規則名稱 | 規則描述 | 建議項編號 | 建議項說明 |
RAM用戶訪問設置人員和程序分離 | RAM用戶未同時開啟控制臺訪問和API調用訪問,視為“合規”。 | A.6.1.2 | Segregation of duties |
不直接授權給RAM用戶 | RAM用戶沒有直接綁定權限策略,視為“合規”。推薦RAM用戶從RAM組或角色繼承權限。 | A.6.1.2 | Segregation of duties |
不存在閑置的RAM用戶組 | RAM用戶組至少包含一個RAM用戶且綁定了至少一個RAM權限策略,視為“合規”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3
| |
RAM用戶組非空 | RAM用戶組至少包含一個RAM用戶,視為“合規”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3
| |
不存在超級管理員 | RAM用戶、RAM用戶組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.1 A.9.4.5 A.18.1.3
| Segregation of duties Access control policy User registration and de-registration User access provisioning Management of privileged access rights Information access restriction Access control to program source code Protection of records
|
不存在閑置的RAM權限策略 | RAM權限策略至少綁定一個RAM用戶組、RAM角色或RAM用戶,視為“合規”。 | A.6.1.2 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.5
| Segregation of duties User registration and de-registration User access provisioning Management of privileged access rights Access control to program source code
|
運行中的ECS實例開啟云安全中心防護 | 通過在主機上安裝云安全中心插件,提供主機的安全防護服務。如果有安裝云安全中心插件,則視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | A.8.1.1 A.8.1.2 A.12.1.2 A.12.5.1 A.12.6.1 A.14.1.1 A.14.2.1 A.16.1.2
| Inventory of assets Ownership of assets Change management Installation of software on operational systems Management of technical vulnerabilities Information security requirements analysis and specification Secure development policy Reporting information security events
|
存在所有指定標簽 | 最多可定義10組標簽,資源需同時具有指定的所有標簽,視為“合規”。標簽輸入大小寫敏感,每組最多只能輸入一個值。 | | Inventory of assets Ownership of assets
|
ECS關聯資源所屬資源組繼承自ECS實例 | 相關資源繼承ECS實例歸屬的資源組檢測,綁定了ECS實例且資源組信息一致,視為“合規”,如果未綁定到ECS實例視為“不適用”。 | | Inventory of assets Ownership of assets
|
資源關聯的資源組不是默認資源組 | 資源關聯的資源組不是默認資源組,視為“合規”。若未關聯資源組,視為“不適用”。 | | Inventory of assets Ownership of assets
|
阿里云賬號不存在AccessKey | 阿里云賬號不存在任何狀態的AccessKey,視為“合規”。 | A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.1 A.9.4.4 A.9.4.5 A.18.1.3
| Access control policy User registration and de-registration User access provisioning Management of privileged access rights Information access restriction Use of privileged utility programs Access control to program source code Protection of records
|
不直接授權給RAM用戶 | RAM用戶沒有直接綁定權限策略,視為“合規”。推薦RAM用戶從RAM組或角色繼承權限。 | | Segregation of duties Access control policy
|
Elasticsearch實例未開啟公網訪問 | Elasticsearch實例未開啟公網訪問,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.13.1.1 A.13.1.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Network controls Segregation in networks Protection of records Privacy and protection of personally identifiable information
|
OSS存儲空間ACL禁止公共讀寫 | OSS存儲空間的ACL策略禁止公共讀寫,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
函數計算服務禁止訪問公網 | 函數計算服務設置了禁止訪問公網,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
