概述
合规包帮助您动态且持续地检查资源的合规性,对于不合规资源,提醒您及时修复。本文介绍16种合规包的主要功能。
CIS网络安全框架检查模板
CIS(Center for Internet Security)网络安全框架检查,为您动态且持续地监控您保有在阿里云上的资源是否符合CIS网络安全框架要求。满足这些要求,可以大幅度降低网络安全风险。
CIS安全控制是企业为了实现基本网络安全而必须满足的前20个控制点或目标的列表。CIS网络安全框架检查支持的功能如下表所示。
功能 | 说明 |
检查账号 | 检查阿里云账号及RAM用户的密码设置、权限策略等。 |
检查网络 | 检查实例的网络归属、安全组设置、端口是否开放、流量监控等。 |
检查虚拟机 | 检查虚拟机的磁盘是否加密、端口是否开放、系统补丁、端点保护等。 |
检查对象存储OSS | 检查存储空间的读写设置、安全传输、内容加密等。 |
检查数据库 | 检查数据库的连接类型、数据加密、数据库审计等。 |
等保三级预检模板
基于等保2.0三级标准,等保三级预检为您动态且持续地监控阿里云上资源的合规性,从而避免正式检查时反复整改,帮助您快速通过等保检查。关于等保2.0,请参见什么是等保2.0。
等保三级预检检查的功能如下表所示。
功能 | 说明 |
检查网络类型 | 检查ECS实例和数据库实例的网络类型是否为专有网络。如果为专有网络,且关联的专有网络在指定参数范围内,则视为“合规”。 |
检查防护设置 | 检查ECS实例和数据库的IP白名单是否设置为0.0.0.0/0,以及ECS数据磁盘加密是否开启。 |
检查对象存储OSS | 检查OSS存储空间的读写设置是否为只读,以及同城冗余存储和服务端OSS完全托管加密是否开启。 |
检查带宽 | 检查负载均衡SLB和弹性公网IP的带宽是否满足最低要求。 |
OSS合规管理最佳实践模板
对象存储OSS(Object Storage Service)是很多客户用来存储业务数据的重要存储服务。如果存储空间(Bucket)设置不符合安全防护要求,则可能带来数据泄露甚至丢失的巨大业务风险。OSS合规管理最佳实践可以帮助您动态且持续地监控存储空间的不合规设置,并提醒您及时修复。
OSS合规管理最佳实践检查的功能如下表所示。
功能 | 说明 |
检查读写设置 | 全局检查存储空间权限是否为公共读或公共读写。 |
检查防护设置 | 为进一步提升数据安全性,要求存储空间必须设置文件加密和防盗链。 |
检查同城冗余 | 检查存储空间是否启用同城冗余存储。 |
网络合规管理最佳实践模板
网络合规管理最佳实践持续检查网络架构、负载额度和安全设置的合规性,帮助您动态且持续地监控网络的不合规设置,提醒您及时修复。
网络合规管理最佳实践检查的功能如下表所示。
功能 | 说明 |
避免业务中断 | 如果网络负载额度达不到业务峰值要求,则服务可能在业务高峰期中断。 |
实现公网隔离 | 如果网络设置存在疏漏,则可能将业务系统暴露到公网环境,面对潜在的公网攻击和数据泄露。 |
及时发现网络问题 | 如果网络监控的实时监测未启用,则无法及时发现网络疏漏,带来潜在的业务风险。 |
账号权限合规管理最佳实践模板
账号权限合规管理最佳实践将对阿里云账号和RAM用户进行全面的合规检查,帮助您提前发现和规避系统性风险。
账号权限合规管理最佳实践检查的功能如下表所示。
功能 | 说明 |
检查阿里云账号和RAM用户登录 | 检查阿里云账号和RAM用户密码的有效期,以及是否开启MFA。 |
检查安全设置 | 检查是否存在无效的RAM用户、用户组和策略,以及是否存在阿里云账号下的密钥对。 |
检查授权 | 检查RAM用户是否直接绑定策略,以及是否存在全量授权。 |
