基于NIST 800-53 rev5的部分要求,對阿里云上資源的合規性做檢測。
規則名稱 | 編號 | 編號描述 | 規則描述 |
存在所有指定標簽 | PT-2 | PT-2 可處理個人身份信息的權限 SC-16 安全和隱私屬性的傳輸 | 最多可定義10組標簽,資源需同時具有指定的所有標簽,視為“合規”。標簽輸入大小寫敏感,每組最多只能輸入一個值。 |
ACK集群控制平面組件日志開啟檢測 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | ACK托管集群控制平面組件日志開啟,視為“合規”。集群類型非托管版的集群不適用本規則,視為“不適用”。 |
ACK集群配置Secret的落盤加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | ACK集群配置Secret的落盤加密,視為“合規”。非專業托管版集群視為“不適用”。 |
ACK集群未設置公網連接端點 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | ACK集群未設置公網連接端點,視為“合規”。 |
使用維護中的ACK版本 | SA-22 | SA-22 SI-2 缺陷糾正 | 使用的ACK集群版本未停止維護,視為“合規”。 |
ACK集群已升級至最新版本 | SA-22 | SA-22 SI-2 缺陷糾正 | ACK集群已升級到最新版本,視為“合規”。 |
ADB集群開啟SQL審計日志 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | ADB集群開啟SQL審計日志,視為“合規”。 |
ADB集群開啟日志備份 | CP-9 | CP-9 系統備份 SC-36 分布式處理和存儲 SC-28 靜態信息的保護 CP-10 SC-24 處于已知狀態的失敗 | ADB集群開啟日志備份,視為“合規”。 |
為ADB集群設置合理的可維護時間段 | SA-22 | SA-22 SI-2 缺陷糾正 | ADB集群的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。 |
ADB集群未開啟公網 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計信息的保護 SC-7 邊界保護 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 CA-9 內部系統連接 SC-38 操作安全 CM-12 信息位置 SC-10 網絡斷開 AC-3 訪問控制 CP-9 系統備份 AC-4 信息流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和用戶功能的分離 IA-5 認證管理 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-11 可信路徑 SC-20 安全的名稱/地址解析服務(權威源) IA-3 設備識別和認證 | ADB實例未開啟公網訪問,視為“合規”。 |
使用多可用區的ALB實例 | CP-7 | CP-7 備用處理站點 CP-9 系統備份 AC-4 信息流強制 SC-36 分布式處理和存儲 CP-6 備用存儲站點 SC-6 資源可用性 SI-13 可預測的故障預防 SC-22 名稱/地址解析服務的架構和配置 AU-5 對審計日志處理失敗的響應 SI-22 信息多樣性 CP-2 應急計劃 | ALB實例為多可用區實例,視為“合規”。如果只選擇了一個可用區,當這個可用區出現故障時,會影響ALB實例,進而影響業務穩定性。 |
API網關中API分組綁定域名接入WAF或者WAF3.0 | PL-8 | PL-8 SC-3 安全功能隔離 SC-7 邊界保護 AC-4 信息流強制 | API網關中的API分組綁定的域名接入了WAF或者WAF3.0,視為“合規”。 |
API網關中API分組的自定義域名設置了SSL證書 | SC-12 | SC-12 加密密鑰的建立和管理 AC-20 使用外部系統 IA-7 加密模塊認證 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-28 靜態信息的保護 IA-9 服務識別和認證 AC-17 遠程訪問 SC-17 公鑰基礎設施證書 CA-9 內部系統連接 SC-13 加密保護 SC-23 會話真實性 SC-7 邊界保護 CM-3 配置更改控制 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | API網關中的API分組綁定自定義域名并且設置了SSL證書,視為“合規”。 |
