您可以在云治理中心统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。

防护规则列表

根据最佳实践的指导,您可以根据情况开启以下三类规则:

  • 必选规则:基础防护类规则,强制开启。开启后,您不能自行关闭。
  • 推荐规则:安全合规类规则,推荐开启。您可以选择需要开启的规则,开启后,您可以自行关闭。
  • 可选规则:您可以根据实际情况选择需要开启的规则。开启后,您可以自行关闭。
规则名称 规则说明 作用节点 用途 开启指导
云治理中心指定存储审计日志的OSS存储空间开启服务端加密 云治理中心指定存储审计日志的OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 日志账号 合规审计 必选
云治理中心指定存储审计日志的OSS存储空间未开启公共读写 云治理中心指定存储审计日志的OSS存储空间,ACL策略禁止公共读写,视为“合规”。 日志账号 合规审计 必选
资源目录内所有云账号不存在AccessKey 资源目录内所有云账号不存在任何状态的AccessKey,视为“合规”。 资源目录 身份权限 必选
资源目录内所有云账号开启MFA认证 资源目录内所有云账号开启MFA认证,视为“合规”。 资源目录 身份权限 必选
云治理中心用于提供服务的指定角色存在 根据名称检查云治理中心用于提供服务的指定角色存在,视为“合规”。 日志账号 云治理中心 必选
所有ECS数据磁盘开启加密 所有ECS数据磁盘已开启加密,视为“合规”。 资源目录 数据安全 推荐
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。 资源目录 网络安全 推荐
安全组入网设置有效 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。 资源目录 网络安全 推荐
所有OSS存储空间未开启公共读写 所有OSS存储空间,ACL策略禁止公共读写,视为“合规”。 资源目录 数据安全 推荐
使用专有网络类型的RDS实例 如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个规格用英文逗号(,)分隔。 资源目录 资源管理 推荐
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。 资源目录 数据安全 推荐
RDS白名单未设置为全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。 资源目录 数据安全 推荐
RAM用户密码策略符合要求 RAM用户密码策略中各项配置符合访问控制的配置,视为“合规”。 资源目录 身份权限 推荐
RAM用户不存在闲置AccessKey RAM用户AccessKey的最后使用时间小于参数设置的时间,视为“合规”。默认值:90天。 资源目录 身份权限 推荐
ECS实例开启释放保护 ECS实例开启释放保护,视为“合规”。 资源目录 资源管理 推荐
SLB实例开启释放保护 SLB实例开启释放保护,视为“合规”。 资源目录 资源管理 推荐
所有OSS存储空间开启服务端加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 资源目录 数据安全 可选
所有OSS存储空间已开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。 资源目录 数据安全 可选
RAM用户开启MFA认证 RAM用户开启MFA,视为“合规”。 资源目录 身份权限 可选
资源必须具备指定标签中的至少一项 参数可指定一个标签的多种取值,资源具备其中一种取值,视为“合规”。 资源目录 资源管理 可选
资源必须具备所有指定标签 最多可定义6组标签,资源需同时具有指定的所有标签,视为“合规”。 资源目录 资源管理 可选
SLB开启HTTPS监听 SLB开启HTTPS监听80/8080端口,视为“合规”。 资源目录 资源管理 可选
资源归属指定区域范围 资源归属于参数指定的区域范围,视为“合规”。 资源目录 资源管理 可选
RAM用户在指定时间内有登录行为 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 资源目录 身份权限 可选

防护规则初始化

  1. 登录云治理中心控制台
  2. 在左侧导航栏,单击Landing Zone搭建
  3. 选择蓝图,然后单击搭建
    本文以标准蓝图为例。
  4. 配置蓝图页面的已添加搭建项区域,单击防护规则
  5. 选择需要开启的防护规则。
    必选规则会默认选中,您可以选择推荐或可选规则。

管理防护规则

防护规则初始化成功后,您可以管理防护规则。包括查看规则详情、查看资源合规结果、打开或关闭推荐规则和可选规则的开关。

  1. 登录云治理中心控制台
  2. 在左侧导航栏,选择管理与治理 > 合规审计 > 防护规则
  3. 防护规则概览区域,查看必选规则、推荐规则、可选规则和未开启规则的概况。
  4. 防护规则区域,单击目标防护规则名称,管理防护规则。
    • 规则详情页签,查看规则详情。同时,可以打开或关闭推荐规则和可选规则的开关。
    • 检测结果页签,查看资源的合规结果。