運行中的ECS實例在專有網絡 | 阿里云推薦購買的ECS放在VPC里面。如果ECS有歸屬VPC,則視為“合規”。如果指定參數,則檢查ECS實例的專有網絡實例在指定參數范圍內,視為“合規”。非運行中的ECS實例,視為“不適用”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
ADB集群未開啟公網 | ADB實例未開啟公網訪問,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
RDS實例禁止配置公網地址 | RDS實例未配置公網地址,視為“合規”。生產環境的RDS實例不推薦配置公網直接訪問,容易被黑客攻擊。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
ACK集群未設置公網連接端點 | ACK集群未設置公網連接端點,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
訪問ECS實例元數據時強制使用加固模式 | 訪問ECS實例元數據時強制使用加固模式,視為“合規”。 | | |
函數服務設置為僅允許指定VPC調用 | 函數服務設置為僅允許指定VPC調用,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
OSS存儲空間ACL禁止公共讀 | OSS存儲空間的ACL策略禁止公共讀,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
運行中的ECS實例未綁定公網地址 | 運行中的ECS實例沒有直接綁定IPv4公網IP或彈性公網IP,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
PolarDB集群的所有連接地址都未開啟公網 | PolarDB集群的所有連接地址都未開啟公網,視為“合規”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
阿里云賬號開啟MFA | 阿里云賬號開啟MFA,視為“合規”。 | | |
RAM用戶開啟MFA | 開啟控制臺訪問功能的RAM用戶登錄設置中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | | |
使用云安全中心企業版 | 使用云安全中心企業版或者更高級別的版本,視為“合規”。 | A.12.2.1 A.12.4.1 A.12.6.1 A.16.1.1 A.16.1.2
| Controls against malware Event logging Management of technical vulnerabilities Responsibilities and procedures Reporting information security events
|
密鑰管理服務設置憑據自動輪轉 | 密鑰管理服務中的憑據設置自動輪轉,視為“合規”。如果密鑰類型為普通密鑰,視為“不適用”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.18.1.5
| User registration and de-registration User access provisioning Management of privileged access rights Regulation of cryptographic controls
|
KMS憑據成功輪轉 | KMS憑據開啟自動輪轉并且根據設定的輪轉周期成功進行了輪轉,視為“合規”。通用憑據不支持在KMS直接配置周期性輪轉,視為“不適用”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.18.1.5
| User registration and de-registration User access provisioning Management of privileged access rights Regulation of cryptographic controls
|
RAM用戶密碼策略符合要求 | RAM用戶密碼策略中各項配置滿足參數設置的值,視為“合規”。 | | |
RAM用戶的AccessKey在指定時間內輪換 | RAM用戶的AccessKey創建時間距離檢查時間不超過指定天數,視為“合規”。默認值:90天。 | | |
開啟操作審計全量日志跟蹤 | 操作審計中存在開啟狀態的跟蹤,且跟蹤全部地域和全部事件類型,視為“合規”。如果是資源目錄成員賬號,當管理員有創建應用到所有成員賬號的跟蹤時,視為“合規”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.12.4.1 A.12.4.2 A.12.4.3 A.14.1.1 A.14.2.3 A.16.1.2 A.16.1.7
| User registration and de-registration User access provisioning Management of privileged access rights Event logging Protection of log information Administrator and operator logs Information security requirements analysis and specification Technical review of applications after operating platform changes Reporting information security events Collection of evidence
|
RDS實例開啟TDE加密 | RDS實例的數據安全性設置開啟TDE加密,視為“合規”。不支持TDE加密的實例規格或版本視為“不適用”。 | A.10.1.1 | Policy on the use of cryptographic controls |
OSS存儲空間權限策略設置安全訪問 | OSS存儲空間權限策略中包含了讀寫操作的訪問方式設置為HTTPS,或者拒絕訪問的訪問方式設置為HTTP,視為“合規”。權限策略為空的OSS存儲空間,視為“不適用”。 | | Policy on the use of cryptographic controls Information transfer policies and procedures Securing application services on public networks
