等保三级预检合规包

基于等保2.0三级的部分要求,对阿里云上资源的合规性做检测。合规包模板为您提供通用的合规性框架,通过输入规则参数和修正设置,可以帮助您快速创建符合目标场景的合规包。规则的“合规”仅指符合规则定义本身的合规性描述,不确保您符合特定法规或行业标准的所有要求。

规则名称

编号

编号描述

规则描述

弹性IP实例带宽满足最低要求

8.1.2.1

b)应保证网络各个部分的带宽满足业务高峰期需要。

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

弹性IP实例可用带宽大于等于指定参数值,视为“合规”。默认值:10MB。

SLB实例满足指定带宽要求

SLB实例可用带宽大于等于指定参数值,视为“合规”。默认值:10MB。

CEN实例中的跨地域连接带宽分配满足指定要求

云企业网实例下所有跨地域连接分配的带宽大于参数指定值,视为“合规”。参数默认值:1Mbps。

SNAT条目绑定多个EIP时带宽峰值设置一致

NAT网关中SNAT条目绑定的多个EIP,加入共享带宽包或者所绑定的EIP带宽峰值设置一致,视为“合规”。VPC NAT网关不适用本规则,视为“不适用”。

使用专有网络类型的ECS实例

如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用英文逗号(,)分隔。

使用专有网络类型的RDS实例

如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用英文逗号(,)分隔。

使用专有网络类型的Redis实例

如果指定参数,则检查Redis实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查Redis实例的网络类型为专有网络,视为“合规”。

SLB实例的HTTPS监听使用指定的安全策略套件

8.1.2.2

b)应采用密码技术保证通信过程中数据的保密性。

SLB实例的所有HTTPS类型监听使用参数指定的安全策略套件版本,视为“合规”。未设置HTTPS类型监听的SLB实例,视为“不适用”。

RDS实例开启SSL并使用指定的TLS版本

RDS实例开启SSL同时使用的TLS版本在参数指定的版本范围内,视为“合规”。

OSS存储空间权限策略设置安全访问

OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间视为“不适用”。

CDN域名开启TLS13版本检测

检测CDN域名是否启用TLS1.3,启用视为“合规”。

PolarDB集群设置SSL加密

PolarDB集群设置了SSL加密,视为“合规”。

API网关中API分组的HTTPS安全策略满足要求

API网关中的API分组设置的HTTPS安全策略在指定的参数列表中,视为“合规”。

OSS存储空间不能为匿名账号授予任何权限

OSS Bucket授权策略中未授予匿名账号任何读写权限,视为“合规”。若OSS Bucket未设置任何授权策略,视为“合规”。

安全组入网设置有效

8.1.3.1

8.1.3.2

8.1.3.1

a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

开启公网IP的RDS实例白名单未对所有来源开放

RDS实例为开启公网IP,或者开启白名单未设置为对所有来源IP开放,视为“合规”。

容器镜像服务实例白名单检测

容器镜像服务实例白名单不存在任意IP条目,视为“合规”,适用于企业版。

Elasticsearch实例未开启公网或不允许任意IP访问

Elasticsearch实例未开启公网访问,或者白名单未设置为对所有IP开放,视为“合规”。

容器镜像服务实例未打开公网访问入口

容器镜像服务实例未打开公网访问入口,视为“合规”,适用于企业版。

Redis实例未开启公网或安全白名单未设置为允许任意来源访问

Redis实例未开公网或安全白名单未设置为允许任意来源访问,视为“合规”。Redis实例存在公网且允许任意来源访问,如果同时满足视为“不合规”。

安全组指定协议不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

NAT网关不允许映射指定的风险端口

NAT网关DNAT映射端口不包含指定的风险端口,视为“合规”。

NAS文件系统使用的权限组未对所有来源开放

8.1.3.1

a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查

NAS文件系统使用的权限组未对所有访问来源开放,视为“合规”。文件系统未添加挂载点或关联权限组未添加任何规则视为“不适用”。

Bukect策略组织外授权检测

OSS bucket如果未开启公共读且分析结果未发现组织外授权,视为“合规”。如果bucket policy分析结果显示无法分析,视为”不合规“;如果bucket policy分析结果全部存在于资源目录,视为“合规”;如果存在资源目录下账号之外的授权,判定为组织外授权,评估为“不合规”。

