网络及数据安全最佳实践中的规则及其建议项_配置审计(CloudConfig)-阿里云帮助中心

从网络架构和数据安全等方面进行全面检测，以确保系统和数据进行了合理的设置和保护，有效减少网络和数据泄露的风险，请参考CIS Benchmarks文件要求。本文为您介绍网络及数据安全最佳实践中的默认规则。

规则名称	规则描述
使用中的ECS数据磁盘开启加密	使用中的ECS数据磁盘已开启加密，视为“合规”。
使用专有网络类型的ECS实例	如果未指定参数，则检查ECS实例的网络类型为专有网络；如果指定参数，则检查ECS实例的专有网络实例在指定参数范围内，视为“合规”。多个参数值用英文逗号（,）分隔。
OSS存储空间开启服务端加密	OSS存储空间开启服务端OSS完全托管加密，视为“合规”。
RDS实例禁止配置公网地址	RDS实例未配置公网地址，视为“合规”。生产环境的RDS实例不推荐配置公网直接访问，容易被黑客攻击。
RAM用户开启MFA	开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA，视为“合规”。
阿里云账号不存在AccessKey	阿里云账号不存在任何状态的AccessKey，视为“合规”。
阿里云账号开启MFA	阿里云账号开启MFA，视为“合规”。
RAM用户密码策略符合要求	RAM用户密码策略中各项配置满足参数设置的值，视为“合规”。
不存在超级管理员	RAM用户、RAM用户组、RAM角色均未拥有Resource为且Action为的超级管理员权限，视为“合规”。
不直接授权给RAM用户	RAM用户没有直接绑定权限策略，视为“合规”。推荐RAM用户从RAM组或角色继承权限。
OSS存储空间开启日志转存	OSS存储空间的日志管理中开启日志转存，视为“合规”。
OSS存储空间使用自定义KMS密钥加密	OSS存储空间使用了自定义的KMS密钥加密，视为“合规”。
RDS实例开启SQL审计	RDS实例的SQL审计状态为开启，视为“合规”。
RDS实例SQL审计日志保留天数满足指定要求	RDS Mysql类型实例开启SQL审计且日志保留天数大于等于指定值，视为“合规”。默认值：180天。
PostgreSQL数据库参数log_connections设置为on	RDS实例PostgreSQL类型数据库参数log_connections设置为on，视为“合规”。
PostgreSQL数据库参数log_disconnections设置为on	RDS实例PostgreSQL类型数据库参数log_disconnections设置为on，视为“合规”。
PostgreSQL数据库参数log_duration设置为on	RDS实例PostgreSQL类型数据库参数log_duration设置为on，视为“合规”。
OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限	为读写权限公开的OSS Bucket设置授权策略，并且授权策略中不能为匿名账号授予任何读写的操作权限，视为“合规”。读写权限为私有的OSS Bucket，视为“不适用”。
OSS存储空间权限策略设置安全访问	OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS，或者拒绝访问的访问方式设置为HTTP，视为“合规”。权限策略为空的OSS存储空间，视为“不适用”。
OSS存储空间授权策略设置IP限制	OSS Bucket读写权限设置为私有，或者授权策略中包含只允许特定IP访问的策略，视为“合规”。
OSS存储空间ACL禁止公共读写	OSS存储空间的ACL策略禁止公共读写，视为“合规”。
OSS存储空间ACL禁止公共读	OSS存储空间的ACL策略禁止公共读，视为“合规”。
账号下所有ECS实例已安装云安全中心代理	账号下所有ECS实例均已安装云安全中心代理，视为“合规”。
所有ECS实例漏洞都已修复	云安全中心发现的所有ECS实例的漏洞都已修复，视为“合规”。
VPC自定义网段已设置路由	VPC自定义网段在关联路由表中存在至少一条网段内IP的路由信息，视为“合规”。
RAM用户在指定时间内有登录行为	如果RAM用户在最近90天有登录行为，视为“合规”。如果RAM用户的最近登录时间为空，则检查更新时间，当更新时间小于等于90天时，视为“合规”。未开启控制台访问的用户，视为“不适用”。
RAM用户的AccessKey在指定时间内轮换	RAM用户下AccessKey的创建时间距离检查时间不超过指定天数，视为“合规”。默认值：90天。
VPC开启流日志记录	VPC已开启流日志（Flowlog）记录功能，视为“合规”。
RDS实例开启TDE加密	RDS实例的数据安全性设置开启TDE加密，视为“合规”。
RDS实例使用SSL证书	RDS实例的数据安全性设置开启SSL证书，视为“合规”。
开启操作审计全量日志跟踪	操作审计中存在开启状态的跟踪，且跟踪全部地域和全部事件类型，视为“合规”。如果是资源目录成员账号，当管理员有创建应用到所有成员账号的跟踪时，视为“合规”。
WAF实例开启日志采集	已接入WAF2.0进行防护的域名均开启日志采集，视为“合规”。
ACK集群使用Terway网络插件	ACK集群使用Terway网络插件，视为“合规”。
ACK集群未设置公网连接端点	ACK集群未设置公网连接端点，视为“合规”。
ACK集群节点安装云监控插件	ACK集群节点均已安装云监控插件，且插件运行状态正常，视为“合规”。
云安全中心通知项目已设置通知方式	云安全中心通知项目均已设置通知方式，视为“合规”。
使用云安全中心企业版	使用云安全中心企业版或者更高级别的版本，视为“合规”。
安全组指定协议不允许对全部网段开启风险端口	当安全组入网网段设置为0.0.0.0/0时，指定协议的端口范围不包含指定风险端口，视为“合规”。若入网网段未设置为0.0.0.0/0时，即使端口范围包含指定的风险端口，也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝，视为“合规”。云产品或虚商所使用的安全组，视为“不适用”。
运行中的ECS实例开启云安全中心防护	通过在主机上安装云安全中心插件，提供主机的安全防护服务。如果有安装云安全中心插件则视为"合规"。非运行中状态的实例不适用本规则，视为“不适用”。
在云安全中心设置指定等级的漏洞扫描	在云安全中心设置指定风险等级的漏洞扫描，视为“合规”。
RDS实例使用自定义密钥开启TDE	RDS实例使用自定义密钥开启TDE，视为“合规”。