基于NIST 800-53 rev5的部分要求,对阿里云上资源的合规性做检测。
规则名称 | 编号 | 编号描述 | 规则描述 |
存在所有指定标签 | PT-2 | PT-2 可处理个人身份信息的权限 SC-16 安全和隐私属性的传输 | 最多可定义10组标签,资源需同时具有指定的所有标签,视为“合规”。标签输入大小写敏感,每组最多只能输入一个值。 |
ACK集群控制平面组件日志开启检测 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | ACK托管集群控制平面组件日志开启,视为“合规”。集群类型非托管版的集群不适用本规则,视为“不适用”。 |
ACK集群配置Secret的落盘加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | ACK集群配置Secret的落盘加密,视为“合规”。非专业托管版集群视为“不适用”。 |
ACK集群未设置公网连接端点 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | ACK集群未设置公网连接端点,视为“合规”。 |
使用维护中的ACK版本 | SA-22 | SA-22 SI-2 缺陷纠正 | 使用的ACK集群版本未停止维护,视为“合规”。 |
ACK集群已升级至最新版本 | SA-22 | SA-22 SI-2 缺陷纠正 | ACK集群已升级到最新版本,视为“合规”。 |
ADB集群开启SQL审计日志 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | ADB集群开启SQL审计日志,视为“合规”。 |
ADB集群开启日志备份 | CP-9 | CP-9 系统备份 SC-36 分布式处理和存储 SC-28 静态信息的保护 CP-10 SC-24 处于已知状态的失败 | ADB集群开启日志备份,视为“合规”。 |
为ADB集群设置合理的可维护时间段 | SA-22 | SA-22 SI-2 缺陷纠正 | ADB集群的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。 |
ADB集群未开启公网 | AC-20 | AC-20 使用外部系统 AC-16 安全和隐私属性 AU-9 审计信息的保护 SC-7 边界保护 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 CA-9 内部系统连接 SC-38 操作安全 CM-12 信息位置 SC-10 网络断开 AC-3 访问控制 CP-9 系统备份 AC-4 信息流强制 AU-6 审计记录审查、分析和报告 SC-2 系统和用户功能的分离 IA-5 认证管理 SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-11 可信路径 SC-20 安全的名称/地址解析服务(权威源) IA-3 设备识别和认证 | ADB实例未开启公网访问,视为“合规”。 |
使用多可用区的ALB实例 | CP-7 | CP-7 备用处理站点 CP-9 系统备份 AC-4 信息流强制 SC-36 分布式处理和存储 CP-6 备用存储站点 SC-6 资源可用性 SI-13 可预测的故障预防 SC-22 名称/地址解析服务的架构和配置 AU-5 对审计日志处理失败的响应 SI-22 信息多样性 CP-2 应急计划 | ALB实例为多可用区实例,视为“合规”。如果只选择了一个可用区,当这个可用区出现故障时,会影响ALB实例,进而影响业务稳定性。 |
API网关中API分组绑定域名接入WAF或者WAF3.0 | PL-8 | PL-8 SC-3 安全功能隔离 SC-7 边界保护 AC-4 信息流强制 | API网关中的API分组绑定的域名接入了WAF或者WAF3.0,视为“合规”。 |
API网关中API分组的自定义域名设置了SSL证书 | SC-12 | SC-12 加密密钥的建立和管理 AC-20 使用外部系统 IA-7 加密模块认证 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-28 静态信息的保护 IA-9 服务识别和认证 AC-17 远程访问 SC-17 公钥基础设施证书 CA-9 内部系统连接 SC-13 加密保护 SC-23 会话真实性 SC-7 边界保护 CM-3 配置更改控制 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | API网关中的API分组绑定自定义域名并且设置了SSL证书,视为“合规”。 |
