文档

概述

更新时间:

合规包帮助您动态且持续地检查资源的合规性,对于不合规资源,提醒您及时修复。本文介绍24种合规包的主要功能。

网络及数据安全最佳实践

从网络架构和数据安全等方面进行全面检测,以确保系统和数据进行了合理的设置和保护,有效减少网络和数据泄漏的风险。满足这些要求,可以大幅度降低网络安全风险。

网络及数据安全最佳实践支持的功能如下表所示。

功能

说明

检查账号

检查阿里云账号及RAM用户的密码设置、权限策略等。

检查网络

检查实例的网络归属、安全组设置、端口是否开放、流量监控等。

检查虚拟机

检查虚拟机的磁盘是否加密、端口是否开放、系统补丁、端点保护等。

检查对象存储OSS

检查存储空间的读写设置、安全传输、内容加密等。

检查数据库

检查数据库的连接类型、数据加密、数据库审计等。

等保三级预检合规包

基于等保2.0三级标准,等保三级预检为您动态且持续地监控阿里云上资源的合规性,从而避免正式检查时反复整改,帮助您快速通过等保检查。关于等保2.0,请参见什么是等保2.0

等保三级预检检查的功能如下表所示。

功能

说明

检查网络类型

检查ECS实例和数据库实例的网络类型是否为专有网络。如果为专有网络,且关联的专有网络在指定参数范围内,则视为“合规”。

检查防护设置

检查ECS实例和数据库的IP白名单是否设置为0.0.0.0/0,以及ECS数据磁盘加密是否开启。

检查对象存储OSS

检查OSS存储空间的读写设置是否为只读,以及同城冗余存储和服务端OSS完全托管加密是否开启。

检查带宽

检查负载均衡SLB和弹性公网IP的带宽是否满足最低要求。

OSS合规管理最佳实践

对象存储OSS(Object Storage Service)是很多客户用来存储业务数据的重要存储服务。如果存储空间(Bucket)设置不符合安全防护要求,则可能带来数据泄露甚至丢失的巨大业务风险。OSS合规管理最佳实践可以帮助您动态且持续地监控存储空间的不合规设置,并提醒您及时修复。

