文档

统一配置防护规则

更新时间:

您可以在云治理中心统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。

防护规则初始化

  1. 登录云治理中心控制台

  2. 在左侧导航栏,单击Landing Zone搭建

  3. 选择蓝图,然后单击搭建

    本文以标准蓝图为例。

  4. 配置蓝图页面的已添加搭建项区域,单击防护规则

  5. 选择需要开启的防护规则。

    必选规则会默认选中,您可以选择推荐或可选规则。

管理防护规则

防护规则初始化成功后,您可以管理防护规则。包括查看规则详情、查看资源合规结果、打开或关闭推荐规则和可选规则的开关。

  1. 登录云治理中心控制台

  2. 在左侧导航栏,选择多账号管理 > 防护规则

  3. 概览区域,查看发现风险规则已开启规则未开启规则最近修改时间

  4. 防护规则区域,单击目标防护规则名称,管理防护规则。

    • 规则详情页签,查看规则详情。同时,您可以打开或关闭推荐规则和可选规则的开关。

    • 检测结果页签,查看资源的合规结果。

防护规则列表

根据最佳实践的指导,您可以根据情况开启以下三类规则:

  • 必选规则:基础防护类规则,强制开启。开启后,您不能自行关闭。

  • 推荐规则:安全合规类规则,推荐开启。您可以选择需要开启的规则,开启后,您可以自行关闭。

  • 可选规则:您可以根据实际情况选择需要开启的规则。开启后,您可以自行关闭。

规则名称

规则说明

作用节点

开启指导

云治理中心指定存储审计日志的OSS存储空间未开启公共读写

云治理中心指定存储审计日志的OSS存储空间,ACL策略禁止公共读写,视为“合规”。

日志账号

必选

云治理中心指定存储审计日志的OSS存储空间开启服务端加密

云治理中心指定存储审计日志的OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

日志账号

必选

云治理中心用于提供服务的指定角色存在

根据名称检查云治理中心用于提供服务的指定角色存在,视为“合规”。

日志账号

可选

禁止删除存储审计日志的OSS存储空间

禁止删除日志账号中由云治理中心创建的,用来存储审计日志的OSS存储空间。

Core文件夹

必选

禁止修改存储审计日志的OSS存储空间加密配置

对于日志账号中由云治理中心创建的,用来存储审计日志的OSS存储空间,禁止修改其加密配置。

Core文件夹

必选

禁止修改存储审计日志的OSS存储空间生命周期

对于日志账号中由云治理中心创建的,用来存储审计日志的OSS存储空间,禁止修改其生命周期配置。

Core文件夹

必选

禁止修改云治理中心用于提供服务的指定角色

禁止修改云治理中心用于提供服务的指定角色。

Core文件夹

必选

禁止停用配置审计功能

开启配置审计,用以进行资源与合规审计。

Core文件夹

必选

资源目录内所有云账号不存在AccessKey

资源目录内所有云账号不存在任何状态的AccessKey,视为“合规”。

资源目录全局

推荐

资源目录内所有云账号开启MFA认证

资源目录内所有云账号开启MFA认证,视为“合规”。

资源目录全局

推荐

所有ECS数据磁盘开启加密

所有ECS数据磁盘已开启加密,视为“合规”。

资源目录全局

推荐

安全组不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。

资源目录全局

推荐

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。

资源目录全局

推荐

所有OSS存储空间未开启公共读写

所有OSS存储空间,ACL策略禁止公共读写,视为“合规”。

资源目录全局

推荐

RDS实例开启TDE加密

RDS实例的数据安全性设置开启TDE加密,视为“合规”。

资源目录全局

推荐

使用专有网络类型的RDS实例

如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个规格用半角逗号(,)分隔。

资源目录全局

推荐

RDS白名单未设置为全网段

RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。

资源目录全局

推荐

OSS存储空间开启日志转存

OSS存储空间的日志管理中开启日志转存,视为“合规”。

资源目录全局

可选

RAM用户密码策略符合要求

RAM用户密码策略中各项配置符合访问控制的配置,视为“合规”。

资源目录全局

推荐

RAM用户不存在闲置AccessKey

RAM用户AccessKey的最后使用时间小于参数设置的时间,视为“合规”。默认值:90天。

资源目录全局

推荐

ECS实例开启释放保护

ECS实例开启释放保护,视为“合规”。

资源目录全局

推荐

SLB实例开启释放保护

SLB实例开启释放保护,视为“合规”。

资源目录全局

推荐

所有OSS存储空间开启服务端加密

OSS存储空间开启服务端OSS完全托管加密,视为“合规”。

资源目录全局

可选

RAM用户开启MFA认证

RAM用户开启MFA,视为“合规”。

资源目录全局

可选

资源必须具备指定标签中的至少一项

参数可指定一个标签的多种取值,资源具备其中一种取值,视为“合规”。

资源目录全局

可选

资源必须具备所有指定标签

最多可定义6组标签,资源需同时具有指定的所有标签,视为“合规”。

资源目录全局

可选

RAM用户在指定时间内有登录行为

如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。

资源目录全局

可选

SLB开启HTTPS监听

SLB开启HTTPS监听80/8080端口,视为“合规”。

资源目录全局

可选

资源归属指定区域范围

资源归属于参数指定的区域范围,视为“合规”。

资源目录全局

可选

WAF实例开启日志采集

已接入WAF进行防护的域名均开启日志采集,视为“合规”。

资源目录全局

可选

VPC开启流日志记录

VPC已开启流日志(Flowlog)记录功能,视为“合规”。

资源目录全局

可选

API网关中API分组绑定域名接入WAF

API网关中的API分组绑定自定义域名且域名接入了WAF防护,视为“合规”。

资源目录全局

可选

WAF防护域名开启指定防护功能

WAF防护域名开启指定防护功能模块,视为“合规”。

资源目录全局

可选

安全组指定协议不允许对全部网段开启风险端口

当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。

资源目录全局

可选

安全组非白名单端口入网设置有效

除指定的白名单端口外,其余端口不能有授权策略设置为允许而且来源为0.0.0.0/0的入方向规则,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。

