基于等保2.0二級的部分要求,對阿里云上資源的合規性做檢測。合規包模板為您提供通用的合規性框架,通過輸入規則參數和修正設置,可以幫助您快速創建符合目標場景的合規包。規則的“合規”僅指符合規則定義本身的合規性描述,不確保您符合特定法規或行業標準的所有要求。
規則名稱 | 編號 | 編號描述 | 規則描述 |
彈性IP實例帶寬滿足最低要求 | 7.1.2.1 | b)應保證網絡各個部分的帶寬滿足業務高峰期需要。 | 彈性IP實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10MB。 |
SLB實例滿足指定帶寬要求 | SLB實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10MB。 | ||
CEN實例中的跨地域連接帶寬分配滿足指定要求 | 云企業網實例下所有跨地域連接分配的帶寬大于參數指定值,視為“合規”。參數默認值:1Mbps。 | ||
SNAT條目綁定多個EIP時帶寬峰值設置一致 | NAT網關中SNAT條目綁定的多個EIP,加入共享帶寬包或者所綁定的EIP帶寬峰值設置一致,視為“合規”。VPC NAT網關不適用本規則,視為“不適用”。 | ||
OSS存儲空間不能為匿名賬號授予任何權限 | 7.1.3.1 | a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。 | OSS Bucket授權策略中未授予匿名賬號任何讀寫權限,視為“合規”。若OSS Bucket未設置任何授權策略,視為“合規”。 |
安全組入網設置有效 | 安全組入方向授權策略為允許,當端口范圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組視為“不適用”。 | ||
開啟公網IP的RDS實例白名單未對所有來源開放 | RDS實例為開啟公網IP,或者開啟白名單未設置為對所有來源IP開放,視為“合規”。 | ||
Redis實例開啟密碼認證 | Redis實例專有網絡下開啟密碼認證,視為”合規“。 | ||
容器鏡像服務實例白名單檢測 | 容器鏡像服務實例白名單不存在任意IP條目,視為“合規”,適用于企業版。 | ||
Elasticsearch實例未開啟公網或不允許任意IP訪問 | 7.1.3.1 | a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。 | Elasticsearch實例未開啟公網訪問,或者白名單未設置為對所有IP開放,視為“合規”。 |
安全組指定協議不允許對全部網段開啟風險端口 | 7.1.3.2 | a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信。 | 當安全組入網網段設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。若入網網段未設置為0.0.0.0/0時,即使端口范圍包含指定的風險端口,也視為“合規”。如果檢測到的風險端口被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組視為“不適用”。 |
NAT網關不允許映射指定的風險端口 | NAT網關DNAT映射端口不包含指定的風險端口,視為“合規”。 | ||
專有網絡ACL未開放風險端口 | 當專有網絡訪問控制入方向規則目的地址設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。 | ||
SLB實例所有運行中的監聽都設置訪問控制 | SLB實例所有運行中的監聽都設置了訪問控制,視為“合規”。未配置監聽的實例不適用本規則,視為“不適用”。 | ||
ALB實例所有運行中的監聽都設置訪問控制 | ALB實例所有運行中的監聽都設置了訪問控制,視為“合規”。未配置監聽的實例不適用本規則,視為“不適用”。 | ||
SLB訪問控制列表不允許配置所有地址段 | SLB訪問控制列表中不包含0.0.0.0/0條目,視為“合規”。 | ||
OSS存儲空間授權策略設置IP限制 | OSS Bucket讀寫權限設置為私有,或者授權策略中包含只允許特定IP訪問的策略,視為“合規”。 | ||
使用DDoS防護防止DDoS攻擊風險 | 7.1.3.3 | 應在關鍵網絡節點處監視網絡攻擊行為。 | 使用DDoS防護防止DDoS攻擊風險,視為“合規”。 |
使用云防火墻對網絡邊界進行安全防護 | 使用云防火墻對網絡邊界進行安全防護,視為“合規”。 | ||
使用云安全中心企業版 | 7.1.3.4 | 應在關鍵網絡節點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新。 | 使用云安全中心企業版或者更高級別的版本,視為“合規”。 |
在云安全中心開啟指定類型的主動防御 | 在云安全中開啟了參數指定的主動防御類型,視為“合規”。 | ||
WAF3實例開啟指定防護規則 | WAF3.0實例開啟指定防護場景的規則,視為“合規”。 | ||
使用Web防火墻對網站或APP進行安全防護 | 使用Web防火墻對網站或APP進行安全防護,視為“合規”。 | ||
開啟操作審計全量日志跟蹤 | 7.1.3.5 7.1.4.3 | 7.1.3.5 b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。 7.1.4.3 b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。 | 操作審計中存在開啟狀態的跟蹤,且跟蹤全部地域和全部事件類型,視為“合規”。如果是資源目錄成員賬號,當管理員有創建應用到所有成員賬號的跟蹤時,視為“合規”。 |
RDS實例開啟SQL審計 | RDS實例的SQL審計狀態為開啟,視為“合規”。 | ||
ADB集群開啟SQL審計日志 | ADB集群開啟SQL審計日志,視為“合規”。 | ||
VPC開啟流日志記錄 | VPC已開啟流日志(Flowlog)記錄功能,視為“合規”。 | ||
RAM用戶密碼策略符合要求 | 7.1.4.1 | b)應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。 | RAM用戶密碼策略中各項配置滿足參數設置的值,視為“合規”。 |
RAM用戶在指定時間內有登錄行為 | 7.1.4.2 | c)應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在。 d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離。 | 如果RAM用戶在最近90天有登錄行為,視為“合規”。如果RAM用戶的最近登錄時間為空,則檢查更新時間,當更新時間小于等于90天時,視為“合規”。未開啟控制臺訪問的用戶視為“不適用”。 |
不存在閑置的RAM權限策略 | RAM權限策略至少綁定一個RAM用戶組、RAM角色或RAM用戶,視為“合規”。 | ||
RAM用戶組非空 | RAM用戶組至少包含一個RAM用戶,視為“合規”。 | ||
不直接授權給RAM用戶 | RAM用戶沒有直接綁定權限策略,視為“合規”。推薦RAM用戶從RAM組或角色繼承權限。 | ||
RAM用戶不存在閑置AccessKey | RAM用戶AccessKey的最后使用時間距今天數小于參數設置的天數,視為“合規”。默認值:90天。 | ||
不存在超級管理員 | RAM用戶、RAM用戶組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 | ||
RAM用戶訪問設置人員和程序分離 | RAM用戶未同時開啟控制臺訪問和API調用訪問,視為“合規”。 | ||
運行中的ECS實例開啟云安全中心防護 | 7.1.4.4 | e)應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。 | 通過在主機上安裝云安全中心插件,提供主機的安全防護服務。如果有安裝云安全中心插件則視為"合規"。非運行中狀態的實例不適用本規則,視為“不適用”。 |
運行中的ECS實例無待修復漏洞 | ECS實例在云安全中心無指定類型和等級的待修復漏洞,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | ||
ECS磁盤設置自動快照策略 | 7.1.4.8 | a)應提供重要數據的本地數據備份與恢復功能。 b)應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地。 | ECS磁盤設置了自動快照策略,視為“合規”。狀態非使用中的磁盤、不支持設置自動快照策略的磁盤、ACK集群掛載的非持久化使用場景的磁盤視為“不適用”。 |