为API分组设置调用日志存储 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | API网关中API分组设置了调用日志存储,视为“合规”。 |
为API分组配置链路追踪功能 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 AU-7 审计记录减少和报告生成 SI-7 软件、固件和信息的完整性 AU-6 审计记录审查、分析和报告 AC-17 远程访问 AU-9 审计信息的保护 AU-10 非否认性 RA-5 漏洞监控和扫描 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-2 账户管理 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | API网关中为API分组配置链路追踪功能,视为“合规”。 |
CDN域名开启HTTPS加密 | SC-12 | SC-12 加密密钥的建立和管理 AC-20 使用外部系统 IA-7 加密模块认证 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-28 静态信息的保护 IA-9 服务识别和认证 AC-17 远程访问 SC-17 公钥基础设施证书 CA-9 内部系统连接 SC-13 加密保护 SC-23 会话真实性 SC-7 边界保护 CM-3 配置更改控制 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | CDN域名开启HTTPS协议加密,视为“合规”。 |
CDN域名开启TLS13版本检测 | CP-9 | CP-9 系统备份 SA-4 获取流程 CM-7 最少功能 AC-17 远程访问 MA-4 SC-23 会话真实性 SC-8 传输机密性和完整性 IA-5 认证管理 IA-3 设备识别和认证 | 检测CDN域名是否启用TLS1.3,启用视为“合规”。 |
为指定云产品设置云监控报警规则 | SI-4 | SI-4 系统监控 AU-7 审计记录减少和报告生成 AU-6 审计记录审查、分析和报告 AC-17 远程访问 AU-9 审计信息的保护 RA-5 漏洞监控和扫描 AC-2 账户管理 AC-4 信息流强制 | 在云监控为指定命名空间的云服务设置了至少一条报警规则,视为“合规”。 |
为容器镜像实例开启安全扫描 | RA-5 | RA-5 漏洞监控和扫描 | 容器镜像实例开启镜像扫描功能,视为“合规”。 |
容器镜像服务镜像版本为不可变 | PT-2 | PT-2 可处理个人身份信息的权限 SC-16 安全和隐私属性的传输 | 容器镜像服务镜像版本为不可变,视为“合规”。 |
DTS迁移任务源库和目标库使用SSL安全链接 | CP-9 | CP-9 系统备份 AC-17 远程访问 SC-8 传输机密性和完整性 MA-4 SC-23 会话真实性 IA-5 认证管理 IA-3 设备识别和认证 | DTS实例下迁移任务源库和目标库均使用SSL安全链接,视为“合规”。任务类型为非迁移类型的DTS实例不适用本规则,视为“不适用”。 |
ECI弹性容器组环境变量不包含敏感信息 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 IA-2 身份验证和认证(组织用户) SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 AC-2 账户管理 | ECI弹性容器组环境变量名称不包含参数指定的键,视为“合规”。参数默认值为AccessKey等。 |
ECS磁盘设置自动快照策略 | CP-9 | CP-9 系统备份 SC-36 分布式处理和存储 SC-28 静态信息的保护 CP-10 SC-24 处于已知状态的失败 | ECS磁盘设置了自动快照策略,视为“合规”。状态非使用中的磁盘、不支持设置自动快照策略的磁盘、ACK集群挂载的非持久化使用场景的磁盘视为“不适用”。 |
使用中的ECS数据磁盘开启加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | 使用中的ECS数据磁盘已开启加密,视为“合规”。 |
不存在闲置的ECS数据磁盘 | SI-12 | SI-12 信息管理和保留 SI-14 非持久性 AU-11 审计记录保留 AU-4 审计日志存储容量 AU-10 非否认性 | ECS磁盘均已挂载到ECS实例,视为“合规”。 |
访问ECS实例元数据时强制使用加固模式 | SC-10 | SC-10 网络断开 SI-14 非持久性 AC-12 会话终止 IA-11 再认证 AC-17 远程访问 AC-10 并发会话控制 SC-23 会话真实性 AC-2 账户管理 | 访问ECS实例元数据时强制使用加固模式,视为“合规”。 |
