网络及数据安全最佳实践

从网络架构和数据安全等方面进行全面检测,以确保系统和数据进行了合理的设置和保护,有效减少网络和数据泄露的风险,请参考CIS Benchmarks文件要求。本文为您介绍网络及数据安全最佳实践中的默认规则。

规则名称

规则描述

使用中的ECS数据磁盘开启加密

使用中的ECS数据磁盘已开启加密,视为“合规”。

使用专有网络类型的ECS实例

如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用英文逗号(,)分隔。

OSS存储空间开启服务端加密

OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

RDS实例禁止配置公网地址

RDS实例未配置公网地址,视为“合规”。生产环境的RDS实例不推荐配置公网直接访问,容易被黑客攻击。

RAM用户开启MFA

开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。

阿里云账号不存在AccessKey

阿里云账号不存在任何状态的AccessKey,视为“合规”。

阿里云账号开启MFA

阿里云账号开启MFA,视为“合规”。

RAM用户密码策略符合要求

RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

不存在超级管理员

RAM用户、RAM用户组、RAM角色均未拥有Resource为且Action为的超级管理员权限,视为“合规”。

不直接授权给RAM用户

RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。

OSS存储空间开启日志转存

OSS存储空间的日志管理中开启日志转存,视为“合规”。

OSS存储空间使用自定义KMS密钥加密

OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。

RDS实例开启SQL审计

RDS实例的SQL审计状态为开启,视为“合规”。

RDS实例SQL审计日志保留天数满足指定要求

RDS Mysql类型实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。默认值:180天。

PostgreSQL数据库参数log_connections设置为on

RDS实例PostgreSQL类型数据库参数log_connections设置为on,视为“合规”。

PostgreSQL数据库参数log_disconnections设置为on

RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。

PostgreSQL数据库参数log_duration设置为on

RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。

OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限

为读写权限公开的OSS Bucket设置授权策略,并且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。读写权限为私有的OSS Bucket,视为“不适用”。

OSS存储空间权限策略设置安全访问

OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间,视为“不适用”。

OSS存储空间授权策略设置IP限制

OSS Bucket读写权限设置为私有,或者授权策略中包含只允许特定IP访问的策略,视为“合规”。

OSS存储空间ACL禁止公共读写

OSS存储空间的ACL策略禁止公共读写,视为“合规”。

OSS存储空间ACL禁止公共读

OSS存储空间的ACL策略禁止公共读,视为“合规”。

账号下所有ECS实例已安装云安全中心代理

账号下所有ECS实例均已安装云安全中心代理,视为“合规”。

所有ECS实例漏洞都已修复

云安全中心发现的所有ECS实例的漏洞都已修复,视为“合规”。

VPC自定义网段已设置路由

VPC自定义网段在关联路由表中存在至少一条网段内IP的路由信息,视为“合规”。

RAM用户在指定时间内有登录行为

如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户,视为“不适用”。

RAM用户的AccessKey在指定时间内轮换

RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。

VPC开启流日志记录

VPC已开启流日志(Flowlog)记录功能,视为“合规”。

RDS实例开启TDE加密

RDS实例的数据安全性设置开启TDE加密,视为“合规”。

RDS实例使用SSL证书

RDS实例的数据安全性设置开启SSL证书,视为“合规”。

开启操作审计全量日志跟踪

操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。

WAF实例开启日志采集

已接入WAF2.0进行防护的域名均开启日志采集,视为“合规”。

ACK集群使用Terway网络插件

ACK集群使用Terway网络插件,视为“合规”。

ACK集群未设置公网连接端点

ACK集群未设置公网连接端点,视为“合规”。

ACK集群节点安装云监控插件

ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。

云安全中心通知项目已设置通知方式

云安全中心通知项目均已设置通知方式,视为“合规”。

使用云安全中心企业版

使用云安全中心企业版或者更高级别的版本,视为“合规”。

安全组指定协议不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组,视为“不适用”。

运行中的ECS实例开启云安全中心防护

通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件则视为"合规"。非运行中状态的实例不适用本规则,视为“不适用”。

在云安全中心设置指定等级的漏洞扫描

在云安全中心设置指定风险等级的漏洞扫描,视为“合规”。

RDS实例使用自定义密钥开启TDE

RDS实例使用自定义密钥开启TDE,视为“合规”。