本文为您介绍CIS网络安全框架检查合规包中的默认规则。

规则名称 规则描述
使用中的ECS数据磁盘开启加密 使用中的ECS数据磁盘开启加密,视为“合规”。
待挂载的ECS数据磁盘开启加密 待挂载的ECS数据磁盘开启加密,视为“合规”。
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。
OSS存储空间开启服务端默认加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,关闭端口22和3389,视为“合规”。
RAM用户开启MFA RAM用户开启MFA,视为“合规”。
阿里云账号不存在AccessKey 阿里云账号不存在“已启用”或“已禁用”状态的AccessKey,视为“合规”。
阿里云账号开启MFA 阿里云账号开启MFA,视为“合规”。
RAM用户密码策略符合要求 RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。
不存在超级管理员 RAM用户、RAM用户组、RAM角色均未拥有Resource为*和Action为*的超级管理员权限,视为“合规”。
不直接授权给RAM用户 无直接绑定到RAM用户的权限策略,视为“合规”。
OSS存储空间开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。
OSS存储空间使用指定KMS加密 OSS存储空间已使用您指定的KMS加密,视为“合规”。
RDS实例开启SQL审计 RDS实例的SQL审计状态为开启,视为“合规”。
RDS实例MySQL类型数据库的SQL审计日志保留天数满足指定要求 RDS实例MySQL类型数据库开启SQL审计且日志保留天数大于等于指定值,视为“合规”。
RDS实例PostgreSQL类型数据库参数log_connections设置为on RDS实例PostgreSQL类型数据库参数log_connections设置为on,视为“合规”。
RDS实例PostgreSQL类型数据库参数log_disconnections设置为on RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。
RDS实例PostgreSQL类型数据库参数log_duration设置为on RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。
OSS存储空间权限策略不能为匿名账号授予任何权限 如果OSS存储空间读写权限设置为私有,视为“合规”;如果OSS存储空间读写权限设置为公共读或公共读写,且授权策略未为匿名账号授予任何读写操作权限,视为“合规”。
OSS存储空间权限策略设置安全访问 OSS存储空间权限策略中包含读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。
OSS存储空间权限策略设置IP限制 OSS存储空间读写权限设置为私有,或权限策略中包含只允许特定IP访问的策略,视为“合规”。
OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。
OSS存储空间ACL禁止公共读 OSS存储空间的ACL策略禁止公共读,视为“合规”。
ECS实例均已安装云安全中心代理 所有ECS实例均已安装云安全中心代理,视为“合规”。
ECS实例漏洞均已修复 云安全中心发现的所有ECS实例的漏洞均已修复,视为“合规”。
VPC自定义网段已设置路由 VPC自定义网段在关联路由表中存在至少一条网段内IP地址的路由信息,视为“合规”。
RAM用户在指定时间内有登录行为 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。
RAM用户的AccessKey在指定时间内轮换 RAM用户的AccessKey创建时间距离检查时间不超过指定天数,视为“合规”。
VPC开启流日志记录 VPC开启流日志(Flowlog)记录功能,视为“合规”。
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。
RDS实例使用SSL证书 RDS实例的数据安全性设置开启SSL证书,视为“合规”。
操作审计开启全量日志跟踪 操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。
WAF实例开启日志采集 已接入WAF进行防护的域名均开启日志采集,视为“合规”。
ACK集群使用Terway网络插件 ACK集群使用Terway网络插件,视为“合规”。
ACK集群未设置公网连接端点 ACK集群未设置公网连接端点,视为“合规”。
ACK集群节点安装云监控插件 ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。
云安全中心通知项目已设置通知方式 云安全中心通知项目均已设置通知方式,视为“合规”。
使用云安全中心企业版 使用云安全中心企业版或者更高级别的版本,视为“合规”。