OSS存储空间ACL禁止公共读

OSS存储空间的ACL策略禁止公共读,视为“合规”。

ACK集群未设置公网连接端点

ACK集群未设置公网连接端点,视为“合规”。

运行中的ECS实例未绑定公网地址

运行中的ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。

SLB实例未绑定公网IP

SLB实例未绑定公网IP,视为“合规”。如果没有公网需求,建议SLB实例不要直接绑定公网IP地址。如果有公网需求,建议购买EIP并和相关SLB实例进行绑定,使用EIP更加灵活、同时可使用共享带宽降低成本。

Redis实例开启密码认证

Redis实例专有网络下开启密码认证,视为”合规“。

专有网络ACL未开放风险端口

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。

当专有网络访问控制入方向规则目的地址设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。

SLB实例所有运行中的监听都设置访问控制

8.1.3.2

SLB实例所有运行中的监听都设置了访问控制,视为“合规”。未配置监听的实例不适用本规则,视为“不适用”。

ALB实例所有运行中的监听都设置访问控制

8.1.3.2

ALB实例所有运行中的监听都设置了访问控制,视为“合规”。未配置监听的实例不适用本规则,视为“不适用”。

SLB访问控制列表不允许配置所有地址段

8.1.3.2

SLB访问控制列表中不包含0.0.0.0/0条目,视为“合规”。

OSS存储空间授权策略设置IP限制

8.1.3.2

OSS Bucket读写权限设置为私有,或者授权策略中包含只允许特定IP访问的策略,视为“合规”。

SLB实例监听端口不包含指定端口

8.1.3.2

SLB实例监听的端口不包含指定的风险端口,视为“合规”。

OSS存储空间开启防盗链

8.1.3.2

OSS存储空间访问来源白名单不为空,而且是否允许空Referer的设置和指定的参数值保持一致,视为“合规”。

PolarDB实例未开启公网或IP白名单未设置为全网段

8.1.3.2

检测账号下PolarDB实例开启公网且允许任意来源公网访问,同时满足视为“不合规”。

使用Web防火墙对网站或APP进行安全防护

8.1.3.3

8.1.3.4

8.1.4.4

8.1.5.4

8.1.3.3

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。

c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。

d)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

8.1.3.4

a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。

b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。

8.1.4.4

e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

8.1.5.4

d)应对分散在各个设备上的审计数据进行收集、汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。

e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。

使用Web防火墙对网站或APP进行安全防护,视为“合规”。

使用云安全中心企业版

使用云安全中心企业版或者更高级别的版本,视为“合规”。

使用DDoS防护防止DDoS攻击风险

8.1.3.3

8.1.4.4

8.1.5.4

8.1.3.3

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。

c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。

d)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

8.1.4.4

e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

8.1.5.4

d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。

e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。

使用DDoS防护防止DDoS攻击风险,视为“合规”。

使用云防火墙对网络边界进行安全防护

使用云防火墙对网络边界进行安全防护,视为“合规”。

云防火墙中资产开启保护

8.1.3.3

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。

c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。

d)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

云防火墙中资产开启保护,视为“合规”。本规则只对云防火墙付费用户有效,未开通云防火墙或者免费用户资产无检测数据。

在云安全中心开启指定类型的主动防御

8.1.3.5

8.1.5.4

8.1.3.5

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

8.1.5.4

d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。

在云安全中开启了参数指定的主动防御类型,视为“合规”。

WAF3实例开启指定防护规则

8.1.3.5

8.1.5.4

WAF3.0实例开启指定防护场景的规则,视为“合规”。

开启操作审计全量日志跟踪

8.1.3.5

8.1.5.4

操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。

RDS实例开启SQL审计

8.1.3.5

8.1.5.4

RDS实例的SQL审计状态为开启,视为“合规”。

ADB集群开启SQL审计日志

8.1.3.5

8.1.5.4

ADB集群开启SQL审计日志,视为“合规”。

VPC开启流日志记录

8.1.3.5

8.1.5.4

VPC已开启流日志(Flowlog)记录功能,视为“合规”。

RAM用户密码策略符合要求

8.1.4.1

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

阿里云账号开启MFA

8.1.4.1

阿里云账号开启MFA,视为“合规”。

RAM用户开启MFA

8.1.4.1

开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。

RAM用户在指定时间内有登录行为

8.1.4.2

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。

d)应授予管理用户所需的最小权限,实现管理用户的权限分离。

如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。

不存在闲置的RAM权限策略

8.1.4.2

RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。

RAM用户组非空

8.1.4.2

RAM用户组至少包含一个RAM用户,视为“合规”。

不直接授权给RAM用户

8.1.4.2

RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。

RAM用户不存在闲置AccessKey

8.1.4.2

RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。

不存在超级管理员

8.1.4.2

RAM用户、RAM用户组、RAM角色均未拥有Resource为*且Action为*的超级管理员权限,视为“合规”。

RAM用户访问设置人员和程序分离

8.1.4.2

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。

d)应授予管理用户所需的最小权限,实现管理用户的权限分离。

RAM用户未同时开启控制台访问和API调用访问,视为“合规”。

运行中的ECS实例开启云安全中心防护

8.1.4.4

e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件则视为"合规"。非运行中状态的实例不适用本规则,视为“不适用”。

