CIS网络安全框架检查模板包含对CIS Alibaba Cloud Foundation Benchmark v1.0.0部分建议的规则,本文为您介绍该合规包模板中的规则及其对应的CIS建议项。
说明
- 合规包模板为您提供通用的合规性框架,通过输入规则参数和修正设置,可以帮助您快速创建符合目标场景的合规包。规则的“合规”仅指符合规则定义本身的合规性描述,不确保您符合特定法规或行业标准的所有要求。
- 关于CIS合规标准的更多信息,请参见CIS_Alibaba_Cloud_Foundation_Benchmark_v1.0.0。
规则名称 | 规则描述 | 建议项编号 | 建议项说明 |
---|---|---|---|
阿里云账号不存在AccessKey | 阿里云账号不存在“已启用”或“已禁用”状态的AccessKey,视为“合规”。 | 1.2 | Ensure no root account access key exists. |
阿里云账号开启MFA | 阿里云账号开启MFA,视为“合规”。 | 1.3 | Ensure MFA is enabled for the "root" account. |
RAM用户开启MFA | RAM用户开启MFA,视为“合规”。 | 1.4 | Ensure that multi-factor authentication is enabled for all RAM users that have a console password. |
RAM用户在指定时间内有登录行为 | 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。 | 1.5 | Ensure users not logged on for 90 days or longer are disabled for console logon. |
RAM用户的AccessKey在指定时间内轮换 | RAM用户的AccessKey创建时间距离检查时间不超过指定天数,视为“合规”。 | 1.6 | Ensure access keys are rotated every 90 days or less. |
RAM用户密码策略符合要求 | RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 | 1.7 | Ensure RAM password policy requires at least one uppercase letter. |
1.8 | Ensure RAM password policy requires at least one lowercase letter. | ||
1.9 | Ensure RAM password policy require at least one symbol. | ||
1.10 | Ensure RAM password policy require at least one number. | ||
1.11 | Ensure RAM password policy requires minimum length of 14 or greater. | ||
1.12 | Ensure RAM password policy prevents password reuse. | ||
1.13 | Ensure RAM password policy expires passwords within 90 days or less. | ||
1.14 | Ensure RAM password policy temporarily blocks logon after 5 incorrect logon attempts within an hour. | ||
不存在超级管理员 | RAM用户、RAM用户组、RAM角色均未拥有Resource为*和Action为*的超级管理员权限,视为“合规”。 | 1.15 | Ensure RAM policies that allow full "*:*" administrative privileges are not created. |
不直接授权给RAM用户 | 无直接绑定到RAM用户的权限策略,视为“合规”。 | 1.16 | Ensure RAM policies are attached only to groups or roles. |
操作审计开启全量日志跟踪 | 操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。 | 2.1 | Ensure that ActionTrail are configured to export copies of all Log entries. |
OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限 | 为读写权限公开的OSS存储空间设置授权策略,且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”;读写权限为私有的OSS存储空间视为“不适用”。 | 2.2 | Ensure the OSS used to store ActionTrail logs is not publicly accessible. |
5.1 | Ensure that OSS bucket is not anonymously or publicly accessible. | ||
VPC开启流日志记录 | VPC开启流日志(Flowlog)记录功能,视为“合规”。 | 2.5 | Ensure virtual network flow log service is enabled. |
3.3 | Ensure VPC flow logging is enabled in all VPCs. | ||
WAF实例开启日志采集 | 已接入WAF进行防护的域名均开启日志采集,视为“合规”。 | 2.7 | Ensure Web Application Firewall access and security log service is enabled. |
使用专有网络类型的ECS实例 | 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。 | 3.1 | Ensure legacy networks does not exist. |
安全组指定协议不允许对全部网段开启风险端口 | 当安全组入方向网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”;当安全组入方向网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,视为“合规”;当检测到的风险端口被优先级更高的授权策略拒绝时,视为“合规”;除ECS外的云服务(例如:云防火墙、NAT网关等)或虚商所使用的安全组不适用本规则,视为“不适用”。 | 3.2 | Ensure that SSH access is restricted from the internet. |
3.5 | Ensure the security group are configured with fine grained rules. | ||
4.3 | Ensure no security groups allow ingress from 0.0.0.0/0 to port 22. | ||
4.4 | Ensure no security groups allow ingress from 0.0.0.0/0 to port 3389. | ||
VPC自定义网段已设置路由 | VPC自定义网段在关联路由表中存在至少一条网段内IP地址的路由信息,视为“合规”。 | 3.4 | Ensure routing tables for VPC peering are "least access". |