运行中的ECS实例安装了云监控插件 | SI-4 | SI-4 系统监控 AU-7 审计记录减少和报告生成 AU-6 审计记录审查、分析和报告 AC-17 远程访问 AU-9 审计信息的保护 RA-5 漏洞监控和扫描 AC-2 账户管理 AC-4 信息流强制 | 运行中的ECS实例安装云监控插件而且插件状态为运行中,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 |
ECS实例未绑定SSH密钥对 | AC-3 | AC-3 访问控制 IA-8 身份验证和认证(非组织用户) IA-2 身份验证和认证(组织用户) IA-9 服务识别和认证 IA-4 标识管理 IA-5 认证管理 AC-2 账户管理 | ECS实例未绑定SSH密钥对,视为“合规”。适用于部分企业对访问实例的特殊管控场景。 |
ECS实例被授予实例RAM角色 | CM-5 | CM-5 更改访问限制 AC-9 先前登录通知 IA-8 身份验证和认证(非组织用户) IA-11 再认证 SC-50 软件强制分离和策略执行 AC-2 账户管理 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 AC-24 访问控制决策 IA-4 标识管理 AC-3 访问控制 AU-6 审计记录审查、分析和报告 SC-2 系统和用户功能的分离 IA-5 认证管理 SC-34 不可修改的可执行程序 IA-2 身份验证和认证(组织用户) AC-7 登录失败尝试 AC-6 最小权限 AC-4 信息流强制 | ECS实例被授予了实例RAM角色,视为“合规”。 |
ECS实例状态不是已停止状态 | SA-3 | SA-3 系统开发生命周期 | ECS实例状态不是已停止状态,视为“合规”。已到期或者已设置为停机节省模式的实例视为“不适用”。 |
运行中的ECS实例无待修复漏洞 | SA-22 | SA-22 RA-5 漏洞监控和扫描 SI-2 缺陷纠正 | ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 |
检查闲置安全组 | CA-9 | CA-9 内部系统连接 SC-7 边界保护 IA-3 设备识别和认证 | 检查闲置安全组,安全组绑定的ECS实例数量大于0视为“合规”。 |
安全组非白名单端口入网设置有效 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 CM-7 最少功能 AC-17 远程访问 SA-4 获取流程 CA-9 内部系统连接 SC-23 会话真实性 SC-7 边界保护 SC-8 传输机密性和完整性 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | 除指定的白名单端口外,其余端口不能有授权策略设置为允许而且来源为0.0.0.0/0的入方向规则,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。 |
检测闲置弹性公网IP | AC-3 | AC-3 访问控制 AC-16 安全和隐私属性 PL-10 IA-4 标识管理 CM-2 基线配置 SC-16 安全和隐私属性的传输 AC-4 信息流强制 | 弹性公网IP已绑定到ECS或者NAT实例,非闲置状态,视为“合规”。 |
Elasticsearch实例数据节点开启云盘加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | Elasticsearch实例数据节点开启云盘加密,视为“合规”。 |
Elasticsearch实例未开启公网或不允许任意IP访问 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | Elasticsearch实例未开启公网访问,或者白名单未设置为对所有IP开放,视为“合规”。 |
Elasticsearch实例使用HTTPS传输协议 | CP-9 | CP-9 系统备份 SA-4 获取流程 CM-7 最少功能 AC-17 远程访问 MA-4 SC-23 会话真实性 SC-8 传输机密性和完整性 IA-5 认证管理 IA-3 设备识别和认证 | Elasticsearch实例使用HTTPS传输协议,视为“合规”。 |