运行中的ECS实例无待修复漏洞

8.1.4.4

ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

云安全中心通知项目已设置通知方式

8.1.4.4

云安全中心通知项目均已设置通知方式,视为“合规”。

OSS存储空间开启服务端加密

8.1.4.8

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

使用中的ECS数据磁盘开启加密

8.1.4.8

使用中的ECS数据磁盘已开启加密,视为“合规”。

ACK集群配置Secret的落盘加密

8.1.4.8

ACK集群配置Secret的落盘加密,视为“合规”。非专业托管版集群视为“不适用”。

Redis实例开启TDE加密

8.1.4.8

Redis实例开启TDE加密,视为”合规“。

RDS实例开启云盘加密

8.1.4.8

RDS实例开启了云盘加密,视为”合规“。本地盘或者不支持云盘加密的规格实例视为“不适用”。

日志服务日志库设置数据加密

8.1.4.8

日志服务日志库设置了数据加密,视为“合规”。

PolarDB集群开启TDE

8.1.4.8

PolarDB集群开启TDE,视为“合规”。

ECS磁盘设置自动快照策略

8.1.4.9

a)应提供重要数据的本地数据备份与恢复功能。

b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

ECS磁盘设置了自动快照策略,视为“合规”。状态非使用中的磁盘、不支持设置自动快照策略的磁盘、ACK集群挂载的非持久化使用场景的磁盘视为“不适用”。

PolarDB集群数据二级备份保留周期满足指定要求

8.1.4.9

PolarDB集群二级备份保留周期大于等于指定天数,视为“合规”。参数默认值30天。未开启二级备份或备份保留周期小于指定天数视为“不合规”。

为NAS文件系统创建备份计划

8.1.4.9

为NAS文件系统创建备份计划,视为“合规”。

RDS实例开启日志备份

8.1.4.9

RDS实例开启日志备份视为"合规"。

OSS存储空间开启版本控制

8.1.4.9

如果没有开启版本控制,会导致数据被覆盖或删除时无法恢复。如果开启版本控制则视为"合规"。

Elasticsearch实例开启自动备份

8.1.4.9

Elasticsearch实例开启了自动备份,视为“合规”。

MongoDB实例打开日志备份

8.1.4.9

MongoDB实例开启日志备份,视为“合规”。

为RDS创建灾备实例

8.1.4.9

为RDS实例创建灾备实例,视为“合规”。当RDS实例所在可用地域发生故障时,可基于灾备实例快速恢复服务。

OSS存储空间开启同城冗余存储

8.1.4.9

如果没有开启同城冗余存储,会导致当出现某个机房不可用时,OSS服务无法提供一致性服务,影响数据恢复目标。OSS存储空间开启同城冗余存储,视为“合规”。

使用多可用区的ALB实例

8.1.4.9

ALB实例为多可用区实例,视为“合规”。如果只选择了一个可用区,当这个可用区出现故障时,会影响ALB实例,进而影响业务稳定性。

使用多可用区的RDS实例

8.1.4.9

RDS实例为多可用区实例,视为“合规”。

为PolarDB集群开启热备集群

8.1.4.9

PolarDB集群开启存储热备集群,数据分布在多个可用区,视为“合规”。

使用多可用区MongoDB实例

8.1.4.9

使用多可用区的MongoDB实例,视为“合规”。

使用区域级多可用区集群

8.1.4.9

使用区域级ACK集群,节点分布在3个及以上可用区,视为“合规”。

Redis实例为多可用区实例

8.1.4.9

Redis实例为多可用区实例,视为“合规”。

使用多可用区Elasticsearch实例

8.1.4.9

使用多可用区的Elasticsearch实例,视为“合规”。

使用多可用区SLB实例并为服务器组配置多个可用区资源

8.1.4.9

SLB实例为多可用区,并且SLB实例下所有监听使用的服务器组中添加了多个可用区的资源,视为“合规”。