基于等保2.0二级的部分要求,对阿里云上资源的合规性做检测。合规包模板为您提供通用的合规性框架,通过输入规则参数和修正设置,可以帮助您快速创建符合目标场景的合规包。规则的“合规”仅指符合规则定义本身的合规性描述,不确保您符合特定法规或行业标准的所有要求。
规则名称 | 编号 | 编号描述 | 规则描述 |
弹性IP实例带宽满足最低要求 | 7.1.2.1 | b)应保证网络各个部分的带宽满足业务高峰期需要。 | 弹性IP实例可用带宽大于等于指定参数值,视为“合规”。默认值:10MB。 |
SLB实例满足指定带宽要求 | SLB实例可用带宽大于等于指定参数值,视为“合规”。默认值:10MB。 | ||
CEN实例中的跨地域连接带宽分配满足指定要求 | 云企业网实例下所有跨地域连接分配的带宽大于参数指定值,视为“合规”。参数默认值:1Mbps。 | ||
SNAT条目绑定多个EIP时带宽峰值设置一致 | NAT网关中SNAT条目绑定的多个EIP,加入共享带宽包或者所绑定的EIP带宽峰值设置一致,视为“合规”。VPC NAT网关不适用本规则,视为“不适用”。 | ||
OSS存储空间不能为匿名账号授予任何权限 | 7.1.3.1 | a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 | OSS Bucket授权策略中未授予匿名账号任何读写权限,视为“合规”。若OSS Bucket未设置任何授权策略,视为“合规”。 |
安全组入网设置有效 | 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 | ||
开启公网IP的RDS实例白名单未对所有来源开放 | RDS实例为开启公网IP,或者开启白名单未设置为对所有来源IP开放,视为“合规”。 | ||
Redis实例开启密码认证 | Redis实例专有网络下开启密码认证,视为”合规“。 | ||
容器镜像服务实例白名单检测 | 容器镜像服务实例白名单不存在任意IP条目,视为“合规”,适用于企业版。 | ||
Elasticsearch实例未开启公网或不允许任意IP访问 | 7.1.3.1 | a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 | Elasticsearch实例未开启公网访问,或者白名单未设置为对所有IP开放,视为“合规”。 |
安全组指定协议不允许对全部网段开启风险端口 | 7.1.3.2 | a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 | 当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 |
NAT网关不允许映射指定的风险端口 | NAT网关DNAT映射端口不包含指定的风险端口,视为“合规”。 | ||
专有网络ACL未开放风险端口 | 当专有网络访问控制入方向规则目的地址设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。 | ||
SLB实例所有运行中的监听都设置访问控制 | SLB实例所有运行中的监听都设置了访问控制,视为“合规”。未配置监听的实例不适用本规则,视为“不适用”。 | ||
ALB实例所有运行中的监听都设置访问控制 | ALB实例所有运行中的监听都设置了访问控制,视为“合规”。未配置监听的实例不适用本规则,视为“不适用”。 | ||
SLB访问控制列表不允许配置所有地址段 | SLB访问控制列表中不包含0.0.0.0/0条目,视为“合规”。 | ||
OSS存储空间授权策略设置IP限制 | OSS Bucket读写权限设置为私有,或者授权策略中包含只允许特定IP访问的策略,视为“合规”。 | ||
使用DDoS防护防止DDoS攻击风险 | 7.1.3.3 | 应在关键网络节点处监视网络攻击行为。 | 使用DDoS防护防止DDoS攻击风险,视为“合规”。 |
使用云防火墙对网络边界进行安全防护 | 使用云防火墙对网络边界进行安全防护,视为“合规”。 | ||
使用云安全中心企业版 | 7.1.3.4 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。 | 使用云安全中心企业版或者更高级别的版本,视为“合规”。 |
在云安全中心开启指定类型的主动防御 | 在云安全中开启了参数指定的主动防御类型,视为“合规”。 | ||
WAF3实例开启指定防护规则 | WAF3.0实例开启指定防护场景的规则,视为“合规”。 | ||
使用Web防火墙对网站或APP进行安全防护 | 使用Web防火墙对网站或APP进行安全防护,视为“合规”。 | ||
开启操作审计全量日志跟踪 | 7.1.3.5 7.1.4.3 | 7.1.3.5 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 7.1.4.3 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。 |
RDS实例开启SQL审计 | RDS实例的SQL审计状态为开启,视为“合规”。 | ||
ADB集群开启SQL审计日志 | ADB集群开启SQL审计日志,视为“合规”。 | ||
VPC开启流日志记录 | VPC已开启流日志(Flowlog)记录功能,视为“合规”。 | ||
RAM用户密码策略符合要求 | 7.1.4.1 | b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 | RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 |
RAM用户在指定时间内有登录行为 | 7.1.4.2 | c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。 d)应授予管理用户所需的最小权限,实现管理用户的权限分离。 | 如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 |
不存在闲置的RAM权限策略 | RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。 | ||
RAM用户组非空 | RAM用户组至少包含一个RAM用户,视为“合规”。 | ||
不直接授权给RAM用户 | RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。 | ||
RAM用户不存在闲置AccessKey | RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。 | ||
不存在超级管理员 | RAM用户、RAM用户组、RAM角色均未拥有Resource为*且Action为*的超级管理员权限,视为“合规”。 | ||
RAM用户访问设置人员和程序分离 | RAM用户未同时开启控制台访问和API调用访问,视为“合规”。 | ||
运行中的ECS实例开启云安全中心防护 | 7.1.4.4 | e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 | 通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件则视为"合规"。非运行中状态的实例不适用本规则,视为“不适用”。 |
运行中的ECS实例无待修复漏洞 | ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 | ||
ECS磁盘设置自动快照策略 | 7.1.4.8 | a)应提供重要数据的本地数据备份与恢复功能。 b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。 | ECS磁盘设置了自动快照策略,视为“合规”。状态非使用中的磁盘、不支持设置自动快照策略的磁盘、ACK集群挂载的非持久化使用场景的磁盘视为“不适用”。 |