為API分組設置調用日志存儲 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | API網關中API分組設置了調用日志存儲,視為“合規”。 |
為API分組配置鏈路追蹤功能 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 AU-7 審計記錄減少和報告生成 SI-7 軟件、固件和信息的完整性 AU-6 審計記錄審查、分析和報告 AC-17 遠程訪問 AU-9 審計信息的保護 AU-10 非否認性 RA-5 漏洞監控和掃描 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-2 賬戶管理 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | API網關中為API分組配置鏈路追蹤功能,視為“合規”。 |
CDN域名開啟HTTPS加密 | SC-12 | SC-12 加密密鑰的建立和管理 AC-20 使用外部系統 IA-7 加密模塊認證 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-28 靜態信息的保護 IA-9 服務識別和認證 AC-17 遠程訪問 SC-17 公鑰基礎設施證書 CA-9 內部系統連接 SC-13 加密保護 SC-23 會話真實性 SC-7 邊界保護 CM-3 配置更改控制 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | CDN域名開啟HTTPS協議加密,視為“合規”。 |
CDN域名開啟TLS13版本檢測 | CP-9 | CP-9 系統備份 SA-4 獲取流程 CM-7 最少功能 AC-17 遠程訪問 MA-4 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 設備識別和認證 | 檢測CDN域名是否啟用TLS1.3,啟用視為“合規”。 |
為指定云產品設置云監控報警規則 | SI-4 | SI-4 系統監控 AU-7 審計記錄減少和報告生成 AU-6 審計記錄審查、分析和報告 AC-17 遠程訪問 AU-9 審計信息的保護 RA-5 漏洞監控和掃描 AC-2 賬戶管理 AC-4 信息流強制 | 在云監控為指定命名空間的云服務設置了至少一條報警規則,視為“合規”。 |
為容器鏡像實例開啟安全掃描 | RA-5 | RA-5 漏洞監控和掃描 | 容器鏡像實例開啟鏡像掃描功能,視為“合規”。 |
容器鏡像服務鏡像版本為不可變 | PT-2 | PT-2 可處理個人身份信息的權限 SC-16 安全和隱私屬性的傳輸 | 容器鏡像服務鏡像版本為不可變,視為“合規”。 |
DTS遷移任務源庫和目標庫使用SSL安全鏈接 | CP-9 | CP-9 系統備份 AC-17 遠程訪問 SC-8 傳輸機密性和完整性 MA-4 SC-23 會話真實性 IA-5 認證管理 IA-3 設備識別和認證 | DTS實例下遷移任務源庫和目標庫均使用SSL安全鏈接,視為“合規”。任務類型為非遷移類型的DTS實例不適用本規則,視為“不適用”。 |
ECI彈性容器組環境變量不包含敏感信息 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 IA-2 身份驗證和認證(組織用戶) SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 AC-2 賬戶管理 | ECI彈性容器組環境變量名稱不包含參數指定的鍵,視為“合規”。參數默認值為AccessKey等。 |
ECS磁盤設置自動快照策略 | CP-9 | CP-9 系統備份 SC-36 分布式處理和存儲 SC-28 靜態信息的保護 CP-10 SC-24 處于已知狀態的失敗 | ECS磁盤設置了自動快照策略,視為“合規”。狀態非使用中的磁盤、不支持設置自動快照策略的磁盤、ACK集群掛載的非持久化使用場景的磁盤視為“不適用”。 |
使用中的ECS數據磁盤開啟加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | 使用中的ECS數據磁盤已開啟加密,視為“合規”。 |
不存在閑置的ECS數據磁盤 | SI-12 | SI-12 信息管理和保留 SI-14 非持久性 AU-11 審計記錄保留 AU-4 審計日志存儲容量 AU-10 非否認性 | ECS磁盤均已掛載到ECS實例,視為“合規”。 |
訪問ECS實例元數據時強制使用加固模式 | SC-10 | SC-10 網絡斷開 SI-14 非持久性 AC-12 會話終止 IA-11 再認證 AC-17 遠程訪問 AC-10 并發會話控制 SC-23 會話真實性 AC-2 賬戶管理 | 訪問ECS實例元數據時強制使用加固模式,視為“合規”。 |
