本文為您介紹PCI-DSS數據安全標準合規包的業務背景、應用場景,以及合規包中的默認規則。
業務背景
PCI DSS(Payment Card Industry Data Security Standard)是支付卡產業數據安全標準,用于提高持卡人的數據安全,是支付卡組織采用的全球化一致性的數據安全措施。PCI DSS提供了一套保護持卡人數據的技術,以及操作基線。
PCI DSS數據安全標準合規包基于PCI DSS V4.0對賬號數據保護的基線標準,從云上資源使用和管控方面提供部分建議的合規性檢測。
關于PCI DSS合規標準的更多信息,請參見PCI安全標準官網。
應用場景
PCI DSS數據安全標準合規包應用于金融行業及對數據安全要求較高的企業。
默認規則
合規包模板為您提供通用的合規性框架,幫助您快速創建符合目標場景的合規包。規則的“合規”僅指資源符合規則定義本身的合規性描述,不確保符合特定法規或行業標準的所有要求。
規則名稱 | 規則描述 |
已接入WAF2.0進行防護的域名均開啟日志采集,視為“合規”。 | |
VPC已開啟流日志(Flowlog)記錄功能,視為“合規”。 | |
API網關中的API分組綁定自定義域名且域名接入了WAF防護,視為“合規”。 | |
WAF防護域名開啟指定防護功能模塊,視為“合規”。 | |
安全組入方向授權策略為允許,當端口范圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組視為“不適用”。 | |
當安全組入網網段設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。若入網網段未設置為0.0.0.0/0時,即使端口范圍包含指定的風險端口,也視為“合規”。如果檢測到的風險端口被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組,視為“不適用”。 | |
除指定的白名單端口外,其余端口不能有授權策略設置為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。云產品或虛商所使用的安全組不適用本規則,視為“不適用”。 | |
為讀寫權限公開的OSS存儲空間設置授權策略,并且授權策略中不能為匿名賬號授予任何讀寫的操作權限,視為“合規”。讀寫權限為私有的OSS存儲空間,視為“不適用”。 | |
ECS實例沒有直接綁定IPv4公網IP或彈性公網IP,視為“合規”。 | |
RDS實例開啟公網且白名單設置為0.0.0.0/0,同時滿足視為“不合規”。 | |
檢測賬號下PolarDB實例開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。 | |
云防火墻中不存在未開啟防護的資產,視為“合規”。本規則只對云防火墻付費用戶有效,未開通云防火墻或者免費用戶默認,視為“合規”。 | |
通過在主機上安裝云安全中心插件,提供主機的安全防護服務。如果有安裝云安全中心插件,視為"合規"。非運行中狀態的實例不適用本規則,視為“不適用”。 | |
使用云安全中心企業版或者更高級別的版本,視為“合規”。 | |
ECS實例在云安全中心無指定類型和等級的待修復漏洞,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | |
RDS實例的SQL審計狀態為開啟,視為“合規”。 | |
操作審計中存在開啟狀態的跟蹤,且跟蹤全部地域和全部事件類型,視為“合規”。如果是資源目錄成員賬號,當管理員有創建應用到所有成員賬號的跟蹤時,視為“合規”。 | |
RDS Mysql類型實例開啟SQL審計且日志保留天數大于等于指定值,視為“合規”。默認值:180天。 | |
ECS自動快照策略設置快照保留天數大于設置的天數,視為“合規”。默認值:7天。 | |
PolarDB集群一級備份保留周期大于等于指定天數,視為“合規”。參數默認值7天。 | |
PolarDB集群開啟TDE,視為“合規”。 | |
密鑰管理服務中的憑據設置自動輪轉,視為“合規”。 | |
對密鑰管理服務中的用戶主密鑰設置自動輪轉,視為“合規”。 | |
KMS主密鑰開啟刪除保護,視為“合規”。 | |
OSS存儲空間使用了自定義的KMS密鑰加密,視為“合規”。 | |
RDS實例使用自定義密鑰開啟TDE,視為“合規”。 | |
Redis實例使用自定義密鑰開啟TDE加密,視為”合規“。 | |
CDN域名開啟HTTPS協議加密,視為“合規”。 | |