弹性伸缩组开启ECS实例健康检查 | CP-7 | CP-7 备用处理站点 CP-9 系统备份 AC-4 信息流强制 SC-36 分布式处理和存储 CP-6 备用存储站点 SI-13 可预测的故障预防 SC-22 名称/地址解析服务的架构和配置 AU-5 对审计日志处理失败的响应 SI-22 信息多样性 CP-2 应急计划 | 弹性伸缩组开启对ECS实例的健康检查,视为“合规”。 |
弹性伸缩配置中未设置分配公网IPv4地址 | SI-4 | SI-4 系统监控 SC-7 边界保护 | 弹性伸缩配置中未设置分配公网IPv4地址,视为“合规”。 |
弹性伸缩组关联至少两个交换机 | SI-22 | SI-22 信息多样性 SC-36 分布式处理和存储 SC-6 资源可用性 | 弹性伸缩组关联至少两个交换机,视为“合规”。 |
函数计算中函数设置满足参数指定要求 | SA-22 | SA-22 SI-2 缺陷纠正 | 函数计算2.0中的函数设置满足参数指定的要求,视为“合规”。 |
函数计算服务禁止访问公网 | AC-20 | AC-20 使用外部系统 AC-16 安全和隐私属性 AU-9 审计信息的保护 SC-7 边界保护 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 CA-9 内部系统连接 SC-38 操作安全 CM-12 信息位置 SC-10 网络断开 AC-3 访问控制 CP-9 系统备份 AC-4 信息流强制 AU-6 审计记录审查、分析和报告 SC-2 系统和用户功能的分离 IA-5 认证管理 SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-11 可信路径 SC-20 安全的名称/地址解析服务(权威源) IA-3 设备识别和认证 | 函数计算服务设置了禁止访问公网,视为“合规”。 |
函数计算服务启用日志功能 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 CP-7 备用处理站点 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 SC-36 分布式处理和存储 IR-4 CP-10 AU-10 非否认性 CP-6 备用存储站点 AU-2 事件日志记录 CP-2 应急计划 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | 函数计算服务启用日志功能,视为“合规”。 |
函数服务设置为仅允许指定VPC调用 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | 函数服务设置为仅允许指定VPC调用,视为“合规”。 |
云防火墙中资产开启保护 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | 云防火墙中资产开启保护,视为“合规”。本规则只对云防火墙付费用户有效,未开通云防火墙或者免费用户资产无检测数据。 |
不使用外部来源KMS主密钥 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | KMS主密钥创建来源不是外部,视为“合规”。 |
KMS主密钥未设置为待删除 | SC-12 | SC-12 加密密钥的建立和管理 IA-7 加密模块认证 SC-28 静态信息的保护 SC-17 公钥基础设施证书 SC-13 加密保护 SC-23 会话真实性 CM-3 配置更改控制 IA-5 认证管理 | KMS主密钥未设置为待删除,视为“合规”。 |
KMS凭据成功轮转 | IA-10 | SIA-10 IA-2 身份验证和认证(组织用户) AC-24 访问控制决策 IA-5 认证管理 AC-2 账户管理 | KMS凭据开启自动轮转并且根据设定的轮转周期成功进行了轮转,视为“合规”。通用凭据不支持在KMS直接配置周期性轮转,视为“不适用”。 |
密钥管理服务设置凭据自动轮转 | IA-10 | IA-10 IA-2 身份验证和认证(组织用户) AC-24 访问控制决策 IA-5 认证管理 AC-2 账户管理 | 密钥管理服务中的凭据设置自动轮转,视为“合规”。如果密钥类型为普通密钥,视为“不适用”。 |
MongoDB实例打开日志备份 | SI-12 | SI-12 信息管理和保留 SI-14 非持久性 CP-9 系统备份 SC-36 分布式处理和存储 AU-11 审计记录保留 AU-4 审计日志存储容量 CP-10 AU-10 非否认性 SC-24 处于已知状态的失败 | MongoDB实例开启日志备份,视为“合规”。 |
MongoDB集群开启审计日志 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | MongoDB实例开启审计日志,视为“合规”。 |
