平台安全最佳实践默认规则-配置审计-阿里云

基于阿里云平台安全治理经验，覆盖了云平台基础的关键安全配置检查项，涉及账号安全、云资源安全、网络安全、数据安全、备份恢复、日志审计等检查维度，持续进行风险配置检测。本文为您介绍阿里云平台安全最佳实践中的默认规则。

规则名称	规则描述
阿里云主账号开启MFA	阿里云主账号开启MFA，视为“合规”。建议为阿里云主账号开启多因素认证（MFA），降低账号被盗风险。
不使用主账号AccessKey	阿里云主账号不存在任何状态的AccessKey，视为“合规”。阿里云主账号AccessKey权限过大且不可缩小，一旦泄漏会造成灾难后果，建议使用RAM用户AccessKey并做好权限控制。
API网关中开启公网访问的API请求方式为HTTPS	为API网关中开启公网访问的API请求开启HTTPS，对数据传输进行加密，视为“合规”。只限制内网调用的API不适用此规则，视为“不适用”。
CDN域名开启HTTPS加密	CDN域名开启HTTPS协议，对数据传输进行加密，视为“合规”。
ECS磁盘设置自动快照策略	ECS磁盘设置了自动快照策略，视为“合规”。状态非使用中的磁盘、不支持设置自动快照策略的磁盘、ACK集群挂载的非持久化使用场景的磁盘视为“不适用”。开启自动快照策略后，阿里云会自动按照预设的时间点和周期为云盘创建快照，遭遇病毒入侵或勒索后能够快速从安全事件中恢复。
运行中的ECS实例开启云安全中心防护	通过在主机上安装云安全中心插件，为主机提供安全防护服务，视为"合规"。非运行中状态的实例不适用本规则，视为“不适用”。
使用专有网络类型的ECS实例	如果未指定参数，则检查ECS实例的网络类型为专有网络；如果指定参数，则检查ECS实例的专有网络实例在指定参数范围内，视为“合规”。建议使用专有网络类型的ECS实例，实现最基本的网络隔离，保障云环境的网络安全。
使用密钥对登录Linux主机	使用密钥对登录Linux主机，视为“合规”。建议使用密钥对登录Linux主机，SSH密钥对是一种安全便捷的登录认证方式，不易被暴力破解。
安全组指定协议不允许对全部网段开启风险端口	当安全组入网网段设置为0.0.0.0/0时，指定协议的端口范围不包含指定风险端口，降低服务器登录密码被暴力破解风险，视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝，视为“合规”。云产品或虚商所使用的安全组视为“不适用”。默认检测风险端口为22、3389。
MongoDB实例不开启公网或安全白名单不设置为允许任意来源访问	MongoDB实例不开启公网或安全白名单不设置为允许任意来源访问，视为“合规”。避免被攻击或暴力破解，产生数据泄漏风险。
MongoDB实例打开日志备份	MongoDB实例开启日志备份，视为“合规”。建议开启日志备份，基于日志备份，您可以恢复数据到备份保留时间内的任意时间点。
OSS存储空间ACL不开启公共读写	OSS存储空间的ACL不开启公共读写，视为“合规”。OSS存储空间开启公共读写权限后，任何访问者均可写入，将面临恶意注入的数据风险，建议关闭。
OSS存储空间ACL不开启公共读	OSS存储空间的ACL不开启公共读，视为“合规”。OSS存储空间的公共读权限会增加存储数据在公网泄露的风险，建议关闭。
OSS公开存储空间设置权限策略且不为匿名账号授予任何权限	为读写权限公开的OSS Bucket设置授权策略，并且授权策略中不为匿名账号授予任何读写的操作权限，降低数据在公网泄露的风险，视为“合规”。读写权限为私有的OSS Bucket视为“不适用”。
PolarDB实例不开启公网或IP白名单不设置为全网段	PolarDB实例不开启公网或IP白名单不设置为全网段，视为“合规”。避免被攻击或暴力破解，产生数据泄漏风险。
PolarDB集群设置SSL加密	为PolarDB集群设置SSL，对数据传输进行加密，视为“合规”。
PolarDB集群日志备份保留周期大于30天	PolarDB集群日志备份保留周期大于等于指定天数，视为“合规”。参数默认值30天。未开启日志备份或备份保留周期小于指定天数视为“不合规”。建议将日志备份保留合适的天数，基于日志备份，您可以恢复数据到备份保留时间内的任意时间点。
不为RAM用户赋予超级管理员Admin权限	RAM用户、RAM用户组、RAM角色均未赋予Resource为且Action为的Admin权限，视为“合规”。建议最小化控制RAM用户权限，不建议为RAM用户、RAM用户组或RAM角色添加Resource为且Action为的Admin权限。
RAM用户开启MFA	开启控制台访问功能的RAM用户登录设置中开启多因素认证设置或者已启用多因素认证（MFA），视为“合规”。开启多因素认证（MFA），降低账号被盗风险。
RAM用户不存在闲置AccessKey	RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数，视为“合规”。默认值：90天。若确认闲置请及时禁用。
RDS实例不配置公网地址	RDS实例不配置公网地址，视为“合规”。生产环境的RDS实例不推荐配置公网直接访问，容易被攻击或暴力破解，产生数据泄漏风险。
RDS实例开启日志备份	RDS实例开启日志备份视为"合规"。只读实例视为“不适用”。建议开启日志备份，基于日志备份，您可以恢复数据到备份保留时间内的任意时间点。
RDS实例开启SSL并使用指定的TLS版本	RDS实例开启SSL同时使用的TLS版本在参数指定的版本范围内，对数据传输进行加密，视为“合规”。
Redis实例不开启公网或安全白名单不设置为允许任意来源访问	Redis实例不开启公网或安全白名单不设置为允许任意来源访问，视为“合规”。Redis实例不建议打开公网且允许任意来源访问，容易被攻击或暴力破解，产生数据泄漏风险。
Redis实例设置TLS或SSL加密	为Redis实例设置SSL，对数据传输进行加密，视为“合规”。
Redis实例开启增量备份	Redis实例开启增量备份，视为“合规”。本规则只适用于类型为Tair或企业版的实例，非Tair或企业版类型的实例视为不适用。建议开启增量备份，基于增量备份，您可以恢复数据到备份保留时间内的任意时间点。

CLB访问控制列表不配置所有地址段	CLB访问控制列表中不包含0.0.0.0/0条目，视为“合规”。建议非http/https服务启用访问控制，设置白名单，并且白名单规则中不包含0.0.0.0/0。
CLB实例监听不包含风险端口	CLB实例监听的端口不包含指定的风险端口，视为“合规”。不建议将22、3389等端口转发至公网，降低攻击和暴力破解风险。
为CLB实例添加HTTPS监听	CLB在指定端口上开启HTTPS协议的监听，对数据传输进行加密，视为“合规”。如果CLB实例只开启TCP或者UDP协议的监听，视为“不适用”。端口默认为443，多个端口用半角逗号分隔，任一端口上有开启HTTPS监听则合规。
专有网络ACL未开放风险端口	专有网络22/3389端口TCP/UDP协议的入方向规则目的地址未设置为0.0.0.0/0，降低服务器登录密码被暴力破解风险，视为“合规”。