您可以在云治理中心统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。
防护规则列表
根据最佳实践的指导,您可以根据情况开启以下三类规则:
- 必选规则:基础防护类规则,强制开启。开启后,您不能自行关闭。
- 推荐规则:安全合规类规则,推荐开启。您可以选择需要开启的规则,开启后,您可以自行关闭。
- 可选规则:您可以根据实际情况选择需要开启的规则。开启后,您可以自行关闭。
| 规则名称 | 规则说明 | 作用节点 | 用途 | 开启指导 |
|---|---|---|---|---|
| 云治理中心指定存储审计日志的OSS存储空间开启服务端加密 | 云治理中心指定存储审计日志的OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 | 日志账号 | 合规审计 | 必选 |
| 云治理中心指定存储审计日志的OSS存储空间未开启公共读写 | 云治理中心指定存储审计日志的OSS存储空间,ACL策略禁止公共读写,视为“合规”。 | 日志账号 | 合规审计 | 必选 |
| 资源目录内所有云账号不存在AccessKey | 资源目录内所有云账号不存在任何状态的AccessKey,视为“合规”。 | 资源目录 | 身份权限 | 必选 |
| 资源目录内所有云账号开启MFA认证 | 资源目录内所有云账号开启MFA认证,视为“合规”。 | 资源目录 | 身份权限 | 必选 |
| 云治理中心用于提供服务的指定角色存在 | 根据名称检查云治理中心用于提供服务的指定角色存在,视为“合规”。 | 日志账号 | 云治理中心 | 必选 |
| 所有ECS数据磁盘开启加密 | 所有ECS数据磁盘已开启加密,视为“合规”。 | 资源目录 | 数据安全 | 推荐 |
| 安全组不允许对全部网段开启风险端口 | 当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。 | 资源目录 | 网络安全 | 推荐 |
| 安全组入网设置有效 | 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。 | 资源目录 | 网络安全 | 推荐 |
| 所有OSS存储空间未开启公共读写 | 所有OSS存储空间,ACL策略禁止公共读写,视为“合规”。 | 资源目录 | 数据安全 | 推荐 |
| 使用专有网络类型的RDS实例 | 如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个规格用英文逗号(,)分隔。 | 资源目录 | 资源管理 | 推荐 |
| RDS实例开启TDE加密 | RDS实例的数据安全性设置开启TDE加密,视为“合规”。 | 资源目录 | 数据安全 | 推荐 |
| RDS白名单未设置为全网段 | RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。 | 资源目录 | 数据安全 | 推荐 |
| RAM用户密码策略符合要求 | RAM用户密码策略中各项配置符合访问控制的配置,视为“合规”。 | 资源目录 | 身份权限 | 推荐 |
| RAM用户不存在闲置AccessKey | RAM用户AccessKey的最后使用时间小于参数设置的时间,视为“合规”。默认值:90天。 | 资源目录 | 身份权限 | 推荐 |
| ECS实例开启释放保护 | ECS实例开启释放保护,视为“合规”。 | 资源目录 | 资源管理 | 推荐 |
| SLB实例开启释放保护 | SLB实例开启释放保护,视为“合规”。 | 资源目录 | 资源管理 | 推荐 |
| 所有OSS存储空间开启服务端加密 | OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 | 资源目录 | 数据安全 | 可选 |
| 所有OSS存储空间已开启日志存储 | OSS存储空间的日志管理中开启日志存储,视为“合规”。 | 资源目录 | 数据安全 | 可选 |
| RAM用户开启MFA认证 | RAM用户开启MFA,视为“合规”。 | 资源目录 | 身份权限 | 可选 |
| 资源必须具备指定标签中的至少一项 | 参数可指定一个标签的多种取值,资源具备其中一种取值,视为“合规”。 | 资源目录 | 资源管理 | 可选 |
| 资源必须具备所有指定标签 | 最多可定义6组标签,资源需同时具有指定的所有标签,视为“合规”。 | 资源目录 | 资源管理 | 可选 |
| SLB开启HTTPS监听 | SLB开启HTTPS监听80/8080端口,视为“合规”。 | 资源目录 | 资源管理 | 可选 |
| 资源归属指定区域范围 | 资源归属于参数指定的区域范围,视为“合规”。 | 资源目录 | 资源管理 | 可选 |
| RAM用户在指定时间内有登录行为 | 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 | 资源目录 | 身份权限 | 可选 |
防护规则初始化
管理防护规则
防护规则初始化成功后,您可以管理防护规则。包括查看规则详情、查看资源合规结果、打开或关闭推荐规则和可选规则的开关。