NAS文件存储接入点启用RAM策略 | CM-12 | CM-12 信息位置 AC-3 访问控制 SC-20 安全的名称/地址解析服务(权威源) AC-16 安全和隐私属性 CP-9 系统备份 AU-6 审计记录审查、分析和报告 CA-3 信息交换 AU-9 审计信息的保护 SC-2 系统和用户功能的分离 IA-5 认证管理 AC-4 信息流强制 SC-38 操作安全 | NAS文件存储接入点启用RAM策略,视为“合规”。 |
NAS文件存储接入点根目录未设置为默认目录 | CM-12 | CM-12 信息位置 AC-3 访问控制 SC-20 安全的名称/地址解析服务(权威源) AC-16 安全和隐私属性 CP-9 系统备份 AU-6 审计记录审查、分析和报告 CA-3 信息交换 AU-9 审计信息的保护 SC-2 系统和用户功能的分离 IA-5 认证管理 AC-4 信息流强制 SC-38 操作安全 | 文件存储接入点根目录未设置为默认的目录,视为“合规”。 |
为NAS文件系统创建备份计划 | CP-9 | CP-9 系统备份 SC-36 分布式处理和存储 SC-28 静态信息的保护 CP-10 SC-24 处于已知状态的失败 | 为NAS文件系统创建备份计划,视为“合规”。 |
NAS文件系统设置了加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | NAS文件系统设置了加密,视为“合规”。 |
OSS存储空间开启日志转存 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | OSS存储空间的日志管理中开启日志转存,视为“合规”。 |
OSS存储空间权限策略设置安全访问 | CP-9 | CP-9 系统备份 SA-4 获取流程 CM-7 最少功能 AC-17 远程访问 MA-4 SC-23 会话真实性 SC-8 传输机密性和完整性 IA-5 认证管理 IA-3 设备识别和认证 | OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间视为“不适用”。 |
OSS存储空间不能为匿名账号授予任何权限 | CM-5 | CM-5 更改访问限制 AC-9 先前登录通知 IA-8 身份验证和认证(非组织用户) IA-11 再认证 SC-50 软件强制分离和策略执行 AU-9 审计信息的保护 AC-2 账户管理 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 AC-24 访问控制决策 IA-4 标识管理 AC-3 访问控制 AU-6 审计记录审查、分析和报告 IA-5 认证管理 SC-34 不可修改的可执行程序 IA-2 身份验证和认证(组织用户) AC-7 登录失败尝试 SA-17 AC-6 最小权限 AC-4 信息流强制 | OSS Bucket授权策略中未授予匿名账号任何读写权限,视为“合规”。若OSS Bucket未设置任何授权策略,视为“合规”。 |
OSS存储空间ACL禁止公共读 | AC-20 | AC-20 使用外部系统 AC-16 安全和隐私属性 AU-9 审计信息的保护 SC-7 边界保护 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 CA-9 内部系统连接 SC-38 操作安全 CM-12 信息位置 SC-10 网络断开 AC-3 访问控制 CP-9 系统备份 AC-4 信息流强制 AU-6 审计记录审查、分析和报告 SC-2 系统和用户功能的分离 IA-5 认证管理 SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-11 可信路径 SC-20 安全的名称/地址解析服务(权威源) IA-3 设备识别和认证 | OSS存储空间的ACL策略禁止公共读,视为“合规”。 |
OSS存储空间ACL禁止公共读写 | AC-20 | AC-20 使用外部系统 AC-16 安全和隐私属性 AU-9 审计信息的保护 SC-7 边界保护 AU-16 跨组织审计日志记录 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 CA-9 内部系统连接 SC-38 操作安全 CM-12 信息位置 SC-10 网络断开 AC-3 访问控制 CP-9 系统备份 AU-6 审计记录审查、分析和报告 SC-2 系统和用户功能的分离 IA-5 认证管理 SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-11 可信路径 AU-7 审计记录减少和报告生成 SC-20 安全的名称/地址解析服务(权威源) AC-4 信息流强制 IA-3 设备识别和认证 | OSS存储空间的ACL策略禁止公共读写,视为“合规”。 |
