基于等保2.0三級的部分要求,對阿里云上資源的合規性做檢測。合規包模板為您提供通用的合規性框架,通過輸入規則參數和修正設置,可以幫助您快速創建符合目標場景的合規包。規則的“合規”僅指符合規則定義本身的合規性描述,不確保您符合特定法規或行業標準的所有要求。
規則名稱 | 編號 | 編號描述 | 規則描述 |
彈性IP實例帶寬滿足最低要求 | 8.1.2.1 | b)應保證網絡各個部分的帶寬滿足業務高峰期需要。 c)應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址。 | 彈性IP實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10MB。 |
SLB實例滿足指定帶寬要求 | SLB實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10MB。 | ||
CEN實例中的跨地域連接帶寬分配滿足指定要求 | 云企業網實例下所有跨地域連接分配的帶寬大于參數指定值,視為“合規”。參數默認值:1Mbps。 | ||
SNAT條目綁定多個EIP時帶寬峰值設置一致 | NAT網關中SNAT條目綁定的多個EIP,加入共享帶寬包或者所綁定的EIP帶寬峰值設置一致,視為“合規”。VPC NAT網關不適用本規則,視為“不適用”。 | ||
使用專有網絡類型的ECS實例 | 如果未指定參數,則檢查ECS實例的網絡類型為專有網絡;如果指定參數,則檢查ECS實例的專有網絡實例在指定參數范圍內,視為“合規”。多個參數值用英文逗號(,)分隔。 | ||
使用專有網絡類型的RDS實例 | 如果未指定參數,則檢查RDS實例的網絡類型為專有網絡;如果指定參數,則檢查RDS實例的專有網絡實例在指定參數范圍內,視為“合規”。多個參數值用英文逗號(,)分隔。 | ||
使用專有網絡類型的Redis實例 | 如果指定參數,則檢查Redis實例關聯的專有網絡在指定參數范圍內視為“合規”;如果未指定參數,則檢查Redis實例的網絡類型為專有網絡,視為“合規”。 | ||
SLB實例的HTTPS監聽使用指定的安全策略套件 | 8.1.2.2 | b)應采用密碼技術保證通信過程中數據的保密性。 | SLB實例的所有HTTPS類型監聽使用參數指定的安全策略套件版本,視為“合規”。未設置HTTPS類型監聽的SLB實例,視為“不適用”。 |
RDS實例開啟SSL并使用指定的TLS版本 | RDS實例開啟SSL同時使用的TLS版本在參數指定的版本范圍內,視為“合規”。 | ||
OSS存儲空間權限策略設置安全訪問 | OSS存儲空間權限策略中包含了讀寫操作的訪問方式設置為HTTPS,或者拒絕訪問的訪問方式設置為HTTP,視為“合規”。權限策略為空的OSS存儲空間視為“不適用”。 | ||
CDN域名開啟TLS13版本檢測 | 檢測CDN域名是否啟用TLS1.3,啟用視為“合規”。 | ||
PolarDB集群設置SSL加密 | PolarDB集群設置了SSL加密,視為“合規”。 | ||
API網關中API分組的HTTPS安全策略滿足要求 | API網關中的API分組設置的HTTPS安全策略在指定的參數列表中,視為“合規”。 | ||
OSS存儲空間不能為匿名賬號授予任何權限 | OSS Bucket授權策略中未授予匿名賬號任何讀寫權限,視為“合規”。若OSS Bucket未設置任何授權策略,視為“合規”。 | ||
安全組入網設置有效 | 8.1.3.1 8.1.3.2 | 8.1.3.1 a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。 b)應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查。 8.1.3.2 a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信。 c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出 | 安全組入方向授權策略為允許,當端口范圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組視為“不適用”。 |
開啟公網IP的RDS實例白名單未對所有來源開放 | RDS實例為開啟公網IP,或者開啟白名單未設置為對所有來源IP開放,視為“合規”。 | ||
容器鏡像服務實例白名單檢測 | 容器鏡像服務實例白名單不存在任意IP條目,視為“合規”,適用于企業版。 | ||
Elasticsearch實例未開啟公網或不允許任意IP訪問 | Elasticsearch實例未開啟公網訪問,或者白名單未設置為對所有IP開放,視為“合規”。 | ||
容器鏡像服務實例未打開公網訪問入口 | 容器鏡像服務實例未打開公網訪問入口,視為“合規”,適用于企業版。 | ||
Redis實例未開啟公網或安全白名單未設置為允許任意來源訪問 | Redis實例未開公網或安全白名單未設置為允許任意來源訪問,視為“合規”。Redis實例存在公網且允許任意來源訪問,如果同時滿足視為“不合規”。 | ||
安全組指定協議不允許對全部網段開啟風險端口 | 當安全組入網網段設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。若入網網段未設置為0.0.0.0/0時,即使端口范圍包含指定的風險端口,也視為“合規”。如果檢測到的風險端口被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組視為“不適用”。 | ||
