云治理中心合规实践

云治理中心合规实践是基于云治理中心的最佳实践,对多账号环境的安全性做持续检测。本文为您介绍账号权限合规管理最佳实践合规包中的默认规则。

规则名称

规则描述

OSS存储空间开启服务端加密

OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

OSS存储空间ACL禁止公共读写

OSS存储空间的ACL策略禁止公共读写,视为“合规”。

OSS存储空间ACL禁止公共读

OSS存储空间的ACL策略禁止公共读,视为“合规”。

阿里云账号不存在AccessKey

阿里云账号不存在任何状态的AccessKey,视为“合规”。

阿里云账号开启MFA

阿里云账号开启MFA,视为“合规”。

ECS数据磁盘开启加密

ECS数据磁盘已开启加密,视为“合规”。

安全组不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

使用专有网络类型的RDS实例

如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用半角逗号(,)分隔。

RDS实例开启TDE加密

RDS实例的数据安全性设置开启TDE加密,视为“合规”。

RDS实例禁止配置公网地址

RDS实例未配置公网地址,视为“合规”。生产环境的RDS实例不推荐配置公网直接访问,容易被黑客攻击。

RAM用户密码策略符合要求

RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

RAM用户不存在闲置AccessKey

RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。

ECS实例开启释放保护

ECS实例开启释放保护,视为“合规”。

SLB实例开启释放保护

SLB实例开启释放保护,视为“合规”。

阿里云账号拥有指定名称的角色

阿里云账号拥有指定名称的角色,视为“合规”。

RAM用户开启MFA

开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。

SLB开启HTTPS监听

SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。

资源归属指定区域范围

资源归属于参数指定的区域范围,视为“合规”。

RAM用户在指定时间内有登录行为

如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。

匹配指定标签

资源匹配参数指定的标签键值对,视为“合规”。标签输入大小写敏感,支持通配符*?。支持用逗号分隔多个值,输入多个值时,匹配其中任意一个就视为“合规”。

存在所有指定标签

最多可定义6组标签,资源需同时具有指定的所有标签,视为“合规”。标签输入大小写敏感,每组最多只能输入一个值。

OSS存储空间开启日志转存

OSS存储空间的日志管理中开启日志转存,视为“合规”。