運行中的ECS實例安裝了云監控插件 | SI-4 | SI-4 系統監控 AU-7 審計記錄減少和報告生成 AU-6 審計記錄審查、分析和報告 AC-17 遠程訪問 AU-9 審計信息的保護 RA-5 漏洞監控和掃描 AC-2 賬戶管理 AC-4 信息流強制 | 運行中的ECS實例安裝云監控插件而且插件狀態為運行中,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 |
ECS實例未綁定SSH密鑰對 | AC-3 | AC-3 訪問控制 IA-8 身份驗證和認證(非組織用戶) IA-2 身份驗證和認證(組織用戶) IA-9 服務識別和認證 IA-4 標識管理 IA-5 認證管理 AC-2 賬戶管理 | ECS實例未綁定SSH密鑰對,視為“合規”。適用于部分企業對訪問實例的特殊管控場景。 |
ECS實例被授予實例RAM角色 | CM-5 | CM-5 更改訪問限制 AC-9 先前登錄通知 IA-8 身份驗證和認證(非組織用戶) IA-11 再認證 SC-50 軟件強制分離和策略執行 AC-2 賬戶管理 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 AC-24 訪問控制決策 IA-4 標識管理 AC-3 訪問控制 AU-6 審計記錄審查、分析和報告 SC-2 系統和用戶功能的分離 IA-5 認證管理 SC-34 不可修改的可執行程序 IA-2 身份驗證和認證(組織用戶) AC-7 登錄失敗嘗試 AC-6 最小權限 AC-4 信息流強制 | ECS實例被授予了實例RAM角色,視為“合規”。 |
ECS實例狀態不是已停止狀態 | SA-3 | SA-3 系統開發生命周期 | ECS實例狀態不是已停止狀態,視為“合規”。已到期或者已設置為停機節省模式的實例視為“不適用”。 |
運行中的ECS實例無待修復漏洞 | SA-22 | SA-22 RA-5 漏洞監控和掃描 SI-2 缺陷糾正 | ECS實例在云安全中心無指定類型和等級的待修復漏洞,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 |
檢查閑置安全組 | CA-9 | CA-9 內部系統連接 SC-7 邊界保護 IA-3 設備識別和認證 | 檢查閑置安全組,安全組綁定的ECS實例數量大于0視為“合規”。 |
安全組非白名單端口入網設置有效 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 CM-7 最少功能 AC-17 遠程訪問 SA-4 獲取流程 CA-9 內部系統連接 SC-23 會話真實性 SC-7 邊界保護 SC-8 傳輸機密性和完整性 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | 除指定的白名單端口外,其余端口不能有授權策略設置為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。云產品或虛商所使用的安全組不適用本規則,視為“不適用”。 |
檢測閑置彈性公網IP | AC-3 | AC-3 訪問控制 AC-16 安全和隱私屬性 PL-10 IA-4 標識管理 CM-2 基線配置 SC-16 安全和隱私屬性的傳輸 AC-4 信息流強制 | 彈性公網IP已綁定到ECS或者NAT實例,非閑置狀態,視為“合規”。 |
Elasticsearch實例數據節點開啟云盤加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | Elasticsearch實例數據節點開啟云盤加密,視為“合規”。 |
Elasticsearch實例未開啟公網或不允許任意IP訪問 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | Elasticsearch實例未開啟公網訪問,或者白名單未設置為對所有IP開放,視為“合規”。 |
Elasticsearch實例使用HTTPS傳輸協議 | CP-9 | CP-9 系統備份 SA-4 獲取流程 CM-7 最少功能 AC-17 遠程訪問 MA-4 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 設備識別和認證 | Elasticsearch實例使用HTTPS傳輸協議,視為“合規”。 |