NAT網關不允許映射指定的風險端口 | NAT網關DNAT映射端口不包含指定的風險端口,視為“合規”。 | ||
NAS文件系統使用的權限組未對所有來源開放 | 8.1.3.1 | a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。 b)應能夠對非授權設備私自連接到內部網絡的行為進行限制或檢查 | NAS文件系統使用的權限組未對所有訪問來源開放,視為“合規”。文件系統未添加掛載點或關聯權限組未添加任何規則視為“不適用”。 |
Bukect策略組織外授權檢測 | OSS bucket如果未開啟公共讀且分析結果未發現組織外授權,視為“合規”。如果bucket policy分析結果顯示無法分析,視為”不合規“;如果bucket policy分析結果全部存在于資源目錄,視為“合規”;如果存在資源目錄下賬號之外的授權,判定為組織外授權,評估為“不合規”。 | ||
OSS存儲空間ACL禁止公共讀 | OSS存儲空間的ACL策略禁止公共讀,視為“合規”。 | ||
ACK集群未設置公網連接端點 | ACK集群未設置公網連接端點,視為“合規”。 | ||
運行中的ECS實例未綁定公網地址 | 運行中的ECS實例沒有直接綁定IPv4公網IP或彈性公網IP,視為“合規”。 | ||
SLB實例未綁定公網IP | SLB實例未綁定公網IP,視為“合規”。如果沒有公網需求,建議SLB實例不要直接綁定公網IP地址。如果有公網需求,建議購買EIP并和相關SLB實例進行綁定,使用EIP更加靈活、同時可使用共享帶寬降低成本。 | ||
Redis實例開啟密碼認證 | Redis實例專有網絡下開啟密碼認證,視為”合規“。 | ||
專有網絡ACL未開放風險端口 | 8.1.3.2 | a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信。 c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出。 | 當專有網絡訪問控制入方向規則目的地址設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。 |
SLB實例所有運行中的監聽都設置訪問控制 | 8.1.3.2 | SLB實例所有運行中的監聽都設置了訪問控制,視為“合規”。未配置監聽的實例不適用本規則,視為“不適用”。 | |
ALB實例所有運行中的監聽都設置訪問控制 | 8.1.3.2 | ALB實例所有運行中的監聽都設置了訪問控制,視為“合規”。未配置監聽的實例不適用本規則,視為“不適用”。 | |
SLB訪問控制列表不允許配置所有地址段 | 8.1.3.2 | SLB訪問控制列表中不包含0.0.0.0/0條目,視為“合規”。 | |
OSS存儲空間授權策略設置IP限制 | 8.1.3.2 | OSS Bucket讀寫權限設置為私有,或者授權策略中包含只允許特定IP訪問的策略,視為“合規”。 | |
SLB實例監聽端口不包含指定端口 | 8.1.3.2 | SLB實例監聽的端口不包含指定的風險端口,視為“合規”。 | |
OSS存儲空間開啟防盜鏈 | 8.1.3.2 | OSS存儲空間訪問來源白名單不為空,而且是否允許空Referer的設置和指定的參數值保持一致,視為“合規”。 | |
PolarDB實例未開啟公網或IP白名單未設置為全網段 | 8.1.3.2 | 檢測賬號下PolarDB實例開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。 | |
使用Web防火墻對網站或APP進行安全防護 | 8.1.3.3 8.1.3.4 8.1.4.4 8.1.5.4 | 8.1.3.3 a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。 b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為。 c)應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析。 d)當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。 8.1.3.4 a)應在關鍵網絡節點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新。 b)應在關鍵網絡節點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。 8.1.4.4 e)應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。 f)應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。 8.1.5.4 d)應對分散在各個設備上的審計數據進行收集、匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求。 e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。 | 使用Web防火墻對網站或APP進行安全防護,視為“合規”。 |
使用云安全中心企業版 | 使用云安全中心企業版或者更高級別的版本,視為“合規”。 | ||