OSS合规管理最佳实践检查的功能如下表所示。

功能

说明

检查读写设置

全局检查存储空间权限是否为公共读或公共读写。

检查防护设置

为进一步提升数据安全性,要求存储空间必须设置文件加密和防盗链。

检查同城冗余

检查存储空间是否启用同城冗余存储。

负载均衡应用最佳实践

检测传统负载均衡和应用负载均衡的公网及白名单设置、多可用容灾能力、实例续费及到期、变更管理等是否存在风险,确保正确应用负载均衡实例。

负载均衡应用最佳实践检查的功能如下表所示。

功能

说明

避免业务中断

如果网络负载额度达不到业务峰值要求,则服务可能在业务高峰期中断。

实现公网隔离

如果网络设置存在疏漏,则可能将业务系统暴露到公网环境,面对潜在的公网攻击和数据泄露。

及时发现网络问题

如果网络监控的实时监测未启用,则无法及时发现网络疏漏,带来潜在的业务风险。

资源开启保护最佳实践

资源开启保护最佳实践用于检测ECS、RDS等云产品是否开启保护功能。

资源开启保护最佳实践检查的功能如下表所示。

功能

说明

检查阿里云账号和RAM用户登录

检查阿里云账号和RAM用户密码的有效期,以及是否开启MFA。

检查安全设置

检查是否存在无效的RAM用户、用户组和策略,以及是否存在阿里云账号下的密钥对。

检查授权

检查RAM用户是否直接绑定策略,以及是否存在全量授权。

AccessKey及权限治理最佳实践

为AccessKey及权限的治理提供最佳实践,从AccessKey、阿里云账号、RAM用户的设置和使用方式等方面进行检测。

数据库合规管理最佳实践

数据库合规管理最佳实践持续检查云数据库RDS、Redis、MongoDB、PolarDB实例的加密防护和访问控制的合规性,避免数据泄露风险。

数据库合规管理最佳实践检查的功能如下表所示。

功能

说明

检查数据库到期时间

检查数据库实例的到期时间。

检查数据库防护设置

检查数据库实例是否开启释放保护,以及IP白名单是否设置为0.0.0.0/0。

检查数据库网络类型

检查数据库实例的网络类型是否为专有网络,以及关联的专有网络是否在指定参数范围内。

ECS合规管理最佳实践

ECS合规管理最佳实践持续检查云服务器ECS的运行状态、安全设置、防护设置、快照设置的合规性,避免业务中断和成本溢出的风险。

ECS合规管理最佳实践检查的功能如下表所示。

功能

说明

检查运行状态

检查ECS实例的运行状态。

检查安全设置

检查ECS实例的到期时间和安全组。

检查防护设置

检查ECS实例是否开启释放保护和数据磁盘加密。

检查快照设置

检查ECS磁盘是否设置自动快照策略和自动锁定,以及自动快照保留天数是否满足要求。

RMiT金融标准检查合规包

RMiT金融标准检查基于马来西亚金融行业通用的IT风险控制标准,持续检查云上IT系统的合规性。

RMiT金融标准检查支持的功能如下表所示。

功能

说明

检查账号

检查RAM用户的密码设置、权限策略、登录,以及是否开启MFA。

检查负载均衡SLB

检查SLB实例是否开启释放保护和HTTPS监听,以及阿里云签发的证书是否已过期。

检查云服务器ECS

检查ECS实例的网络类型是否为专有网络、是否开启数据磁盘加密、是否绑定IPv4公网IP地址等。

检查对象存储OSS

检查存储空间是否开启服务端KMS加密、是否开启服务端默认加密、是否开启日志存储等。

检查云数据库RDS

检查RDS实例是否开启历史事件、是否开启TDE加密、是否使用多可用区实例等。

检查操作审计

检查操作审计是否存在一个开启状态的跟踪,以及是否开启全量日志跟踪。

云治理中心合规实践

云治理中心合规实践统一配置和开启规则,保障云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。

安全组最佳实践

安全组最佳实践持续检查安全组规则的合规性,降低安全风险。

OceanBase最佳实践

OceanBase最佳实践基于安全组最佳实践持续检查OceanBase的合规性。

资源稳定性最佳实践

资源稳定性最佳实践从高可用基础架构、容量保护、变更管理、监控管理、备份管理和故障隔离六大维度对云上资源的稳定性进行检测,有助于您提前发现隐患,提升资源稳定性和运维效率。

PCI DSS数据安全标准合规包

PCI DSS(Payment Card Industry Data Security Standard)数据安全标准合规包基于PCI DSS V4.0对账号数据保护的基线标准,从云上资源使用和管控方面提供部分建议的合规性检测。

GxP欧盟附录11标准合规包

GxP欧盟附录11(GxP EU Annex 11)是欧盟对于计算机化系统使用的规范性要求,主要针对在制药、生物技术和医疗器械领域中使用计算机化系统的企业和组织。GxP欧盟附录11标准合规包基于GxP欧盟附录11对账号数据保护的基线标准,从云上资源使用和管控方面提供部分建议的合规性检测。

多可用区架构最佳实践

使用多可用区的业务架构,数据可靠性更高,在主可用区故障时能快速恢复业务。

资源开启公网检测最佳实践

基于对公网安全、成本、权限和监控等诉求,通常企业IT管理团队会统一部署安全的公网出口,其他云资源避免开通不受限制的公网访问,从而降低业务潜在的网络攻击、数据泄露等安全风险。

资源空闲检测最佳实践

资源空闲检测最佳实践检测常见的云资源在购买以后是否被闲置,涉及弹性公网IP、共享带宽、VPC、VPN等云产品。资源购买后未启用会导致企业成本的浪费,建议及时发现并治理。

中国GMP附录《计算机化系统》合规包

在制药领域中使用计算机化系统的企业和组织,在用云过程中需要满足中国GMP附录《计算机化系统》标准。

阿里云卓越架构安全支柱最佳实践

阿里云卓越架构安全支柱针对网络安全、身份安全、主机安全、数据安全等全方位地进行规划和实施,同时持续对威胁进行检测和快速响应。

变更管理最佳实践

变更管理最佳实践从变更管理维度对云上资源的稳定性做检测,有助于提前发现隐患,提升稳定性和运维效率。

资源到期提醒最佳实践

资源到期提醒最佳实践从到期风险维度对云上资源的稳定性做检测,有助于提前发现隐患,提升稳定性和运维效率。

资源备份功能开启最佳实践

资源备份功能开启最佳实践检测云数据库Redis、云数据库PolarDB和云数据库RDS等云产品是否开启资源备份,如未开启建议及时发现并治理。

Redis应用最佳实践

检测云数据库Redis的实例规格是否满足要求,检测审计日志开启、公网及白名单设置、多可用容灾能力、实例续费及到期、变更管理等是否存在风险,确保正确应用云数据库Redis版,保障系统稳定性和安全性。