API網關中開啟公網訪問的API請求方式設置為HTTPS,視為“合規”。只限制內網調用的API不適用此規則,視為“不適用”。 | |
Elasticsearch實例使用HTTPS傳輸協議,視為“合規”。 | |
OSS存儲空間權限策略中包含了讀寫操作的訪問方式設置為HTTPS,或者拒絕訪問的訪問方式設置為HTTP,視為“合規”。權限策略為空的OSS存儲空間,視為“不適用”。 | |
SLB實例的所有HTTPS類型監聽使用參數指定的安全策略套件版本,視為“合規”。未設置HTTPS類型監聽的SLB實例,視為“不適用”。 | |
函數計算函數綁定到自定義域名且開啟TLS指定版本,視為“合規”。 | |
賬號下所有ECS實例均已安裝云安全中心代理,視為“合規”。 | |
在云安全中心設置指定風險等級的漏洞掃描,視為“合規”。 | |
云安全中心通知項目均已設置通知方式,視為“合規”。 | |
RDS實例的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | |
PolarDB集群的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | |
RAM用戶未綁定符合參數條件的權限策略,包括繼承自用戶組的權限,視為“合規”。參數默認值表示管理員的權限配置,表示擁有管理員權限,視為“不合規”。 | |
RAM用戶、RAM用戶組、RAM角色均未擁有Resource為*和Action為*的超級管理員權限,視為“合規”。 | |
RAM用戶下AccessKey的創建時間距離檢查時間不超過指定天數,視為“合規”。默認值:90天。 | |
所有RAM用戶均歸屬于RAM用戶組,視為“合規”。 | |
RAM用戶未同時開啟控制臺訪問和API調用訪問,視為“合規”。 | |
阿里云賬號不存在任何狀態的AccessKey,視為“合規”。 | |
RAM用戶開啟SSO,視為“合規”。 | |
RAM用戶AccessKey的最后使用時間距今天數小于參數設置的天數,視為“合規”。默認值:90天。 | |
如果RAM用戶在最近90天有登錄行為,視為“合規”。如果RAM用戶的最近登錄時間為空,則檢查更新時間,當更新時間小于等于90天時,視為“合規”。未開啟控制臺訪問的用戶,視為“不適用”。 | |
RAM權限策略至少綁定一個RAM用戶組、RAM角色或RAM用戶,視為“合規”。 | |
RAM用戶組至少包含一個RAM用戶,視為“合規”。 | |
RAM用戶密碼策略中各項配置滿足參數設置的值,視為“合規”。 | |
阿里云賬號開啟MFA,視為“合規”。 | |
開啟控制臺訪問功能的RAM用戶登錄設置中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | |
云安全中心未發現已泄露的AccessKey信息,視為“合規”。 | |
PolarDB集群SQL審計狀態為開啟,視為“合規”。 | |
如果沒有開啟日志備份,當本地日志丟失會出現無法恢復數據的風險。如果RDS實例開啟日志備份,則視為"合規"。 | |
為NAS文件系統創建備份計劃,視為“合規”。 | |
PolarDB集群日志備份保留周期大于等于指定天數,視為“合規”。參數默認值30天。未開啟日志備份或備份保留周期小于指定天數視為“不合規”。 | |
如果沒有開啟同城冗余存儲,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響數據恢復目標。OSS存儲空間開啟同城冗余存儲,視為“合規”。 | |
日志服務日志庫設置了數據加密,視為“合規”。 | |
OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。 | |
RDS實例開啟歷史事件日志,視為“合規”。 | |
PolarDB集群參數 | |
企業可以規范企業內部的OS版本,要求生產環境的主機都必須統一操作系統版本。同時對于那些官方停止維護的操作系統需要及時升級,以免出現安全漏洞。ECS實例使用的操作系統英文名稱在指定的白名單范圍中,或者操作系統英文名稱不在指定的黑名單范圍中,視為“合規”。 | |
運行中的ECS實例安裝云監控插件而且插件狀態為運行中,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | |
在云監控為指定命名空間的云服務設置了至少一條報警規則,視為“合規”。 | |
ECS數據磁盤已開啟加密,視為“合規”。 | |
RDS實例開啟了云盤加密,視為”合規“。 |