彈性伸縮組開啟ECS實例健康檢查 | CP-7 | CP-7 備用處理站點 CP-9 系統備份 AC-4 信息流強制 SC-36 分布式處理和存儲 CP-6 備用存儲站點 SI-13 可預測的故障預防 SC-22 名稱/地址解析服務的架構和配置 AU-5 對審計日志處理失敗的響應 SI-22 信息多樣性 CP-2 應急計劃 | 彈性伸縮組開啟對ECS實例的健康檢查,視為“合規”。 |
彈性伸縮配置中未設置分配公網IPv4地址 | SI-4 | SI-4 系統監控 SC-7 邊界保護 | 彈性伸縮配置中未設置分配公網IPv4地址,視為“合規”。 |
彈性伸縮組關聯至少兩個交換機 | SI-22 | SI-22 信息多樣性 SC-36 分布式處理和存儲 SC-6 資源可用性 | 彈性伸縮組關聯至少兩個交換機,視為“合規”。 |
函數計算中函數設置滿足參數指定要求 | SA-22 | SA-22 SI-2 缺陷糾正 | 函數計算2.0中的函數設置滿足參數指定的要求,視為“合規”。 |
函數計算服務禁止訪問公網 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計信息的保護 SC-7 邊界保護 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 CA-9 內部系統連接 SC-38 操作安全 CM-12 信息位置 SC-10 網絡斷開 AC-3 訪問控制 CP-9 系統備份 AC-4 信息流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和用戶功能的分離 IA-5 認證管理 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-11 可信路徑 SC-20 安全的名稱/地址解析服務(權威源) IA-3 設備識別和認證 | 函數計算服務設置了禁止訪問公網,視為“合規”。 |
函數計算服務啟用日志功能 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 CP-7 備用處理站點 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 SC-36 分布式處理和存儲 IR-4 CP-10 AU-10 非否認性 CP-6 備用存儲站點 AU-2 事件日志記錄 CP-2 應急計劃 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | 函數計算服務啟用日志功能,視為“合規”。 |
函數服務設置為僅允許指定VPC調用 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | 函數服務設置為僅允許指定VPC調用,視為“合規”。 |
云防火墻中資產開啟保護 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | 云防火墻中資產開啟保護,視為“合規”。本規則只對云防火墻付費用戶有效,未開通云防火墻或者免費用戶資產無檢測數據。 |
不使用外部來源KMS主密鑰 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | KMS主密鑰創建來源不是外部,視為“合規”。 |
KMS主密鑰未設置為待刪除 | SC-12 | SC-12 加密密鑰的建立和管理 IA-7 加密模塊認證 SC-28 靜態信息的保護 SC-17 公鑰基礎設施證書 SC-13 加密保護 SC-23 會話真實性 CM-3 配置更改控制 IA-5 認證管理 | KMS主密鑰未設置為待刪除,視為“合規”。 |
KMS憑據成功輪轉 | IA-10 | SIA-10 IA-2 身份驗證和認證(組織用戶) AC-24 訪問控制決策 IA-5 認證管理 AC-2 賬戶管理 | KMS憑據開啟自動輪轉并且根據設定的輪轉周期成功進行了輪轉,視為“合規”。通用憑據不支持在KMS直接配置周期性輪轉,視為“不適用”。 |
密鑰管理服務設置憑據自動輪轉 | IA-10 | IA-10 IA-2 身份驗證和認證(組織用戶) AC-24 訪問控制決策 IA-5 認證管理 AC-2 賬戶管理 | 密鑰管理服務中的憑據設置自動輪轉,視為“合規”。如果密鑰類型為普通密鑰,視為“不適用”。 |
MongoDB實例打開日志備份 | SI-12 | SI-12 信息管理和保留 SI-14 非持久性 CP-9 系統備份 SC-36 分布式處理和存儲 AU-11 審計記錄保留 AU-4 審計日志存儲容量 CP-10 AU-10 非否認性 SC-24 處于已知狀態的失敗 | MongoDB實例開啟日志備份,視為“合規”。 |
MongoDB集群開啟審計日志 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | MongoDB實例開啟審計日志,視為“合規”。 |
