规则名称 | 规则描述 | 建议项编号 | 建议项说明 |
RAM用户访问设置人员和程序分离 | RAM用户未同时开启控制台访问和API调用访问,视为“合规”。 | A.6.1.2 | Segregation of duties |
不直接授权给RAM用户 | RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。 | A.6.1.2 | Segregation of duties |
不存在闲置的RAM用户组 | RAM用户组至少包含一个RAM用户且绑定了至少一个RAM权限策略,视为“合规”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3
| |
RAM用户组非空 | RAM用户组至少包含一个RAM用户,视为“合规”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3
| |
不存在超级管理员 | RAM用户、RAM用户组、RAM角色均未拥有Resource为*且Action为*的超级管理员权限,视为“合规”。 | A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.1 A.9.4.5 A.18.1.3
| Segregation of duties Access control policy User registration and de-registration User access provisioning Management of privileged access rights Information access restriction Access control to program source code Protection of records
|
不存在闲置的RAM权限策略 | RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。 | A.6.1.2 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.5
| Segregation of duties User registration and de-registration User access provisioning Management of privileged access rights Access control to program source code
|
运行中的ECS实例开启云安全中心防护 | 通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件,则视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 | A.8.1.1 A.8.1.2 A.12.1.2 A.12.5.1 A.12.6.1 A.14.1.1 A.14.2.1 A.16.1.2
| Inventory of assets Ownership of assets Change management Installation of software on operational systems Management of technical vulnerabilities Information security requirements analysis and specification Secure development policy Reporting information security events
|
存在所有指定标签 | 最多可定义10组标签,资源需同时具有指定的所有标签,视为“合规”。标签输入大小写敏感,每组最多只能输入一个值。 | | Inventory of assets Ownership of assets
|
ECS关联资源所属资源组继承自ECS实例 | 相关资源继承ECS实例归属的资源组检测,绑定了ECS实例且资源组信息一致,视为“合规”,如果未绑定到ECS实例视为“不适用”。 | | Inventory of assets Ownership of assets
|
资源关联的资源组不是默认资源组 | 资源关联的资源组不是默认资源组,视为“合规”。若未关联资源组,视为“不适用”。 | | Inventory of assets Ownership of assets
|
阿里云账号不存在AccessKey | 阿里云账号不存在任何状态的AccessKey,视为“合规”。 | A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.3 A.9.4.1 A.9.4.4 A.9.4.5 A.18.1.3
| Access control policy User registration and de-registration User access provisioning Management of privileged access rights Information access restriction Use of privileged utility programs Access control to program source code Protection of records
|
不直接授权给RAM用户 | RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。 | | Segregation of duties Access control policy
|
Elasticsearch实例未开启公网访问 | Elasticsearch实例未开启公网访问,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.13.1.1 A.13.1.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Network controls Segregation in networks Protection of records Privacy and protection of personally identifiable information
|
OSS存储空间ACL禁止公共读写 | OSS存储空间的ACL策略禁止公共读写,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
函数计算服务禁止访问公网 | 函数计算服务设置了禁止访问公网,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
