阿里云卓越架构安全支柱最佳实践

阿里云卓越架构安全支柱针对网络安全、身份安全、主机安全、数据安全等全方位地进行规划和实施,同时持续对威胁进行检测和快速响应。该合规包模板提供了阿里云卓越架构安全支柱与配置审计规则模板之间的映射。本文为您介绍阿里云卓越架构安全支柱最佳实践中的默认规则。

规则名称

规则描述

开启操作审计全量日志跟踪

操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。

为ADB集群设置合理的可维护时间段

ADB集群的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。

ADB集群未开启公网

ADB实例未开启公网访问,视为“合规”。

API网关中API分组绑定域名接入WAF或者WAF3.0

API网关中的API分组绑定的域名接入了WAF或者WAF3.0,视为“合规”。

API网关中API分组的自定义域名设置了SSL证书

API网关中的API分组绑定自定义域名并且设置了SSL证书,视为“合规”。

云盘闲置检测

云盘为状态为使用中,视为“合规”。如果云盘创建时间在指定天数(默认7天)内,视为“不适用”。

使用中的ECS数据磁盘开启加密

使用中的ECS数据磁盘已开启加密,视为“合规”。

运行中的ECS实例开启云安全中心防护

通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件则,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

ECS实例被授予实例RAM角色

ECS实例被授予了实例RAM角色,视为“合规”。

ECS实例状态不是已停止状态

ECS实例状态不是已停止状态,视为“合规”。

运行中的ECS实例无待修复漏洞

ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

使用专有网络类型的ECS实例

如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用英文逗号(,)分隔。

运行中的ECS实例未绑定公网地址

运行中的ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。

检查闲置安全组

检查闲置安全组,安全组绑定的ECS实例数量大于0,视为“合规”。

安全组指定协议不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组,视为“不适用”。

安全组非白名单端口入网设置有效

除指定的白名单端口外,其余端口不能有授权策略设置为允许而且来源为0.0.0.0/0的入方向规则,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

Elasticsearch实例数据节点开启云盘加密

Elasticsearch实例数据节点开启云盘加密,视为“合规”。

使用专有网络服务的Elasticsearch实例

如果指定参数,则检查Elasticsearch实例关联的专有网络在指定参数范围内,视为“合规”;如果未指定参数,则检查Easticsearch实例的网络类型为专有网络,视为“合规”。

弹性伸缩配置中未设置分配公网IPv4地址

弹性伸缩配置中未设置分配公网IPv4地址,视为“合规”。

函数计算服务禁止访问公网

函数计算服务设置了禁止访问公网,视为“合规”。

函数服务设置为仅允许指定VPC调用

函数服务设置为仅允许指定VPC调用,视为“合规”。

不使用外部来源KMS主密钥

KMS主密钥创建来源不是外部,视为“合规”。

密钥管理服务设置主密钥自动轮转

对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。

KMS主密钥未设置为待删除

KMS主密钥未设置为待删除,视为“合规”。

密钥管理服务设置凭据自动轮转

密钥管理服务中的凭据设置自动轮转,视为“合规”。

NAS文件系统设置了加密

NAS文件系统设置了加密,视为“合规”。

OSS存储空间开启日志转存

OSS存储空间的日志管理中开启日志转存,视为“合规”。

OSS存储空间权限策略设置安全访问

OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间,视为“不适用”。

OSS存储空间不能为匿名账号授予任何权限

OSS Bucket授权策略中未授予匿名账号任何读写权限,视为“合规”。若OSS Bucket未设置任何授权策略,视为“合规”。

OSS存储空间ACL禁止公共读

OSS存储空间的ACL策略禁止公共读,视为“合规”。

OSS存储空间ACL禁止公共读写

OSS存储空间的ACL策略禁止公共读写,视为“合规”。

OSS存储空间开启服务端加密

OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

OSS存储空间开启版本控制

如果没有开启版本控制,会导致数据被覆盖或删除时无法恢复。如果开启版本控制则,视为“合规”。

OSS存储空间使用自定义KMS密钥加密

OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。

表格存储实例中所有数据表都设置加密

表格存储实例中所有数据表都设置了加密,视为“合规”。

RAM用户组非空

RAM用户组至少包含一个RAM用户,视为“合规”。

RAM用户密码策略符合要求

RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

不存在超级管理员

RAM用户、RAM用户组、RAM角色均未拥有Resource*Action*的超级管理员权限,视为“合规”。

RAM用户的AccessKey在指定时间内轮换

RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。

RAM用户不存在闲置AccessKey

RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。

RAM用户归属用户组

所有RAM用户均归属于RAM用户组,视为“合规”。

RAM用户开启MFA

开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。

RAM用户及所属用户组无超级管理员或某个云产品管理员权限

RAM用户未拥有管理员权限或者某个云产品的管理员权限,包括继承自用户组的权限,视为“合规”。

RDS实例开启TDE加密

RDS实例的数据安全性设置开启TDE加密,视为“合规”。

RDS实例SQL审计日志保留天数满足指定要求

RDS Mysql类型实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。默认值:180天。

RDS实例未开公网且IP白名单未设置为全网段

RDS实例开启公网且白名单设置为0.0.0.0/0,同时满足,视为“不合规”。

阿里云账号不存在AccessKey

阿里云账号不存在任何状态的AccessKey,视为“合规”。

阿里云账号开启MFA

阿里云账号开启MFA,视为“合规”。

使用云安全中心企业版

使用云安全中心企业版或者更高级别的版本,视为“合规”。

SLB实例开启访问日志

SLB传统型负载均衡实例开启访问日志,视为“合规”。未启用7层监听的实例不支持开启访问日志,视为“不适用”。

SLB开启HTTPS监听

SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。

VPC开启流日志记录

VPC已开启流日志(Flowlog)记录功能,视为“合规”。

WAF实例开启日志采集

已接入WAF2.0进行防护的域名均开启日志采集,视为“合规”。