使用DDoS防護防止DDoS攻擊風險 | 8.1.3.3 8.1.4.4 8.1.5.4 | 8.1.3.3 a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。 b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為。 c)應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析。 d)當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。 8.1.4.4 e)應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。 f)應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。 8.1.5.4 d)應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求。 e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。 | 使用DDoS防護防止DDoS攻擊風險,視為“合規”。 |
使用云防火墻對網絡邊界進行安全防護 | 使用云防火墻對網絡邊界進行安全防護,視為“合規”。 | ||
云防火墻中資產開啟保護 | 8.1.3.3 | a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。 b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為。 c)應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析。 d)當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。 | 云防火墻中資產開啟保護,視為“合規”。本規則只對云防火墻付費用戶有效,未開通云防火墻或者免費用戶資產無檢測數據。 |
在云安全中心開啟指定類型的主動防御 | 8.1.3.5 8.1.5.4 | 8.1.3.5 b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。 8.1.5.4 d)應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求。 e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。 | 在云安全中開啟了參數指定的主動防御類型,視為“合規”。 |
WAF3實例開啟指定防護規則 | 8.1.3.5 8.1.5.4 | WAF3.0實例開啟指定防護場景的規則,視為“合規”。 | |
開啟操作審計全量日志跟蹤 | 8.1.3.5 8.1.5.4 | 操作審計中存在開啟狀態的跟蹤,且跟蹤全部地域和全部事件類型,視為“合規”。如果是資源目錄成員賬號,當管理員有創建應用到所有成員賬號的跟蹤時,視為“合規”。 | |
RDS實例開啟SQL審計 | 8.1.3.5 8.1.5.4 | RDS實例的SQL審計狀態為開啟,視為“合規”。 | |
ADB集群開啟SQL審計日志 | 8.1.3.5 8.1.5.4 | ADB集群開啟SQL審計日志,視為“合規”。 | |
VPC開啟流日志記錄 | 8.1.3.5 8.1.5.4 | VPC已開啟流日志(Flowlog)記錄功能,視為“合規”。 | |
RAM用戶密碼策略符合要求 | 8.1.4.1 | b)應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。 d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。 | RAM用戶密碼策略中各項配置滿足參數設置的值,視為“合規”。 |
阿里云賬號開啟MFA | 8.1.4.1 | 阿里云賬號開啟MFA,視為“合規”。 | |
RAM用戶開啟MFA | 8.1.4.1 | 開啟控制臺訪問功能的RAM用戶登錄設置中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | |
RAM用戶在指定時間內有登錄行為 | 8.1.4.2 | c)應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在。 d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離。 | 如果RAM用戶在最近90天有登錄行為,視為“合規”。如果RAM用戶的最近登錄時間為空,則檢查更新時間,當更新時間小于等于90天時,視為“合規”。未開啟控制臺訪問的用戶視為“不適用”。 |
不存在閑置的RAM權限策略 | 8.1.4.2 | RAM權限策略至少綁定一個RAM用戶組、RAM角色或RAM用戶,視為“合規”。 | |
RAM用戶組非空 | 8.1.4.2 | RAM用戶組至少包含一個RAM用戶,視為“合規”。 | |
不直接授權給RAM用戶 | 8.1.4.2 | RAM用戶沒有直接綁定權限策略,視為“合規”。推薦RAM用戶從RAM組或角色繼承權限。 | |
RAM用戶不存在閑置AccessKey | 8.1.4.2 | RAM用戶AccessKey的最后使用時間距今天數小于參數設置的天數,視為“合規”。默認值:90天。 | |
不存在超級管理員 | 8.1.4.2 | RAM用戶、RAM用戶組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。 | |