运行中的ECS实例在专有网络 | 阿里云推荐购买的ECS放在VPC里面。如果ECS有归属VPC,则视为“合规”。如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。非运行中的ECS实例,视为“不适用”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
ADB集群未开启公网 | ADB实例未开启公网访问,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
RDS实例禁止配置公网地址 | RDS实例未配置公网地址,视为“合规”。生产环境的RDS实例不推荐配置公网直接访问,容易被黑客攻击。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
ACK集群未设置公网连接端点 | ACK集群未设置公网连接端点,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
访问ECS实例元数据时强制使用加固模式 | 访问ECS实例元数据时强制使用加固模式,视为“合规”。 | | |
函数服务设置为仅允许指定VPC调用 | 函数服务设置为仅允许指定VPC调用,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
OSS存储空间ACL禁止公共读 | OSS存储空间的ACL策略禁止公共读,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
运行中的ECS实例未绑定公网地址 | 运行中的ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
PolarDB集群的所有连接地址都未开启公网 | PolarDB集群的所有连接地址都未开启公网,视为“合规”。 | A.9.1.2 A.9.4.1 A.9.4.4 A.9.4.5 A.13.1.1 A.13.2.3 A.18.1.3 A.18.1.4
| Access to networks and network services Information access restriction Use of privileged utility programs Access control to program source code Network controls Electronic messaging Protection of records Privacy and protection of personally identifiable information
|
阿里云账号开启MFA | 阿里云账号开启MFA,视为“合规”。 | | |
RAM用户开启MFA | 开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。 | | |
使用云安全中心企业版 | 使用云安全中心企业版或者更高级别的版本,视为“合规”。 | A.12.2.1 A.12.4.1 A.12.6.1 A.16.1.1 A.16.1.2
| Controls against malware Event logging Management of technical vulnerabilities Responsibilities and procedures Reporting information security events
|
密钥管理服务设置凭据自动轮转 | 密钥管理服务中的凭据设置自动轮转,视为“合规”。如果密钥类型为普通密钥,视为“不适用”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.18.1.5
| User registration and de-registration User access provisioning Management of privileged access rights Regulation of cryptographic controls
|
KMS凭据成功轮转 | KMS凭据开启自动轮转并且根据设定的轮转周期成功进行了轮转,视为“合规”。通用凭据不支持在KMS直接配置周期性轮转,视为“不适用”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.18.1.5
| User registration and de-registration User access provisioning Management of privileged access rights Regulation of cryptographic controls
|
RAM用户密码策略符合要求 | RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 | | |
RAM用户的AccessKey在指定时间内轮换 | RAM用户的AccessKey创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。 | | |
开启操作审计全量日志跟踪 | 操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。 | A.9.2.1 A.9.2.2 A.9.2.3 A.12.4.1 A.12.4.2 A.12.4.3 A.14.1.1 A.14.2.3 A.16.1.2 A.16.1.7
| User registration and de-registration User access provisioning Management of privileged access rights Event logging Protection of log information Administrator and operator logs Information security requirements analysis and specification Technical review of applications after operating platform changes Reporting information security events Collection of evidence
|
RDS实例开启TDE加密 | RDS实例的数据安全性设置开启TDE加密,视为“合规”。不支持TDE加密的实例规格或版本视为“不适用”。 | A.10.1.1 | Policy on the use of cryptographic controls |