NAS文件存儲接入點啟用RAM策略 | CM-12 | CM-12 信息位置 AC-3 訪問控制 SC-20 安全的名稱/地址解析服務(權威源) AC-16 安全和隱私屬性 CP-9 系統備份 AU-6 審計記錄審查、分析和報告 CA-3 信息交換 AU-9 審計信息的保護 SC-2 系統和用戶功能的分離 IA-5 認證管理 AC-4 信息流強制 SC-38 操作安全 | NAS文件存儲接入點啟用RAM策略,視為“合規”。 |
NAS文件存儲接入點根目錄未設置為默認目錄 | CM-12 | CM-12 信息位置 AC-3 訪問控制 SC-20 安全的名稱/地址解析服務(權威源) AC-16 安全和隱私屬性 CP-9 系統備份 AU-6 審計記錄審查、分析和報告 CA-3 信息交換 AU-9 審計信息的保護 SC-2 系統和用戶功能的分離 IA-5 認證管理 AC-4 信息流強制 SC-38 操作安全 | 文件存儲接入點根目錄未設置為默認的目錄,視為“合規”。 |
為NAS文件系統創建備份計劃 | CP-9 | CP-9 系統備份 SC-36 分布式處理和存儲 SC-28 靜態信息的保護 CP-10 SC-24 處于已知狀態的失敗 | 為NAS文件系統創建備份計劃,視為“合規”。 |
NAS文件系統設置了加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | NAS文件系統設置了加密,視為“合規”。 |
OSS存儲空間開啟日志轉存 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | OSS存儲空間的日志管理中開啟日志轉存,視為“合規”。 |
OSS存儲空間權限策略設置安全訪問 | CP-9 | CP-9 系統備份 SA-4 獲取流程 CM-7 最少功能 AC-17 遠程訪問 MA-4 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 設備識別和認證 | OSS存儲空間權限策略中包含了讀寫操作的訪問方式設置為HTTPS,或者拒絕訪問的訪問方式設置為HTTP,視為“合規”。權限策略為空的OSS存儲空間視為“不適用”。 |
OSS存儲空間不能為匿名賬號授予任何權限 | CM-5 | CM-5 更改訪問限制 AC-9 先前登錄通知 IA-8 身份驗證和認證(非組織用戶) IA-11 再認證 SC-50 軟件強制分離和策略執行 AU-9 審計信息的保護 AC-2 賬戶管理 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 AC-24 訪問控制決策 IA-4 標識管理 AC-3 訪問控制 AU-6 審計記錄審查、分析和報告 IA-5 認證管理 SC-34 不可修改的可執行程序 IA-2 身份驗證和認證(組織用戶) AC-7 登錄失敗嘗試 SA-17 AC-6 最小權限 AC-4 信息流強制 | OSS Bucket授權策略中未授予匿名賬號任何讀寫權限,視為“合規”。若OSS Bucket未設置任何授權策略,視為“合規”。 |
OSS存儲空間ACL禁止公共讀 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計信息的保護 SC-7 邊界保護 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 CA-9 內部系統連接 SC-38 操作安全 CM-12 信息位置 SC-10 網絡斷開 AC-3 訪問控制 CP-9 系統備份 AC-4 信息流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和用戶功能的分離 IA-5 認證管理 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-11 可信路徑 SC-20 安全的名稱/地址解析服務(權威源) IA-3 設備識別和認證 | OSS存儲空間的ACL策略禁止公共讀,視為“合規”。 |
OSS存儲空間ACL禁止公共讀寫 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計信息的保護 SC-7 邊界保護 AU-16 跨組織審計日志記錄 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 CA-9 內部系統連接 SC-38 操作安全 CM-12 信息位置 SC-10 網絡斷開 AC-3 訪問控制 CP-9 系統備份 AU-6 審計記錄審查、分析和報告 SC-2 系統和用戶功能的分離 IA-5 認證管理 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-11 可信路徑 AU-7 審計記錄減少和報告生成 SC-20 安全的名稱/地址解析服務(權威源) AC-4 信息流強制 IA-3 設備識別和認證 | OSS存儲空間的ACL策略禁止公共讀寫,視為“合規”。 |