OSS存储空间开启服务端加密 | AU-7 | AU-7 审计记录减少和报告生成 SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 AU-16 跨组织审计日志记录 | OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 |
OSS存储空间开启版本控制 | SC-21 | SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-34 不可修改的可执行程序 SI-7 软件、固件和信息的完整性 SI-19 去标识化 SC-23 会话真实性 SC-16 安全和隐私属性的传输 AU-16 跨组织审计日志记录 SC-20 安全的名称/地址解析服务(权威源) | 如果没有开启版本控制,会导致数据被覆盖或删除时无法恢复。如果开启版本控制则视为"合规"。 |
OSS存储空间开启服务端KMS加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | OSS存储空间开启服务端KMS加密,视为“合规”。 |
OSS存储空间开启同城冗余存储 | CP-7 | CP-7 备用处理站点 CP-9 系统备份 AC-4 信息流强制 SC-36 分布式处理和存储 CP-6 备用存储站点 SC-6 资源可用性 SI-13 可预测的故障预防 SC-22 名称/地址解析服务的架构和配置 AU-5 对审计日志处理失败的响应 SI-22 信息多样性 CP-2 应急计划 | 如果没有开启同城冗余存储,会导致当出现某个机房不可用时,OSS服务无法提供一致性服务,影响数据恢复目标。OSS存储空间开启同城冗余存储,视为“合规”。 |
表格存储实例中所有数据表都设置加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | 表格存储实例中所有数据表都设置了加密,视为“合规”。 |
PolarDB集群开启SQL审计 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | PolarDB集群SQL审计状态为开启,视为“合规”。 |
PolarDB集群的数据一级备份保留周期满足指定要求 | CP-9 | CP-9 系统备份 SC-36 分布式处理和存储 SC-28 静态信息的保护 CP-10 SC-24 处于已知状态的失败 | PolarDB集群一级备份保留周期大于等于指定天数,视为“合规”。参数默认值7天。 |
为PolarDB集群开启热备集群 | SI-22 | SI-22 信息多样性 SC-36 分布式处理和存储 SC-6 资源可用性 | PolarDB集群开启存储热备集群,数据分布在多个可用区,视为“合规”。 |
PolarDB数据库小版本状态为stable | SA-22 | SA-22 SI-2 缺陷纠正 | PolarDB当前数据库小版本状态为stable的视为“合规”。 |
RAM用户组非空 | AC-3 | AC-3 访问控制 IA-8 身份验证和认证(非组织用户) IA-2 身份验证和认证(组织用户) AU-6 审计记录审查、分析和报告 IA-9 服务识别和认证 AU-9 审计信息的保护 IA-4 标识管理 SA-1 IA-5 认证管理 AC-6 最小权限 AC-2 账户管理 | RAM用户组至少包含一个RAM用户,视为“合规”。 |
不存在闲置的RAM用户组 | CM-5 | CM-5 更改访问限制 AC-3 访问控制 IA-8 身份验证和认证(非组织用户) IA-2 身份验证和认证(组织用户) IA-9 服务识别和认证 IA-4 标识管理 IA-5 认证管理 AC-2 账户管理 | RAM用户组至少包含一个RAM用户且绑定了至少一个RAM权限策略,视为“合规”。 |
不存在闲置的RAM权限策略 | CM-5 | CM-5 更改访问限制 AC-9 先前登录通知 IA-8 身份验证和认证(非组织用户) IA-11 再认证 SC-50 软件强制分离和策略执行 AC-2 账户管理 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 AC-24 访问控制决策 IA-4 标识管理 AC-3 访问控制 AU-6 审计记录审查、分析和报告 IA-5 认证管理 SC-34 不可修改的可执行程序 IA-2 身份验证和认证(组织用户) AC-7 登录失败尝试 AC-6 最小权限 AC-4 信息流强制 | RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。 |
