合规包帮助您动态且持续地检查资源的合规性,对于不合规资源,提醒您及时修复。本文介绍8种合规包的主要功能。

CIS网络安全框架检查

CIS(Center for Internet Security)网络安全框架检查,为您动态且持续地监控您保有在阿里云上的资源是否符合CIS网络安全框架要求。满足这些要求,可以大幅度降低网络安全风险。

CIS安全控制是企业为了实现基本网络安全而必须满足的前20个控制点或目标的列表。CIS网络安全框架检查支持的功能如下表所示。
功能 说明
检查账号 检查阿里云账号及RAM用户的密码设置、权限策略等。
检查网络 检查实例的网络归属、安全组设置、端口是否开放、流量监控等。
检查虚拟机 检查虚拟机的磁盘是否加密、端口是否开放、系统补丁、端点保护等。
检查对象存储OSS 检查存储空间的读写设置、安全传输、内容加密等。
检查数据库 检查数据库的连接类型、数据加密、数据库审计等。

等保三级预检

基于等保2.0三级标准,等保三级预检为您动态且持续地监控阿里云上资源的合规性,从而避免正式检查时反复整改,帮助您快速通过等保检查。关于等保2.0,请参见等保2.0解读

等保三级预检检查的功能如下表所示。
功能 说明
检查网络类型 检查ECS实例和数据库实例的网络类型是否为专有网络。如果为专有网络,且关联的专有网络在指定参数范围内,则视为“合规”。
检查防护设置 检查ECS实例和数据库的IP白名单是否设置为0.0.0.0/0,以及ECS数据磁盘加密是否开启。
检查对象存储OSS 检查OSS存储空间的读写设置是否为只读,以及同城冗余存储和服务端OSS完全托管加密是否开启。
检查带宽 检查负载均衡SLB和弹性公网IP的带宽是否满足最低要求。

OSS合规管理最佳实践

对象存储OSS(Object Storage Service)是很多客户用来存储业务数据的重要存储服务。如果存储空间(Bucket)设置不符合安全防护要求,则可能带来数据泄露甚至丢失的巨大业务风险。OSS合规管理最佳实践可以帮助您动态且持续地监控存储空间的不合规设置,并提醒您及时修复。

OSS合规管理最佳实践检查的功能如下表所示。
功能 说明
检查读写设置 全局检查存储空间权限是否为公共读或公共读写。
检查防护设置 为进一步提升数据安全性,要求存储空间必须设置文件加密和防盗链。
检查同城冗余 检查存储空间是否启用同城冗余存储。

网络合规管理最佳实践

网络合规管理最佳实践持续检查网络架构、负载额度和安全设置的合规性,帮助您动态且持续地监控网络的不合规设置,提醒您及时修复。

网络合规管理最佳实践检查的功能如下表所示。
功能 说明
避免业务中断 如果网络负载额度达不到业务峰值要求,则服务可能在业务高峰期中断。
实现公网隔离 如果网络设置存在疏漏,则可能将业务系统暴露到公网环境,面对潜在的公网攻击和数据泄露。
及时发现网络问题 如果网络监控的实时监测未启用,则无法及时发现网络疏漏,带来潜在的业务风险。

账号权限合规管理最佳实践

账号权限合规管理最佳实践将对阿里云账号和RAM用户进行全面的合规检查,帮助您提前发现和规避系统性风险。

账号权限合规管理最佳实践检查的功能如下表所示。
功能 说明
检查阿里云账号和RAM用户登录 检查阿里云账号和RAM用户密码的有效期,以及是否开启MFA。
检查安全设置 检查是否存在无效的RAM用户、用户组和策略,以及是否存在阿里云账号下的密钥对。
检查授权 检查RAM用户是否直接绑定策略,以及是否存在全量授权。

数据库合规管理最佳实践

数据库合规管理最佳实践持续检查云数据库RDS、Redis、MongoDB、PolarDB实例的加密防护和访问控制的合规性,避免数据泄露风险。

数据库合规管理最佳实践检查的功能如下表所示。
功能 说明
检查数据库到期时间 检查数据库实例的到期时间。
检查数据库防护设置 检查数据库实例是否开启释放保护,以及IP白名单是否设置为0.0.0.0/0。
检查数据库网络类型 检查数据库实例的网络类型是否为专有网络,以及关联的专有网络是否在指定参数范围内。

ECS合规管理最佳实践

ECS合规管理最佳实践持续检查云服务器ECS的运行状态、安全设置、防护设置、快照设置的合规性,避免业务中断和成本溢出的风险。

ECS合规管理最佳实践检查的功能如下表所示。
功能 说明
检查运行状态 检查ECS实例的运行状态。
检查安全设置 检查ECS实例的到期时间和安全组。
检查防护设置 检查ECS实例是否开启释放保护和数据磁盘加密。
检查快照设置 检查ECS磁盘是否设置自动快照策略和自动锁定,以及自动快照保留天数是否满足要求。

RMiT金融标准检查合规包

RMiT金融标准检查基于马来西亚金融行业通用的IT风险控制标准,持续检查云上IT系统的合规性。

RMiT金融标准检查支持的功能如下表所示。
功能 说明
检查账号 检查RAM用户的密码设置、权限策略、登录,以及是否开启MFA。
检查负载均衡SLB 检查SLB实例是否开启释放保护和HTTPS监听,以及阿里云签发的证书是否已过期。
检查云服务器ECS 检查ECS实例的网络类型是否为专有网络、是否开启数据磁盘加密、是否绑定IPv4公网IP地址等。
检查对象存储OSS 检查存储空间是否开启服务端KMS加密、是否开启服务端默认加密、是否开启日志存储等。
检查云数据库RDS 检查RDS实例是否开启历史事件、是否开启TDE加密、是否使用多可用区实例等。
检查操作审计 检查操作审计是否存在一个开启状态的跟踪,以及是否开启全量日志跟踪。