OSS存儲空間開啟服務端加密 | AU-7 | AU-7 審計記錄減少和報告生成 SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 AU-16 跨組織審計日志記錄 | OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。 |
OSS存儲空間開啟版本控制 | SC-21 | SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-34 不可修改的可執行程序 SI-7 軟件、固件和信息的完整性 SI-19 去標識化 SC-23 會話真實性 SC-16 安全和隱私屬性的傳輸 AU-16 跨組織審計日志記錄 SC-20 安全的名稱/地址解析服務(權威源) | 如果沒有開啟版本控制,會導致數據被覆蓋或刪除時無法恢復。如果開啟版本控制則視為"合規"。 |
OSS存儲空間開啟服務端KMS加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | OSS存儲空間開啟服務端KMS加密,視為“合規”。 |
OSS存儲空間開啟同城冗余存儲 | CP-7 | CP-7 備用處理站點 CP-9 系統備份 AC-4 信息流強制 SC-36 分布式處理和存儲 CP-6 備用存儲站點 SC-6 資源可用性 SI-13 可預測的故障預防 SC-22 名稱/地址解析服務的架構和配置 AU-5 對審計日志處理失敗的響應 SI-22 信息多樣性 CP-2 應急計劃 | 如果沒有開啟同城冗余存儲,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響數據恢復目標。OSS存儲空間開啟同城冗余存儲,視為“合規”。 |
表格存儲實例中所有數據表都設置加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | 表格存儲實例中所有數據表都設置了加密,視為“合規”。 |
PolarDB集群開啟SQL審計 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | PolarDB集群SQL審計狀態為開啟,視為“合規”。 |
PolarDB集群的數據一級備份保留周期滿足指定要求 | CP-9 | CP-9 系統備份 SC-36 分布式處理和存儲 SC-28 靜態信息的保護 CP-10 SC-24 處于已知狀態的失敗 | PolarDB集群一級備份保留周期大于等于指定天數,視為“合規”。參數默認值7天。 |
為PolarDB集群開啟熱備集群 | SI-22 | SI-22 信息多樣性 SC-36 分布式處理和存儲 SC-6 資源可用性 | PolarDB集群開啟存儲熱備集群,數據分布在多個可用區,視為“合規”。 |
PolarDB數據庫小版本狀態為stable | SA-22 | SA-22 SI-2 缺陷糾正 | PolarDB當前數據庫小版本狀態為stable的視為“合規”。 |
RAM用戶組非空 | AC-3 | AC-3 訪問控制 IA-8 身份驗證和認證(非組織用戶) IA-2 身份驗證和認證(組織用戶) AU-6 審計記錄審查、分析和報告 IA-9 服務識別和認證 AU-9 審計信息的保護 IA-4 標識管理 SA-1 IA-5 認證管理 AC-6 最小權限 AC-2 賬戶管理 | RAM用戶組至少包含一個RAM用戶,視為“合規”。 |
不存在閑置的RAM用戶組 | CM-5 | CM-5 更改訪問限制 AC-3 訪問控制 IA-8 身份驗證和認證(非組織用戶) IA-2 身份驗證和認證(組織用戶) IA-9 服務識別和認證 IA-4 標識管理 IA-5 認證管理 AC-2 賬戶管理 | RAM用戶組至少包含一個RAM用戶且綁定了至少一個RAM權限策略,視為“合規”。 |
不存在閑置的RAM權限策略 | CM-5 | CM-5 更改訪問限制 AC-9 先前登錄通知 IA-8 身份驗證和認證(非組織用戶) IA-11 再認證 SC-50 軟件強制分離和策略執行 AC-2 賬戶管理 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 AC-24 訪問控制決策 IA-4 標識管理 AC-3 訪問控制 AU-6 審計記錄審查、分析和報告 IA-5 認證管理 SC-34 不可修改的可執行程序 IA-2 身份驗證和認證(組織用戶) AC-7 登錄失敗嘗試 AC-6 最小權限 AC-4 信息流強制 | RAM權限策略至少綁定一個RAM用戶組、RAM角色或RAM用戶,視為“合規”。 |