不存在超级管理员 | CM-5 | CM-5 更改访问限制 AC-9 先前登录通知 IA-8 身份验证和认证(非组织用户) IA-11 再认证 SC-50 软件强制分离和策略执行 AU-9 审计信息的保护 SC-7 边界保护 AC-2 账户管理 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 SI-3 恶意代码防护 AC-24 访问控制决策 IA-4 标识管理 AC-3 访问控制 AU-6 审计记录审查、分析和报告 IA-5 认证管理 SC-34 不可修改的可执行程序 IA-2 身份验证和认证(组织用户) CM-7 最少功能 AC-7 登录失败尝试 AC-6 最小权限 AC-4 信息流强制 | RAM用户、RAM用户组、RAM角色均未拥有Resource为*且Action为*的超级管理员权限,视为“合规”。 |
RAM用户开启MFA | IA-2 | IA-2 身份验证和认证(组织用户) | 开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。 |
RDS实例SQL审计日志保留天数满足指定要求 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | RDS MySQL类型实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。默认值:180天。不支持该功能的实例规格视为“不适用”。 |
RDS实例开启日志备份 | CP-9 | CP-9 系统备份 SC-36 分布式处理和存储 SC-28 静态信息的保护 CP-10 SC-24 处于已知状态的失败 | RDS实例开启日志备份视为"合规"。 |
RDS实例开启云盘加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | RDS实例开启了云盘加密,视为”合规“。本地盘或者不支持云盘加密的规格实例视为“不适用”。 |
RDS实例开启TDE加密 | SC-34 | SC-34 不可修改的可执行程序 CP-9 系统备份 SC-28 静态信息的保护 AU-9 审计信息的保护 IA-5 认证管理 | RDS实例的数据安全性设置开启TDE加密,视为“合规”。 |
使用多可用区的RDS实例 | SI-22 | SI-22 信息多样性 SC-36 分布式处理和存储 SC-6 资源可用性 | RDS实例为多可用区实例,视为“合规”。 |
开启公网IP的RDS实例白名单未对所有来源开放 | AC-20 | AC-20 使用外部系统 AC-16 安全和隐私属性 AU-9 审计信息的保护 SC-7 边界保护 CA-3 信息交换 AC-17 远程访问 IA-9 服务识别和认证 CA-9 内部系统连接 SC-38 操作安全 CM-12 信息位置 SC-10 网络断开 AC-3 访问控制 CP-9 系统备份 AC-4 信息流强制 AU-6 审计记录审查、分析和报告 SC-2 系统和用户功能的分离 IA-5 认证管理 SC-21 安全的名称/地址解析服务(递归或缓存解析器) SC-11 可信路径 SC-20 安全的名称/地址解析服务(权威源) IA-3 设备识别和认证 | RDS实例为开启公网IP,或者开启白名单未设置为对所有来源IP开放,视为“合规”。 |
Redis实例开启增量备份 | CP-9 | CP-9 系统备份 SC-36 分布式处理和存储 SC-28 静态信息的保护 CP-10 SC-24 处于已知状态的失败 | Redis实例开启增量备份,视为“合规”。本规则只适用于类型为Tair或企业版的实例,非Tair或企业版类型的实例视为不适用。 |
Redis实例升级至最新小版本 | SA-22 | SA-22 SI-2 缺陷纠正 | Redis实例已升级至最新小版本,视为“合规”。 |
阿里云账号不存在AccessKey | CM-5 | CM-5 更改访问限制 AC-3 访问控制 IA-8 身份验证和认证(非组织用户) IA-2 身份验证和认证(组织用户) IA-9 服务识别和认证 AC-17 远程访问 CM-7 最少功能 AU-9 审计信息的保护 SI-3 恶意代码防护 SC-7 边界保护 IA-4 标识管理 IA-5 认证管理 AC-2 账户管理 AC-6 最小权限 AC-4 信息流强制 | 阿里云账号不存在任何状态的AccessKey,视为“合规”。 |
阿里云账号开启MFA | IA-2 | IA-2 身份验证和认证(组织用户) | 阿里云账号开启MFA,视为“合规”。 |
