CIS网络安全框架检查模板包含对CIS Alibaba Cloud Foundation Benchmark v1.0.0部分建议的规则,本文为您介绍该合规包模板中的规则及其对应的CIS建议项。

说明
  • 合规包模板为您提供通用的合规性框架,通过输入规则参数和修正设置,可以帮助您快速创建符合目标场景的合规包。规则的“合规”仅指符合规则定义本身的合规性描述,不确保您符合特定法规或行业标准的所有要求。
  • 关于CIS合规标准的更多信息,请参见CIS_Alibaba_Cloud_Foundation_Benchmark_v1.0.0
规则名称 规则描述 建议项编号 建议项说明
阿里云账号不存在AccessKey 阿里云账号不存在“已启用”或“已禁用”状态的AccessKey,视为“合规”。 1.2 Ensure no root account access key exists.
阿里云账号开启MFA 阿里云账号开启MFA,视为“合规”。 1.3 Ensure MFA is enabled for the "root" account.
RAM用户开启MFA RAM用户开启MFA,视为“合规”。 1.4 Ensure that multi-factor authentication is enabled for all RAM users that have a console password.
RAM用户在指定时间内有登录行为 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。 1.5 Ensure users not logged on for 90 days or longer are disabled for console logon.
RAM用户的AccessKey在指定时间内轮换 RAM用户的AccessKey创建时间距离检查时间不超过指定天数,视为“合规”。 1.6 Ensure access keys are rotated every 90 days or less.
RAM用户密码策略符合要求 RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 1.7 Ensure RAM password policy requires at least one uppercase letter.
1.8 Ensure RAM password policy requires at least one lowercase letter.
1.9 Ensure RAM password policy require at least one symbol.
1.10 Ensure RAM password policy require at least one number.
1.11 Ensure RAM password policy requires minimum length of 14 or greater.
1.12 Ensure RAM password policy prevents password reuse.
1.13 Ensure RAM password policy expires passwords within 90 days or less.
1.14 Ensure RAM password policy temporarily blocks logon after 5 incorrect logon attempts within an hour.
不存在超级管理员 RAM用户、RAM用户组、RAM角色均未拥有Resource为*和Action为*的超级管理员权限,视为“合规”。 1.15 Ensure RAM policies that allow full "*:*" administrative privileges are not created.
不直接授权给RAM用户 无直接绑定到RAM用户的权限策略,视为“合规”。 1.16 Ensure RAM policies are attached only to groups or roles.
操作审计开启全量日志跟踪 操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。 2.1 Ensure that ActionTrail are configured to export copies of all Log entries.
OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限 为读写权限公开的OSS存储空间设置授权策略,且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”;读写权限为私有的OSS存储空间视为“不适用”。 2.2 Ensure the OSS used to store ActionTrail logs is not publicly accessible.
5.1 Ensure that OSS bucket is not anonymously or publicly accessible.
VPC开启流日志记录 VPC开启流日志(Flowlog)记录功能,视为“合规”。 2.5 Ensure virtual network flow log service is enabled.
3.3 Ensure VPC flow logging is enabled in all VPCs.
WAF实例开启日志采集 已接入WAF进行防护的域名均开启日志采集,视为“合规”。 2.7 Ensure Web Application Firewall access and security log service is enabled.
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。 3.1 Ensure legacy networks does not exist.
安全组指定协议不允许对全部网段开启风险端口 当安全组入方向网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”;当安全组入方向网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,视为“合规”;当检测到的风险端口被优先级更高的授权策略拒绝时,视为“合规”;除ECS外的云服务(例如:云防火墙、NAT网关等)或虚商所使用的安全组不适用本规则,视为“不适用”。 3.2 Ensure that SSH access is restricted from the internet.
3.5 Ensure the security group are configured with fine grained rules.
4.3 Ensure no security groups allow ingress from 0.0.0.0/0 to port 22.
4.4 Ensure no security groups allow ingress from 0.0.0.0/0 to port 3389.
VPC自定义网段已设置路由 VPC自定义网段在关联路由表中存在至少一条网段内IP地址的路由信息,视为“合规”。 3.4 Ensure routing tables for VPC peering are "least access".
使用中的ECS数据磁盘开启加密 使用中的ECS数据磁盘开启加密,视为“合规”。 4.1 Ensure that 'Unattached disks' are encrypted.
