您可以在云治理中心统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。

防护规则列表

根据最佳实践的指导,您可以根据情况开启以下三类规则:

  • 必选规则:基础防护类规则,强制开启。开启后,您不能自行关闭。
  • 推荐规则:安全合规类规则,推荐开启。您可以选择需要开启的规则,开启后,您可以自行关闭。
  • 可选规则:您可以根据实际情况选择需要开启的规则。开启后,您可以自行关闭。
规则名称 规则说明 作用节点 用途 开启指导
云治理中心指定存储审计日志的OSS存储空间开启服务端加密 云治理中心指定存储审计日志的OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 日志账号 合规审计 必选
云治理中心指定存储审计日志的OSS存储空间未开启公共读写 云治理中心指定存储审计日志的OSS存储空间,ACL策略禁止公共读写,视为“合规”。 日志账号 合规审计 必选
资源目录内所有云账号不存在AccessKey 资源目录内所有云账号不存在任何状态的AccessKey,视为“合规”。 资源目录 身份权限 必选
资源目录内所有云账号开启MFA认证 资源目录内所有云账号开启MFA认证,视为“合规”。 资源目录 身份权限 必选
云治理中心用于提供服务的指定角色存在 根据名称检查云治理中心用于提供服务的指定角色存在,视为“合规”。 日志账号 云治理中心 必选
所有ECS数据磁盘开启加密 所有ECS数据磁盘已开启加密,视为“合规”。 资源目录 数据安全 推荐
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。 资源目录 网络安全 推荐
安全组入网设置有效 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。 资源目录 网络安全 推荐
所有OSS存储空间未开启公共读写 所有OSS存储空间,ACL策略禁止公共读写,视为“合规”。 资源目录 数据安全 推荐
使用专有网络类型的RDS实例 如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个规格用英文逗号(,)分隔。 资源目录 资源管理 推荐
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。 资源目录 数据安全 推荐
RDS白名单未设置为全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。 资源目录 数据安全 推荐
RAM用户密码策略符合要求 RAM用户密码策略中各项配置符合访问控制的配置,视为“合规”。 资源目录 身份权限 推荐
RAM用户不存在闲置AccessKey RAM用户AccessKey的最后使用时间小于参数设置的时间,视为“合规”。默认值:90天。 资源目录 身份权限 推荐
ECS实例开启释放保护 ECS实例开启释放保护,视为“合规”。 资源目录 资源管理 推荐
SLB实例开启释放保护 SLB实例开启释放保护,视为“合规”。 资源目录 资源管理 推荐
所有OSS存储空间开启服务端加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 资源目录 数据安全 可选
所有OSS存储空间已开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。 资源目录 数据安全 可选
RAM用户开启MFA认证 RAM用户开启MFA,视为“合规”。 资源目录 身份权限 可选
资源必须具备指定标签中的至少一项 参数可指定一个标签的多种取值,资源具备其中一种取值,视为“合规”。 资源目录 资源管理 可选
资源必须具备所有指定标签 最多可定义6组标签,资源需同时具有指定的所有标签,视为“合规”。 资源目录 资源管理 可选
SLB开启HTTPS监听 SLB开启HTTPS监听80/8080端口,视为“合规”。 资源目录 资源管理 可选
资源归属指定区域范围 资源归属于参数指定的区域范围,视为“合规”。 资源目录 资源管理 可选
RAM用户在指定时间内有登录行为 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 资源目录 身份权限 可选

防护规则初始化

您可以通过初始化任务开启必选规则和推荐规则。

  1. 登录云治理中心控制台
  2. 在左侧导航栏,单击初始化任务
  3. 初始化任务页面,单击防护规则初始化任务
  4. 单击开始
  5. 查看必选规则,然后单击创建
    关于必选规则列表,请参见防护规则列表中的必选规则。
  6. 等待必选规则开启完成后,单击下一步
  7. 选择推荐规则,然后单击创建
    关于推荐规则列表,请参见防护规则列表中的推荐规则。
  8. 等待推荐规则开启完成后,单击完成
  9. 单击关闭

开启可选的防护规则

您可以根据实际需要,开启可选的防护规则。

  1. 在左侧导航栏,选择管理与治理 > 合规审计 > 防护规则
  2. 在防护规则列表中,单击您需要的可选规则名称。
  3. 规则详情页签,打开规则开关。

查看合规结果

开启防护规则后,您可以查看规则对资源的评估结果。

  1. 在左侧导航栏,选择管理与治理 > 合规审计 > 防护规则
  2. 在防护规则列表的风险列,查看规则对资源的评估结果是否合规。
  3. 单击目标规则名称,然后单击检测结果页签,查看具体资源的合规结果详情。