不存在超級管理員 | CM-5 | CM-5 更改訪問限制 AC-9 先前登錄通知 IA-8 身份驗證和認證(非組織用戶) IA-11 再認證 SC-50 軟件強制分離和策略執行 AU-9 審計信息的保護 SC-7 邊界保護 AC-2 賬戶管理 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 SI-3 惡意代碼防護 AC-24 訪問控制決策 IA-4 標識管理 AC-3 訪問控制 AU-6 審計記錄審查、分析和報告 IA-5 認證管理 SC-34 不可修改的可執行程序 IA-2 身份驗證和認證(組織用戶) CM-7 最少功能 AC-7 登錄失敗嘗試 AC-6 最小權限 AC-4 信息流強制 | RAM用戶、RAM用戶組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 |
RAM用戶開啟MFA | IA-2 | IA-2 身份驗證和認證(組織用戶) | 開啟控制臺訪問功能的RAM用戶登錄設置中必須開啟多因素認證或者已啟用MFA,視為“合規”。 |
RDS實例SQL審計日志保留天數滿足指定要求 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | RDS MySQL類型實例開啟SQL審計且日志保留天數大于等于指定值,視為“合規”。默認值:180天。不支持該功能的實例規格視為“不適用”。 |
RDS實例開啟日志備份 | CP-9 | CP-9 系統備份 SC-36 分布式處理和存儲 SC-28 靜態信息的保護 CP-10 SC-24 處于已知狀態的失敗 | RDS實例開啟日志備份視為"合規"。 |
RDS實例開啟云盤加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | RDS實例開啟了云盤加密,視為”合規“。本地盤或者不支持云盤加密的規格實例視為“不適用”。 |
RDS實例開啟TDE加密 | SC-34 | SC-34 不可修改的可執行程序 CP-9 系統備份 SC-28 靜態信息的保護 AU-9 審計信息的保護 IA-5 認證管理 | RDS實例的數據安全性設置開啟TDE加密,視為“合規”。 |
使用多可用區的RDS實例 | SI-22 | SI-22 信息多樣性 SC-36 分布式處理和存儲 SC-6 資源可用性 | RDS實例為多可用區實例,視為“合規”。 |
開啟公網IP的RDS實例白名單未對所有來源開放 | AC-20 | AC-20 使用外部系統 AC-16 安全和隱私屬性 AU-9 審計信息的保護 SC-7 邊界保護 CA-3 信息交換 AC-17 遠程訪問 IA-9 服務識別和認證 CA-9 內部系統連接 SC-38 操作安全 CM-12 信息位置 SC-10 網絡斷開 AC-3 訪問控制 CP-9 系統備份 AC-4 信息流強制 AU-6 審計記錄審查、分析和報告 SC-2 系統和用戶功能的分離 IA-5 認證管理 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) SC-11 可信路徑 SC-20 安全的名稱/地址解析服務(權威源) IA-3 設備識別和認證 | RDS實例為開啟公網IP,或者開啟白名單未設置為對所有來源IP開放,視為“合規”。 |
Redis實例開啟增量備份 | CP-9 | CP-9 系統備份 SC-36 分布式處理和存儲 SC-28 靜態信息的保護 CP-10 SC-24 處于已知狀態的失敗 | Redis實例開啟增量備份,視為“合規”。本規則只適用于類型為Tair或企業版的實例,非Tair或企業版類型的實例視為不適用。 |
Redis實例升級至最新小版本 | SA-22 | SA-22 SI-2 缺陷糾正 | Redis實例已升級至最新小版本,視為“合規”。 |
阿里云賬號不存在AccessKey | CM-5 | CM-5 更改訪問限制 AC-3 訪問控制 IA-8 身份驗證和認證(非組織用戶) IA-2 身份驗證和認證(組織用戶) IA-9 服務識別和認證 AC-17 遠程訪問 CM-7 最少功能 AU-9 審計信息的保護 SI-3 惡意代碼防護 SC-7 邊界保護 IA-4 標識管理 IA-5 認證管理 AC-2 賬戶管理 AC-6 最小權限 AC-4 信息流強制 | 阿里云賬號不存在任何狀態的AccessKey,視為“合規”。 |
阿里云賬號開啟MFA | IA-2 | IA-2 身份驗證和認證(組織用戶) | 阿里云賬號開啟MFA,視為“合規”。 |