OSS存储空间权限策略设置安全访问 | OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间,视为“不适用”。 | | Policy on the use of cryptographic controls Information transfer policies and procedures Securing application services on public networks
|
OSS存储空间开启服务端加密 | OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 | | |
SLB使用证书为阿里云签发 | SLB使用证书为阿里云签发,视为“合规”。 | | Policy on the use of cryptographic controls Information transfer policies and procedures Securing application services on public networks
|
NAS文件系统设置了加密 | NAS文件系统设置了加密,视为“合规”。 | A.10.1.1 | Policy on the use of cryptographic controls |
ECS数据磁盘开启加密 | ECS数据磁盘已开启加密,视为“合规”。 | A.10.1.1 | Policy on the use of cryptographic controls |
Elasticsearch实例数据节点开启云盘加密 | Elasticsearch实例数据节点开启云盘加密,视为“合规”。 | A.10.1.1 | Policy on the use of cryptographic controls |
PolarDB集群开启TDE | PolarDB集群开启TDE,视为“合规”。 | A.10.1.1 | Policy on the use of cryptographic controls |
表格存储实例中所有数据表都设置加密 | 表格存储实例中所有数据表都设置了加密,视为“合规”。 | A.10.1.1 | Policy on the use of cryptographic controls |
MaxCompute项目开启加密 | MaxCompute项目开启加密,视为“合规”。冻结状态的项目,视为“不适用”。 | A.10.1.1 | Policy on the use of cryptographic controls |
密钥管理服务设置主密钥自动轮转 | 对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。如果是服务密钥,视为“不适用”。如果来源是用户自带密钥,视为“不适用”。 | | |
KMS主密钥未设置为待删除 | KMS主密钥未设置为待删除,视为“合规”。 | | |
SSL证书到期检测 | SSL证书到期时间剩余天数大于参数指定的天数,视为“合规”。参数默认值为30天。 | A.10.1.2 A.13.1.1 A.13.1.3 A.13.2.1 A.13.2.3 A.14.1.2 A.18.1.4
| Key management Network controls Segregation in networks Information transfer policies and procedures Electronic messaging Securing application services on public networks Privacy and protection of personally identifiable information
|
为PolarDB集群设置合理的维护时间段 | PolarDB集群的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。 | A.12.1.2 | Change management |
为RDS实例设置合理的可维护时间段 | RDS实例的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。 | A.12.1.2 | Change management |
为自动快照策略设置合理的创建时间点 | 自动快照策略中设置的快照创建时间点在参数指定的时间点范围内,视为“合规”。创建快照会暂时降低块存储I/O性能,一般性能差异在10%以内,出现短暂瞬间变慢。建议您选择避开业务高峰的时间点。 | A.12.1.2 | Change management |
函数计算中函数设置满足参数指定要求 | 函数计算2.0中的函数设置满足参数指定的要求,视为“合规”。 | A.12.1.3 | Capacity management |
专有网络交换机可用IP数量大于指定值 | 专有网络交换机可用IP数量大于指定数值,视为“合规”。 | A.12.1.3 | Capacity management |
ECS磁盘设置自动快照策略 | ECS磁盘设置了自动快照策略,视为“合规”。 | A.12.3.1 | Information backup |
为NAS文件系统创建备份计划 | 为NAS文件系统创建备份计划,视为“合规”。 | A.12.3.1 | Information backup |
ADB集群开启日志备份 | ADB集群开启日志备份,视为“合规”。 | A.12.3.1 | Information backup |
RDS实例开启日志备份 | RDS实例开启日志备份视为“合规”。 | A.12.3.1 | Information backup |
Redis实例开启增量备份 | Redis实例开启增量备份,视为“合规”。本规则只适用于类型为Tair或企业版的实例,非Tair或企业版类型的实例视为不适用。 | A.12.3.1 | Information backup |
OSS存储空间开启同城冗余存储 | 如果没有开启同城冗余存储,会导致当出现某个机房不可用时,OSS服务无法提供一致性服务,影响数据恢复目标。OSS存储空间开启同城冗余存储,视为“合规”。 | | |
PolarDB集群的数据一级备份保留周期满足指定要求 | PolarDB集群一级备份保留周期大于等于指定天数,视为“合规”。参数默认值7天。 | A.12.3.1 | Information backup |
OSS存储空间开启版本控制 | 如果没有开启版本控制,会导致数据被覆盖或删除时无法恢复。如果开启版本控制则视为“合规”。 | | |