数据库合规管理最佳实践模板
数据库合规管理最佳实践持续检查云数据库RDS、Redis、MongoDB、PolarDB实例的加密防护和访问控制的合规性,避免数据泄露风险。
数据库合规管理最佳实践检查的功能如下表所示。
功能 | 说明 |
检查数据库到期时间 | 检查数据库实例的到期时间。 |
检查数据库防护设置 | 检查数据库实例是否开启释放保护,以及IP白名单是否设置为0.0.0.0/0。 |
检查数据库网络类型 | 检查数据库实例的网络类型是否为专有网络,以及关联的专有网络是否在指定参数范围内。 |
ECS合规管理最佳实践模板
ECS合规管理最佳实践持续检查云服务器ECS的运行状态、安全设置、防护设置、快照设置的合规性,避免业务中断和成本溢出的风险。
ECS合规管理最佳实践检查的功能如下表所示。
功能 | 说明 |
检查运行状态 | 检查ECS实例的运行状态。 |
检查安全设置 | 检查ECS实例的到期时间和安全组。 |
检查防护设置 | 检查ECS实例是否开启释放保护和数据磁盘加密。 |
检查快照设置 | 检查ECS磁盘是否设置自动快照策略和自动锁定,以及自动快照保留天数是否满足要求。 |
RMiT金融标准检查模板
RMiT金融标准检查基于马来西亚金融行业通用的IT风险控制标准,持续检查云上IT系统的合规性。
RMiT金融标准检查支持的功能如下表所示。
功能 | 说明 |
检查账号 | 检查RAM用户的密码设置、权限策略、登录,以及是否开启MFA。 |
检查负载均衡SLB | 检查SLB实例是否开启释放保护和HTTPS监听,以及阿里云签发的证书是否已过期。 |
检查云服务器ECS | 检查ECS实例的网络类型是否为专有网络、是否开启数据磁盘加密、是否绑定IPv4公网IP地址等。 |
检查对象存储OSS | 检查存储空间是否开启服务端KMS加密、是否开启服务端默认加密、是否开启日志存储等。 |
检查云数据库RDS | 检查RDS实例是否开启历史事件、是否开启TDE加密、是否使用多可用区实例等。 |
检查操作审计 | 检查操作审计是否存在一个开启状态的跟踪,以及是否开启全量日志跟踪。 |
云治理中心合规实践模板
云治理中心合规实践统一配置和开启规则,保障云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。
安全组最佳实践
安全组最佳实践持续检查安全组规则的合规性,降低安全风险。
OceanBase最佳实践
OceanBase最佳实践基于安全组最佳实践持续检查OceanBase的合规性。
资源稳定性最佳实践
资源稳定性最佳实践从高可用基础架构、容量保护、变更管理、监控管理、备份管理和故障隔离六大维度对云上资源的稳定性进行检测,有助于您提前发现隐患,提升资源稳定性和运维效率。
PCI DSS数据安全标准合规包
PCI DSS(Payment Card Industry Data Security Standard)数据安全标准合规包基于PCI DSS V4.0对账号数据保护的基线标准,从云上资源使用和管控方面提供部分建议的合规性检测。
多可用区架构最佳实践
使用多可用区的业务架构,数据可靠性更高,在主可用区故障时能快速恢复业务。
资源开启公网检测最佳实践
基于对公网安全、成本、权限和监控等诉求,通常企业IT管理团队会统一部署安全的公网出口,其他云资源避免开通不受限制的公网访问,从而降低业务潜在的网络攻击、数据泄露等安全风险。
资源空闲检测最佳实践
资源空闲检测最佳实践检测常见的云资源在购买以后是否被闲置,涉及弹性公网IP、共享带宽、VPC、VPN等云产品。资源购买后未启用会导致企业成本的浪费,建议及时发现并治理。