RMiT金融标准检查合规包

RMiT金融标准检查合规包基于马来西亚金融行业通用的IT风险控制标准,持续检查云上IT系统的合规性。本文为您介绍RMiT金融标准检查合规包中的默认规则。

规则名称

规则描述

开启操作审计全量日志跟踪

操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员,当管理员有创建应用到所有成员的跟踪时,视为“合规”。

操作审计跟踪状态为开启

操作审计跟踪状态为开启,视为“合规”。

OSS存储空间使用自定义KMS密钥加密

OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。

ECS磁盘设置自动快照策略

ECS磁盘设置了自动快照策略,视为“合规”。

ECS数据磁盘开启加密

ECS数据磁盘已开启加密,视为“合规”。

ECS实例禁止绑定公网地址

ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。

使用专有网络类型的ECS实例

如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用半角逗号(,)分隔。

SLB使用证书为阿里云签发

SLB使用证书为阿里云签发,视为“合规”。

SLB服务器证书在有效期内

SLB服务器证书在有效期内,视为”合规“。

SLB实例开启释放保护

SLB实例开启释放保护,视为“合规”。

SLB开启HTTPS监听

SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。

RAM用户组非空

RAM用户组至少包含一个RAM用户,视为“合规”。

RAM用户密码策略符合要求

RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

不存在超级管理员

RAM用户、RAM用户组、RAM角色均未拥有Resource*Action*的超级管理员权限,视为“合规”。

阿里云账号不存在AccessKey

阿里云账号不存在任何状态的AccessKey,视为“合规”。

RAM用户归属用户组

所有RAM用户均归属于RAM用户组,视为“合规”。

RAM用户开启MFA

开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。

不直接授权给RAM用户

RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。

RAM用户在指定时间内有登录行为

如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。

RDS实例禁止配置公网地址

RDS实例未配置公网地址,视为“合规”。生产环境的RDS实例不推荐配置公网直接访问,容易被黑客攻击。

RDS实例开启历史事件

RDS实例开启历史事件日志,视为“合规”。

使用多可用区的RDS实例

RDS实例为多可用区实例,视为“合规”。

RDS实例开启TDE加密

RDS实例的数据安全性设置开启TDE加密,视为“合规”。

OSS存储空间开启日志转存

OSS存储空间的日志管理中开启日志转存,视为“合规”。

OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限

为读写权限公开的OSS存储空间设置授权策略,并且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。读写权限为私有的OSS存储空间视为“不适用”。

OSS存储空间开启服务端加密

OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

OSS存储空间开启服务端KMS加密

OSS存储空间开启服务端KMS加密,视为“合规”。

OSS存储空间开启版本控制

如果没有开启版本控制,会导致数据被覆盖或删除时无法恢复。如果开启版本控制则视为"合规"。

VPC开启流日志记录

VPC已开启流日志(Flowlog)记录功能,视为“合规”。

IPsecVPN连接正常

IPsec VPN连接状态为“已建立”,视为“合规”。

WAF实例开启日志采集

已接入WAF2.0进行防护的域名均开启日志采集,视为“合规”。

OSS存储空间权限策略设置安全访问

OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间视为“不适用”。

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

密钥管理服务设置主密钥自动轮转

对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。

使用专有网络服务的Elasticsearch实例

如果指定参数,则检查Elasticsearch实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查Easticsearch实例的网络类型为专有网络,视为“合规”。