4.2 Ensure that ‘Virtual Machine’s disk’ are encrypted.
待挂载的ECS数据磁盘开启加密 待挂载的ECS数据磁盘开启加密,视为“合规”。 4.1 Ensure that 'Unattached disks' are encrypted.
4.2 Ensure that ‘Virtual Machine’s disk’ are encrypted.
所有ECS实例漏洞都已修复 云安全中心发现的所有ECS实例的漏洞均已修复,视为“合规”。 4.5 Ensure that the latest OS Patches for all Virtual Machines are applied.
8.7 Ensure that scheduled vulnerability scan is enabled on all servers.
ECS实例均已安装云安全中心代理 所有ECS实例均已安装云安全中心代理,视为“合规”。 4.6 Ensure that the endpoint protection for all Virtual Machines is installed.
8.2 Ensure that all assets are installed with security agent.
OSS存储空间开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。 5.3 Ensure that logging is enabled for OSS buckets.
OSS存储空间权限策略设置安全访问 OSS存储空间权限策略中包含读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。 5.4 Ensure that 'Secure transfer required' is set to 'Enabled'.
OSS存储空间权限策略设置IP限制 OSS存储空间读写权限设置为私有,或权限策略中包含只允许特定IP访问的策略,视为“合规”。 5.7 Ensure network access rule for storage bucket is not set to publicly accessible.
OSS存储空间ACL禁止公共读 OSS存储空间的ACL策略禁止公共读,视为“合规”。
OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。
OSS存储空间开启服务端加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 5.8 Ensure server-side encryption is set to ‘Encrypt with Service Key’.
OSS存储空间使用自定义KMS密钥加密 OSS存储空间已使用自定义的KMS密钥加密,视为“合规”。 5.9 Ensure server-side encryption is set to ‘Encrypt with BYOK’.
RDS实例使用SSL证书 RDS实例的数据安全性设置开启SSL证书,视为“合规”。 6.1 Ensure that RDS instance requires all incoming connections to use SSL.
RDS实例未申请外网地址 RDS实例未申请外网地址,视为“合规”。 6.2 Ensure that RDS Instances are not open to the world.
RDS实例开启SQL审计 RDS实例的SQL审计状态为开启,视为“合规”。 6.3 Ensure that 'Auditing' is set to 'On' for applicable database instances.
RDS实例MySQL类型数据库的SQL审计日志保留天数满足指定要求 RDS实例MySQL类型数据库开启SQL审计且日志保留天数大于等于指定值,视为“合规”。 6.4 Ensure that 'Auditing' Retention is 'greater than 6 months'.
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。 6.5 Ensure that 'TDE' is set to 'Enabled' on for applicable database instance.
RDS实例PostgreSQL类型数据库参数log_connections设置为on RDS实例PostgreSQL类型数据库参数log_connections设置为on,视为“合规”。 6.7 Ensure parameter 'log_connections' is set to 'ON' for PostgreSQL Database.
RDS实例PostgreSQL类型数据库参数log_disconnections设置为on RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。 6.8 Ensure server parameter 'log_disconnections' is set to 'ON' for PostgreSQL Database Server.
RDS实例PostgreSQL类型数据库参数log_duration设置为on RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。 6.9 Ensure server parameter 'log_duration is set to 'ON' for PostgreSQL Database Server.
ACK集群节点安装云监控插件 ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。 7.2 Ensure CloudMonitor is set to Enabled on Kubernetes Engine Clusters.
ACK集群使用Terway网络插件 ACK集群使用Terway网络插件,视为“合规”。 7.7 Ensure Network policy is enabled on Kubernetes Engine Clusters.
7.8 Ensure ENI multiple IP mode support for Kubernetes Cluster.
ACK集群未设置公网连接端点 ACK集群未设置公网连接端点,视为“合规”。 7.9 Ensure Kubernetes Cluster is created with Private cluster enabled.
使用云安全中心企业版 使用云安全中心企业版或者更高级别的版本,视为“合规”。 8.1 Ensure that Security Center is Advanced or Enterprise Edition.
云安全中心通知项目已设置通知方式 云安全中心通知项目均已设置通知方式,视为“合规”。 8.5 Ensure that notification is enabled on all high risk items.