SLB实例开启访问日志 | SLB传统型负载均衡实例开启访问日志,视为“合规”。未启用7层监听的实例不支持开启访问日志,视为“不适用”。 | A.12.4.1 A.14.1.1 A.14.2.3 A.16.1.7
| |
VPC开启流日志记录 | VPC已开启流日志(Flowlog)记录功能,视为“合规”。 | A.12.4.1 A.14.1.1 A.14.2.3 A.16.1.7
| |
为API分组设置调用日志存储 | API网关中API分组设置了调用日志存储,视为“合规”。 | A.12.4.1 | Event logging |
OSS存储空间开启日志转存 | OSS存储空间的日志管理中开启日志转存,视为“合规”。 | A.12.4.1 | Event logging |
PolarDB集群开启SQL审计 | PolarDB集群SQL审计状态为开启,视为“合规”。 | A.12.4.1 A.14.2.3 A.16.1.1 A.16.1.7
| |
PolarDB集群日志备份保留周期满足指定要求 | PolarDB集群日志备份保留周期大于等于指定天数,视为“合规”。参数默认值30天。未开启日志备份或备份保留周期小于指定天数视为“不合规”。 | A.12.4.2 | Protection of log information |
运行中的ECS实例无待修复漏洞 | ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 | A.12.6.1 | Management of technical vulnerabilities |
安全组指定协议不允许对全部网段开启风险端口 | 当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组,视为“不适用”。 | A.13.1.1 A.13.1.3 A.13.2.3 A.18.1.4
| |
PolarDB实例IP白名单禁止设置为全网段 | PolarDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。 | A.13.1.1 A.13.1.3 A.18.1.3 A.18.1.4
| |
PolarDB集群设置SSL加密 | PolarDB集群设置了SSL加密,视为“合规”。 | | |
CDN域名开启TLS13版本检测 | 检测CDN域名是否启用TLS1.3,启用视为“合规”。 | | |
DTS同步任务源库和目标库使用SSL安全链接 | DTS实例下同步任务源库和目标库均使用SSL安全链接,视为“合规”。任务类型为非同步类型的DTS实例不适用本规则,视为“不适用”。 | A.13.2.1 | Information transfer policies and procedures |
函数计算函数绑定到自定义域名且开启TLS指定版本 | 函数计算函数绑定到自定义域名且开启TLS指定版本,视为“合规”。 | | |
SLB开启HTTPS监听 | SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。 | | |
ACK集群节点安装云监控插件 | ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。 | | Secure development policy Responsibilities and procedures Reporting information security events
|
运行中的ECS实例安装了云监控插件 | 运行中的ECS实例安装云监控插件而且插件状态为运行中,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 | A.12.5.1 A.14.2.1 A.16.1.1 A.16.1.2
| Installation of software on operational systems Secure development policy Responsibilities and procedures Reporting information security events
|
云安全中心通知项目已设置通知方式 | 云安全中心通知项目均已设置通知方式,视为“合规”。 | A.16.1.2 | Reporting information security events |
IPsecVPN连接正常 | IPsec VPN连接状态为“已建立”,视为“合规”。 | A.17.1.2 | Implementing information security continuity |
SLB实例开启释放保护 | SLB实例开启释放保护,视为“合规”。 | A.17.1.2 | Implementing information security continuity |
弹性伸缩组开启ECS实例健康检查 | 弹性伸缩组开启对ECS实例的健康检查,视为“合规”。 | | |
使用多可用区的RDS实例 | RDS实例为多可用区实例,视为“合规”。 | | |
PolarDB集群开启删除保护 | PolarDB集群开启删除保护,视为“合规”。预付费类型的集群视为“不适用”。 | A.17.1.2 | Implementing information security continuity |
ACK集群建议开启释放保护 | ACK集群开启释放保护,视为“合规”。 | A.17.1.2 | Implementing information security continuity |
为PolarDB集群开启热备集群 | PolarDB集群开启存储热备集群,数据分布在多个可用区,视为“合规”。 | | |
弹性伸缩组关联至少两个交换机 | 弹性伸缩组关联至少两个交换机,视为“合规”。 | A.17.2.1 | Availability of information processing facilities |
使用多可用区的ALB实例 | ALB实例为多可用区实例,视为“合规”。如果只选择了一个可用区,当这个可用区出现故障时,会影响ALB实例,进而影响业务稳定性。 | A.17.2.1 | Availability of information processing facilities |
使用区域级多可用区集群 | 使用区域级ACK集群,节点分布在3个及以上可用区,视为“合规”。 | A.17.2.1 | Availability of information processing facilities |
ALB负载均衡的所有监听和转发规则都设置了健康检查 | ALB负载均衡的所有监听和转发规则均设置了健康检查,视为“合规”。 | A.17.2.1 | Availability of information processing facilities |