|
OSS存儲空間開啟服務端加密 | OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。 | | |
SLB使用證書為阿里云簽發 | SLB使用證書為阿里云簽發,視為“合規”。 | | Policy on the use of cryptographic controls Information transfer policies and procedures Securing application services on public networks
|
NAS文件系統設置了加密 | NAS文件系統設置了加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
ECS數據磁盤開啟加密 | ECS數據磁盤已開啟加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
Elasticsearch實例數據節點開啟云盤加密 | Elasticsearch實例數據節點開啟云盤加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
PolarDB集群開啟TDE | PolarDB集群開啟TDE,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
表格存儲實例中所有數據表都設置加密 | 表格存儲實例中所有數據表都設置了加密,視為“合規”。 | A.10.1.1 | Policy on the use of cryptographic controls |
MaxCompute項目開啟加密 | MaxCompute項目開啟加密,視為“合規”。凍結狀態的項目,視為“不適用”。 | A.10.1.1 | Policy on the use of cryptographic controls |
密鑰管理服務設置主密鑰自動輪轉 | 對密鑰管理服務中的用戶主密鑰設置自動輪轉,視為“合規”。如果是服務密鑰,視為“不適用”。如果來源是用戶自帶密鑰,視為“不適用”。 | | |
KMS主密鑰未設置為待刪除 | KMS主密鑰未設置為待刪除,視為“合規”。 | | |
SSL證書到期檢測 | SSL證書到期時間剩余天數大于參數指定的天數,視為“合規”。參數默認值為30天。 | A.10.1.2 A.13.1.1 A.13.1.3 A.13.2.1 A.13.2.3 A.14.1.2 A.18.1.4
| Key management Network controls Segregation in networks Information transfer policies and procedures Electronic messaging Securing application services on public networks Privacy and protection of personally identifiable information
|
為PolarDB集群設置合理的維護時間段 | PolarDB集群的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | A.12.1.2 | Change management |
為RDS實例設置合理的可維護時間段 | RDS實例的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | A.12.1.2 | Change management |
為自動快照策略設置合理的創建時間點 | 自動快照策略中設置的快照創建時間點在參數指定的時間點范圍內,視為“合規”。創建快照會暫時降低塊存儲I/O性能,一般性能差異在10%以內,出現短暫瞬間變慢。建議您選擇避開業務高峰的時間點。 | A.12.1.2 | Change management |
函數計算中函數設置滿足參數指定要求 | 函數計算2.0中的函數設置滿足參數指定的要求,視為“合規”。 | A.12.1.3 | Capacity management |
專有網絡交換機可用IP數量大于指定值 | 專有網絡交換機可用IP數量大于指定數值,視為“合規”。 | A.12.1.3 | Capacity management |
ECS磁盤設置自動快照策略 | ECS磁盤設置了自動快照策略,視為“合規”。 | A.12.3.1 | Information backup |
為NAS文件系統創建備份計劃 | 為NAS文件系統創建備份計劃,視為“合規”。 | A.12.3.1 | Information backup |
ADB集群開啟日志備份 | ADB集群開啟日志備份,視為“合規”。 | A.12.3.1 | Information backup |
RDS實例開啟日志備份 | RDS實例開啟日志備份視為“合規”。 | A.12.3.1 | Information backup |
Redis實例開啟增量備份 | Redis實例開啟增量備份,視為“合規”。本規則只適用于類型為Tair或企業版的實例,非Tair或企業版類型的實例視為不適用。 | A.12.3.1 | Information backup |
OSS存儲空間開啟同城冗余存儲 | 如果沒有開啟同城冗余存儲,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響數據恢復目標。OSS存儲空間開啟同城冗余存儲,視為“合規”。 | | |
PolarDB集群的數據一級備份保留周期滿足指定要求 | PolarDB集群一級備份保留周期大于等于指定天數,視為“合規”。參數默認值7天。 | A.12.3.1 | Information backup |
OSS存儲空間開啟版本控制 | 如果沒有開啟版本控制,會導致數據被覆蓋或刪除時無法恢復。如果開啟版本控制則視為“合規”。 | | |
SLB實例開啟訪問日志 | SLB傳統型負載均衡實例開啟訪問日志,視為“合規”。未啟用7層監聽的實例不支持開啟訪問日志,視為“不適用”。 | A.12.4.1 A.14.1.1 A.14.2.3 A.16.1.7
| |
VPC開啟流日志記錄 | VPC已開啟流日志(Flowlog)記錄功能,視為“合規”。 | A.12.4.1 A.14.1.1 A.14.2.3 A.16.1.7
| |