使用云安全中心企業版 | SI-4 | SI-4 系統監控 AU-7 審計記錄減少和報告生成 AU-6 審計記錄審查、分析和報告 AC-17 遠程訪問 AU-9 審計信息的保護 RA-5 漏洞監控和掃描 AC-2 賬戶管理 AC-4 信息流強制 | 使用云安全中心企業版或者更高級別的版本,視為“合規”。 |
使用多可用區SLB實例并為服務器組配置多個可用區資源 | CP-7 | CP-7 備用處理站點 CP-9 系統備份 AC-4 信息流強制 SC-36 分布式處理和存儲 CP-6 備用存儲站點 SC-6 資源可用性 SI-13 可預測的故障預防 SC-22 名稱/地址解析服務的架構和配置 AU-5 對審計日志處理失敗的響應 SI-22 信息多樣性 CP-2 應急計劃 | SLB實例為多可用區,并且SLB實例下所有監聽使用的服務器組中添加了多個可用區的資源,視為“合規”。 |
SLB實例的HTTPS監聽使用指定的安全策略套件 | CP-9 | CP-9 系統備份 SA-4 獲取流程 CM-7 最少功能 AC-17 遠程訪問 MA-4 SC-13 加密保護 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 設備識別和認證 | SLB實例的所有HTTPS類型監聽使用參數指定的安全策略套件版本,視為“合規”。未設置HTTPS類型監聽的SLB實例,視為“不適用”。 |
SLB實例開啟訪問日志 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | SLB傳統型負載均衡實例開啟訪問日志,視為“合規”。未啟用7層監聽的實例不支持開啟訪問日志,視為“不適用”。 |
SLB開啟HTTPS監聽 | CP-9 | CP-9 系統備份 SA-4 獲取流程 CM-7 最少功能 AC-17 遠程訪問 MA-4 SC-13 加密保護 SC-23 會話真實性 SC-8 傳輸機密性和完整性 IA-5 認證管理 IA-3 設備識別和認證 | SLB在指定端口上開啟HTTPS協議的監聽,視為“合規”。如果SLB實例只開啟TCP或者UDP協議的監聽,視為“不適用”。 |
SSL證書到期檢測 | SC-12 | SC-12 加密密鑰的建立和管理 IA-7 加密模塊認證 SC-28 靜態信息的保護 SC-17 公鑰基礎設施證書 SC-13 加密保護 SC-23 會話真實性 CM-3 配置更改控制 IA-5 認證管理 | SSL證書到期時間剩余天數大于參數指定的天數,視為”合規“。參數默認值為30天。 |
VPC開啟流日志記錄 | CM-5 | CM-5 更改訪問限制 SI-4 系統監控 AU-14 會話審計 AC-9 先前登錄通知 SI-7 軟件、固件和信息的完整性 AU-10 非否認性 AU-2 事件日志記錄 AU-8 時間戳 AU-3 審計記錄內容 AC-6 最小權限 AU-12 審計記錄生成 AC-4 信息流強制 | VPC已開啟流日志(Flowlog)記錄功能,視為“合規”。 |
專有網絡ACL未開放風險端口 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | 當專有網絡訪問控制入方向規則目的地址設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。 |
專有網絡ACL綁定至少一個資源 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | 專有網絡ACL綁定至少一個資源,視為“合規”。 |
VPC自定義路由目標網段未設置為全部網段 | SC-3 | SC-3 安全功能隔離 AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-6 最小權限 AC-4 信息流強制 IA-3 設備識別和認證 | VPC路由表自定義路由條目目標網段未設置為全部網段,視為“合規”。 |
IPsecVPN連接正常 | SC-3 | SC-3 安全功能隔離 AC-4 信息流強制 SC-36 分布式處理和存儲 PL-8 SC-7 邊界保護 SI-22 信息多樣性 SC-6 資源可用性 | IPsec VPN連接狀態為“已建立”,視為“合規”。 |
WAF3.0實例開啟指定防護規則 | AC-20 | AC-20 使用外部系統 SC-10 網絡斷開 SC-11 可信路徑 SC-21 安全的名稱/地址解析服務(遞歸或緩存解析器) IA-9 服務識別和認證 AC-17 遠程訪問 CA-9 內部系統連接 SC-7 邊界保護 IA-5 認證管理 AC-4 信息流強制 IA-3 設備識別和認證 | WAF3.0實例開啟指定防護場景的規則,視為“合規”。 |