RAM用戶訪問設置人員和程序分離 | 8.1.4.2 | c)應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在。 d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離。 | RAM用戶未同時開啟控制臺訪問和API調用訪問,視為“合規”。 |
運行中的ECS實例開啟云安全中心防護 | 8.1.4.4 | e)應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。 f)應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。 | 通過在主機上安裝云安全中心插件,提供主機的安全防護服務。如果有安裝云安全中心插件則視為"合規"。非運行中狀態的實例不適用本規則,視為“不適用”。 |
運行中的ECS實例無待修復漏洞 | 8.1.4.4 | ECS實例在云安全中心無指定類型和等級的待修復漏洞,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | |
云安全中心通知項目已設置通知方式 | 8.1.4.4 | 云安全中心通知項目均已設置通知方式,視為“合規”。 | |
OSS存儲空間開啟服務端加密 | 8.1.4.8 | b)應采用密碼技術保證重要數據在存儲過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等。 | OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。 |
使用中的ECS數據磁盤開啟加密 | 8.1.4.8 | 使用中的ECS數據磁盤已開啟加密,視為“合規”。 | |
ACK集群配置Secret的落盤加密 | 8.1.4.8 | ACK集群配置Secret的落盤加密,視為“合規”。非專業托管版集群視為“不適用”。 | |
Redis實例開啟TDE加密 | 8.1.4.8 | Redis實例開啟TDE加密,視為”合規“。 | |
RDS實例開啟云盤加密 | 8.1.4.8 | RDS實例開啟了云盤加密,視為”合規“。本地盤或者不支持云盤加密的規格實例視為“不適用”。 | |
日志服務日志庫設置數據加密 | 8.1.4.8 | 日志服務日志庫設置了數據加密,視為“合規”。 | |
PolarDB集群開啟TDE | 8.1.4.8 | PolarDB集群開啟TDE,視為“合規”。 | |
ECS磁盤設置自動快照策略 | 8.1.4.9 | a)應提供重要數據的本地數據備份與恢復功能。 b)應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地。 c)應提供重要數據處理系統的熱冗余,保證系統的高可用性。 | ECS磁盤設置了自動快照策略,視為“合規”。狀態非使用中的磁盤、不支持設置自動快照策略的磁盤、ACK集群掛載的非持久化使用場景的磁盤視為“不適用”。 |
PolarDB集群數據二級備份保留周期滿足指定要求 | 8.1.4.9 | PolarDB集群二級備份保留周期大于等于指定天數,視為“合規”。參數默認值30天。未開啟二級備份或備份保留周期小于指定天數視為“不合規”。 | |
為NAS文件系統創建備份計劃 | 8.1.4.9 | 為NAS文件系統創建備份計劃,視為“合規”。 | |
RDS實例開啟日志備份 | 8.1.4.9 | RDS實例開啟日志備份視為"合規"。 | |
OSS存儲空間開啟版本控制 | 8.1.4.9 | 如果沒有開啟版本控制,會導致數據被覆蓋或刪除時無法恢復。如果開啟版本控制則視為"合規"。 | |
Elasticsearch實例開啟自動備份 | 8.1.4.9 | Elasticsearch實例開啟了自動備份,視為“合規”。 | |
MongoDB實例打開日志備份 | 8.1.4.9 | MongoDB實例開啟日志備份,視為“合規”。 | |
為RDS創建災備實例 | 8.1.4.9 | 為RDS實例創建災備實例,視為“合規”。當RDS實例所在可用地域發生故障時,可基于災備實例快速恢復服務。 | |
OSS存儲空間開啟同城冗余存儲 | 8.1.4.9 | 如果沒有開啟同城冗余存儲,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響數據恢復目標。OSS存儲空間開啟同城冗余存儲,視為“合規”。 | |
使用多可用區的ALB實例 | 8.1.4.9 | ALB實例為多可用區實例,視為“合規”。如果只選擇了一個可用區,當這個可用區出現故障時,會影響ALB實例,進而影響業務穩定性。 | |
使用多可用區的RDS實例 | 8.1.4.9 | RDS實例為多可用區實例,視為“合規”。 | |
為PolarDB集群開啟熱備集群 | 8.1.4.9 | PolarDB集群開啟存儲熱備集群,數據分布在多個可用區,視為“合規”。 | |
使用多可用區MongoDB實例 | 8.1.4.9 | 使用多可用區的MongoDB實例,視為“合規”。 | |
使用區域級多可用區集群 | 8.1.4.9 | 使用區域級ACK集群,節點分布在3個及以上可用區,視為“合規”。 | |
Redis實例為多可用區實例 | 8.1.4.9 | Redis實例為多可用區實例,視為“合規”。 | |
使用多可用區Elasticsearch實例 | 8.1.4.9 | 使用多可用區的Elasticsearch實例,視為“合規”。 | |
使用多可用區SLB實例并為服務器組配置多個可用區資源 | 8.1.4.9 | SLB實例為多可用區,并且SLB實例下所有監聽使用的服務器組中添加了多個可用區的資源,視為“合規”。 |