為API分組設置調用日志存儲 | API網關中API分組設置了調用日志存儲,視為“合規”。 | A.12.4.1 | Event logging |
OSS存儲空間開啟日志轉存 | OSS存儲空間的日志管理中開啟日志轉存,視為“合規”。 | A.12.4.1 | Event logging |
PolarDB集群開啟SQL審計 | PolarDB集群SQL審計狀態為開啟,視為“合規”。 | A.12.4.1 A.14.2.3 A.16.1.1 A.16.1.7
| |
PolarDB集群日志備份保留周期滿足指定要求 | PolarDB集群日志備份保留周期大于等于指定天數,視為“合規”。參數默認值30天。未開啟日志備份或備份保留周期小于指定天數視為“不合規”。 | A.12.4.2 | Protection of log information |
運行中的ECS實例無待修復漏洞 | ECS實例在云安全中心無指定類型和等級的待修復漏洞,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | A.12.6.1 | Management of technical vulnerabilities |
安全組指定協議不允許對全部網段開啟風險端口 | 當安全組入網網段設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。若入網網段未設置為0.0.0.0/0時,即使端口范圍包含指定的風險端口,也視為“合規”。如果檢測到的風險端口被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組,視為“不適用”。 | A.13.1.1 A.13.1.3 A.13.2.3 A.18.1.4
| |
PolarDB實例IP白名單禁止設置為全網段 | PolarDB實例IP白名單未設置為0.0.0.0/0,視為“合規”。 | A.13.1.1 A.13.1.3 A.18.1.3 A.18.1.4
| |
PolarDB集群設置SSL加密 | PolarDB集群設置了SSL加密,視為“合規”。 | | |
CDN域名開啟TLS13版本檢測 | 檢測CDN域名是否啟用TLS1.3,啟用視為“合規”。 | | |
DTS同步任務源庫和目標庫使用SSL安全鏈接 | DTS實例下同步任務源庫和目標庫均使用SSL安全鏈接,視為“合規”。任務類型為非同步類型的DTS實例不適用本規則,視為“不適用”。 | A.13.2.1 | Information transfer policies and procedures |
函數計算函數綁定到自定義域名且開啟TLS指定版本 | 函數計算函數綁定到自定義域名且開啟TLS指定版本,視為“合規”。 | | |
SLB開啟HTTPS監聽 | SLB在指定端口上開啟HTTPS協議的監聽,視為“合規”。如果SLB實例只開啟TCP或者UDP協議的監聽,視為“不適用”。 | | |
ACK集群節點安裝云監控插件 | ACK集群節點均已安裝云監控插件,且插件運行狀態正常,視為“合規”。 | | Secure development policy Responsibilities and procedures Reporting information security events
|
運行中的ECS實例安裝了云監控插件 | 運行中的ECS實例安裝云監控插件而且插件狀態為運行中,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | A.12.5.1 A.14.2.1 A.16.1.1 A.16.1.2
| Installation of software on operational systems Secure development policy Responsibilities and procedures Reporting information security events
|
云安全中心通知項目已設置通知方式 | 云安全中心通知項目均已設置通知方式,視為“合規”。 | A.16.1.2 | Reporting information security events |
IPsecVPN連接正常 | IPsec VPN連接狀態為“已建立”,視為“合規”。 | A.17.1.2 | Implementing information security continuity |
SLB實例開啟釋放保護 | SLB實例開啟釋放保護,視為“合規”。 | A.17.1.2 | Implementing information security continuity |
彈性伸縮組開啟ECS實例健康檢查 | 彈性伸縮組開啟對ECS實例的健康檢查,視為“合規”。 | | |
使用多可用區的RDS實例 | RDS實例為多可用區實例,視為“合規”。 | | |
PolarDB集群開啟刪除保護 | PolarDB集群開啟刪除保護,視為“合規”。預付費類型的集群視為“不適用”。 | A.17.1.2 | Implementing information security continuity |
ACK集群建議開啟釋放保護 | ACK集群開啟釋放保護,視為“合規”。 | A.17.1.2 | Implementing information security continuity |
為PolarDB集群開啟熱備集群 | PolarDB集群開啟存儲熱備集群,數據分布在多個可用區,視為“合規”。 | | |
彈性伸縮組關聯至少兩個交換機 | 彈性伸縮組關聯至少兩個交換機,視為“合規”。 | A.17.2.1 | Availability of information processing facilities |
使用多可用區的ALB實例 | ALB實例為多可用區實例,視為“合規”。如果只選擇了一個可用區,當這個可用區出現故障時,會影響ALB實例,進而影響業務穩定性。 | A.17.2.1 | Availability of information processing facilities |
使用區域級多可用區集群 | 使用區域級ACK集群,節點分布在3個及以上可用區,視為“合規”。 | A.17.2.1 | Availability of information processing facilities |
ALB負載均衡的所有監聽和轉發規則都設置了健康檢查 | ALB負載均衡的所有監聽和轉發規則均設置了健康檢查,視為“合規”。 | A.17.2.1 | Availability of information processing facilities |