使用云安全中心企业版 | SI-4 | SI-4 系统监控 AU-7 审计记录减少和报告生成 AU-6 审计记录审查、分析和报告 AC-17 远程访问 AU-9 审计信息的保护 RA-5 漏洞监控和扫描 AC-2 账户管理 AC-4 信息流强制 | 使用云安全中心企业版或者更高级别的版本,视为“合规”。 |
使用多可用区SLB实例并为服务器组配置多个可用区资源 | CP-7 | CP-7 备用处理站点 CP-9 系统备份 AC-4 信息流强制 SC-36 分布式处理和存储 CP-6 备用存储站点 SC-6 资源可用性 SI-13 可预测的故障预防 SC-22 名称/地址解析服务的架构和配置 AU-5 对审计日志处理失败的响应 SI-22 信息多样性 CP-2 应急计划 | SLB实例为多可用区,并且SLB实例下所有监听使用的服务器组中添加了多个可用区的资源,视为“合规”。 |
SLB实例的HTTPS监听使用指定的安全策略套件 | CP-9 | CP-9 系统备份 SA-4 获取流程 CM-7 最少功能 AC-17 远程访问 MA-4 SC-13 加密保护 SC-23 会话真实性 SC-8 传输机密性和完整性 IA-5 认证管理 IA-3 设备识别和认证 | SLB实例的所有HTTPS类型监听使用参数指定的安全策略套件版本,视为“合规”。未设置HTTPS类型监听的SLB实例,视为“不适用”。 |
SLB实例开启访问日志 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | SLB传统型负载均衡实例开启访问日志,视为“合规”。未启用7层监听的实例不支持开启访问日志,视为“不适用”。 |
SLB开启HTTPS监听 | CP-9 | CP-9 系统备份 SA-4 获取流程 CM-7 最少功能 AC-17 远程访问 MA-4 SC-13 加密保护 SC-23 会话真实性 SC-8 传输机密性和完整性 IA-5 认证管理 IA-3 设备识别和认证 | SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。 |
SSL证书到期检测 | SC-12 | SC-12 加密密钥的建立和管理 IA-7 加密模块认证 SC-28 静态信息的保护 SC-17 公钥基础设施证书 SC-13 加密保护 SC-23 会话真实性 CM-3 配置更改控制 IA-5 认证管理 | SSL证书到期时间剩余天数大于参数指定的天数,视为”合规“。参数默认值为30天。 |
VPC开启流日志记录 | CM-5 | CM-5 更改访问限制 SI-4 系统监控 AU-14 会话审计 AC-9 先前登录通知 SI-7 软件、固件和信息的完整性 AU-10 非否认性 AU-2 事件日志记录 AU-8 时间戳 AU-3 审计记录内容 AC-6 最小权限 AU-12 审计记录生成 AC-4 信息流强制 | VPC已开启流日志(Flowlog)记录功能,视为“合规”。 |
专有网络ACL未开放风险端口 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | 当专有网络访问控制入方向规则目的地址设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。 |
专有网络ACL绑定至少一个资源 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | 专有网络ACL绑定至少一个资源,视为“合规”。 |
VPC自定义路由目标网段未设置为全部网段 | SC-3 | SC-3 安全功能隔离 AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-6 最小权限 AC-4 信息流强制 IA-3 设备识别和认证 | VPC路由表自定义路由条目目标网段未设置为全部网段,视为“合规”。 |
IPsecVPN连接正常 | SC-3 | SC-3 安全功能隔离 AC-4 信息流强制 SC-36 分布式处理和存储 PL-8 SC-7 边界保护 SI-22 信息多样性 SC-6 资源可用性 | IPsec VPN连接状态为“已建立”,视为“合规”。 |
WAF3.0实例开启指定防护规则 | AC-20 | AC-20 使用外部系统 SC-10 网络断开 SC-11 可信路径 SC-21 安全的名称/地址解析服务(递归或缓存解析器) IA-9 服务识别和认证 AC-17 远程访问 CA-9 内部系统连接 SC-7 边界保护 IA-5 认证管理 AC-4 信息流强制 IA-3 设备识别和认证 | WAF3.0实例开启指定防护场景的规则,视为“合规”。 |