shù)據(jù)表都設(shè)置加密

表格存儲(chǔ)實(shí)例中所有數(shù)據(jù)表都設(shè)置了加密，視為“合規(guī)”。

RAM用戶組非空

RAM用戶組至少包含一個(gè)RAM用戶，視為“合規(guī)”。

RAM用戶密碼策略符合要求

RAM用戶密碼策略中各項(xiàng)配置滿足參數(shù)設(shè)置的值，視為“合規(guī)”。

不存在超級(jí)管理員

RAM用戶、RAM用戶組、RAM角色均未擁有Resource為*且Action為*的超級(jí)管理員權(quán)限，視為“合規(guī)”。

RAM用戶的AccessKey在指定時(shí)間內(nèi)輪換

RAM用戶下AccessKey的創(chuàng)建時(shí)間距離檢查時(shí)間不超過指定天數(shù)，視為“合規(guī)”。默認(rèn)值：90天。

RAM用戶不存在閑置AccessKey

RAM用戶AccessKey的最后使用時(shí)間距今天數(shù)小于參數(shù)設(shè)置的天數(shù)，視為“合規(guī)”。默認(rèn)值：90天。

RAM用戶歸屬用戶組

所有RAM用戶均歸屬于RAM用戶組，視為“合規(guī)”。

RAM用戶開啟MFA

開啟控制臺(tái)訪問功能的RAM用戶登錄設(shè)置中必須開啟多因素認(rèn)證或者已啟用MFA，視為“合規(guī)”。

RAM用戶及所屬用戶組無超級(jí)管理員或某個(gè)云產(chǎn)品管理員權(quán)限

RAM用戶未擁有管理員權(quán)限或者某個(gè)云產(chǎn)品的管理員權(quán)限，包括繼承自用戶組的權(quán)限，視為“合規(guī)”。

RDS實(shí)例開啟TDE加密

RDS實(shí)例的數(shù)據(jù)安全性設(shè)置開啟TDE加密，視為“合規(guī)”。

RDS實(shí)例SQL審計(jì)日志保留天數(shù)滿足指定要求

RDS Mysql類型實(shí)例開啟SQL審計(jì)且日志保留天數(shù)大于等于指定值，視為“合規(guī)”。默認(rèn)值：180天。

RDS實(shí)例未開公網(wǎng)且IP白名單未設(shè)置為全網(wǎng)段

RDS實(shí)例開啟公網(wǎng)且白名單設(shè)置為0.0.0.0/0，同時(shí)滿足，視為“不合規(guī)”。

阿里云賬號(hào)不存在AccessKey

阿里云賬號(hào)不存在任何狀態(tài)的AccessKey，視為“合規(guī)”。

阿里云賬號(hào)開啟MFA

阿里云賬號(hào)開啟MFA，視為“合規(guī)”。

使用云安全中心企業(yè)版

使用云安全中心企業(yè)版或者更高級(jí)別的版本，視為“合規(guī)”。

SLB實(shí)例開啟訪問日志

SLB傳統(tǒng)型負(fù)載均衡實(shí)例開啟訪問日志，視為“合規(guī)”。未啟用7層監(jiān)聽的實(shí)例不支持開啟訪問日志，視為“不適用”。

SLB開啟HTTPS監(jiān)聽

SLB在指定端口上開啟HTTPS協(xié)議的監(jiān)聽，視為“合規(guī)”。如果SLB實(shí)例只開啟TCP或者UDP協(xié)議的監(jiān)聽，視為“不適用”。

VPC開啟流日志記錄

VPC已開啟流日志（Flowlog）記錄功能，視為“合規(guī)”。

WAF實(shí)例開啟日志采集

已接入WAF2.0進(jìn)行防護(hù)的域名均開啟日志采集，視為“合規(guī)”。