使用中的ECS数据磁盘开启加密 | 使用中的ECS数据磁盘开启加密,视为“合规”。 | 4.1 | Ensure that 'Unattached disks' are encrypted. |
4.2 | Ensure that ‘Virtual Machine’s disk’ are encrypted. | ||
待挂载的ECS数据磁盘开启加密 | 待挂载的ECS数据磁盘开启加密,视为“合规”。 | 4.1 | Ensure that 'Unattached disks' are encrypted. |
4.2 | Ensure that ‘Virtual Machine’s disk’ are encrypted. | ||
所有ECS实例漏洞都已修复 | 云安全中心发现的所有ECS实例的漏洞均已修复,视为“合规”。 | 4.5 | Ensure that the latest OS Patches for all Virtual Machines are applied. |
8.7 | Ensure that scheduled vulnerability scan is enabled on all servers. | ||
ECS实例均已安装云安全中心代理 | 所有ECS实例均已安装云安全中心代理,视为“合规”。 | 4.6 | Ensure that the endpoint protection for all Virtual Machines is installed. |
8.2 | Ensure that all assets are installed with security agent. | ||
OSS存储空间开启日志存储 | OSS存储空间的日志管理中开启日志存储,视为“合规”。 | 5.3 | Ensure that logging is enabled for OSS buckets. |
OSS存储空间权限策略设置安全访问 | OSS存储空间权限策略中包含读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。 | 5.4 | Ensure that 'Secure transfer required' is set to 'Enabled'. |
OSS存储空间权限策略设置IP限制 | OSS存储空间读写权限设置为私有,或权限策略中包含只允许特定IP访问的策略,视为“合规”。 | 5.7 | Ensure network access rule for storage bucket is not set to publicly accessible. |
OSS存储空间ACL禁止公共读 | OSS存储空间的ACL策略禁止公共读,视为“合规”。 | ||
OSS存储空间ACL禁止公共读写 | OSS存储空间的ACL策略禁止公共读写,视为“合规”。 | ||
OSS存储空间开启服务端加密 | OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 | 5.8 | Ensure server-side encryption is set to ‘Encrypt with Service Key’. |
OSS存储空间使用自定义KMS密钥加密 | OSS存储空间已使用自定义的KMS密钥加密,视为“合规”。 | 5.9 | Ensure server-side encryption is set to ‘Encrypt with BYOK’. |
RDS实例使用SSL证书 | RDS实例的数据安全性设置开启SSL证书,视为“合规”。 | 6.1 | Ensure that RDS instance requires all incoming connections to use SSL. |
RDS实例未申请外网地址 | RDS实例未申请外网地址,视为“合规”。 | 6.2 | Ensure that RDS Instances are not open to the world. |
RDS实例开启SQL审计 | RDS实例的SQL审计状态为开启,视为“合规”。 | 6.3 | Ensure that 'Auditing' is set to 'On' for applicable database instances. |
RDS实例MySQL类型数据库的SQL审计日志保留天数满足指定要求 | RDS实例MySQL类型数据库开启SQL审计且日志保留天数大于等于指定值,视为“合规”。 | 6.4 | Ensure that 'Auditing' Retention is 'greater than 6 months'. |
RDS实例开启TDE加密 | RDS实例的数据安全性设置开启TDE加密,视为“合规”。 | 6.5 | Ensure that 'TDE' is set to 'Enabled' on for applicable database instance. |
RDS实例PostgreSQL类型数据库参数log_connections设置为on | RDS实例PostgreSQL类型数据库参数log_connections设置为on,视为“合规”。 | 6.7 | Ensure parameter 'log_connections' is set to 'ON' for PostgreSQL Database. |
RDS实例PostgreSQL类型数据库参数log_disconnections设置为on | RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。 | 6.8 | Ensure server parameter 'log_disconnections' is set to 'ON' for PostgreSQL Database Server. |
RDS实例PostgreSQL类型数据库参数log_duration设置为on | RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。 | 6.9 | Ensure server parameter 'log_duration is set to 'ON' for PostgreSQL Database Server. |
ACK集群节点安装云监控插件 | ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。 | 7.2 | Ensure CloudMonitor is set to Enabled on Kubernetes Engine Clusters. |
ACK集群使用Terway网络插件 | ACK集群使用Terway网络插件,视为“合规”。 | 7.7 | Ensure Network policy is enabled on Kubernetes Engine Clusters. |
7.8 | Ensure ENI multiple IP mode support for Kubernetes Cluster. | ||
ACK集群未设置公网连接端点 | ACK集群未设置公网连接端点,视为“合规”。 | 7.9 | Ensure Kubernetes Cluster is created with Private cluster enabled. |
使用云安全中心企业版 | 使用云安全中心企业版或者更高级别的版本,视为“合规”。 | 8.1 | Ensure that Security Center is Advanced or Enterprise Edition. |
云安全中心通知项目已设置通知方式 | 云安全中心通知项目均已设置通知方式,视为“合规”。 | 8.5 | Ensure that notification is enabled on all high risk items. |