资源目录全局

可选

OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限

为读写权限公开的OSS Bucket设置授权策略,并且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。读写权限为私有的OSS Bucket视为“不适用”。

资源目录全局

可选

ECS实例禁止绑定公网地址

ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。

资源目录全局

可选

RDS实例未开公网或IP白名单未设置为全网段

RDS实例开启公网且白名单设置为0.0.0.0/0,同时满足视为“不合规”。

资源目录全局

可选

PolarDB实例未开启公网或IP白名单未设置为全网段

检测账号下PolarDB实例开启公网且允许任意来源公网访问,同时满足视为“不合规”。

资源目录全局

可选

云防火墙中不存在未开启防护的资产

云防火墙中不存在未开启防护的资产,视为“合规”。本规则只对云防火墙付费用户有效,未开通云防火墙或者免费用户默认视为“合规”。

资源目录全局

可选

运行中的ECS实例开启云安全中心防护

通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件则视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

资源目录全局

可选

使用云安全中心企业版

使用云安全中心企业版或者更高级别的版本,视为“合规”。

资源目录全局

可选

运行中的ECS实例无待修复漏洞

ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

资源目录全局

可选

RDS实例开启SQL审计

RDS实例的SQL审计状态为开启,视为“合规”。

资源目录全局

可选

开启操作审计全量日志跟踪

操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。

资源目录全局

可选

RDS实例SQL审计日志保留天数满足指定要求

RDS MySQL类型实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。默认值:180天。

资源目录全局

可选

ECS自动快照保留天数满足指定要求

ECS自动快照策略设置快照保留天数大于设置的天数,视为“合规”。默认值:7天。

资源目录全局

可选

PolarDB集群的数据一级备份保留周期满足指定要求

PolarDB集群一级备份保留周期大于等于指定天数,视为“合规”。参数默认值7天。

资源目录全局

可选

PolarDB集群开启TDE

PolarDB集群开启TDE,视为“合规”。

资源目录全局

可选

密钥管理服务设置凭据自动轮转

密钥管理服务中的凭据设置自动轮转,视为“合规”。

资源目录全局

可选

密钥管理服务设置主密钥自动轮转

对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。

资源目录全局

可选

KMS主密钥开启删除保护

KMS主密钥开启删除保护,视为“合规”。

资源目录全局

可选

OSS存储空间使用自定义KMS密钥加密

OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。

资源目录全局

可选

RDS实例使用自定义密钥开启TDE

RDS实例使用自定义密钥开启TDE,视为“合规”。

资源目录全局

可选

Redis实例使用自定义密钥开启TDE加密

Redis实例使用自定义密钥开启TDE加密,视为“合规”。

资源目录全局

可选

CDN域名开启HTTPS加密

CDN域名开启HTTPS协议加密,视为“合规”。

资源目录全局

可选

API网关中开启公网访问的API请求方式为HTTPS

API网关中开启公网访问的API请求方式设置为HTTPS,视为“合规”。只限制内网调用的API不适用此规则,视为“不适用”。

资源目录全局

可选

Elasticsearch实例使用HTTPS传输协议

Elasticsearch实例使用HTTPS传输协议,视为“合规”。

资源目录全局

可选

OSS存储空间权限策略设置安全访问

OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间视为“不适用”。

资源目录全局

可选

SLB实例的HTTPS监听使用指定的安全策略套件

SLB实例的所有HTTPS类型监听使用参数指定的安全策略套件版本,视为“合规”。未设置HTTPS类型监听的SLB实例,视为“不适用”。

资源目录全局

可选

函数计算函数绑定到自定义域名且开启TLS指定版本

函数计算函数绑定到自定义域名且开启TLS指定版本,视为“合规”。

资源目录全局

可选

账号下所有ECS实例已安装云安全中心代理

账号下所有ECS实例均已安装云安全中心代理,视为“合规”。

资源目录全局

可选

在云安全中心设置指定等级的漏洞扫描

在云安全中心设置指定风险等级的漏洞扫描,视为“合规”。

资源目录全局

可选

云安全中心通知项目已设置通知方式

云安全中心通知项目均已设置通知方式,视为“合规”。

资源目录全局

可选

为RDS实例设置合理的可维护时间段

RDS实例的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。

资源目录全局

可选

为PolarDB集群设置合理的维护时间段

PolarDB集群的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。

资源目录全局

可选

RAM用户及所属用户组未绑定指定条件的权限策略

RAM用户未绑定符合参数条件的权限策略,包括继承自用户组的权限,视为“合规”。参数默认值表示管理员的权限配置,表示拥有管理员权限视为“不合规”。

资源目录全局

可选

不存在超级管理员

RAM用户、RAM用户组、RAM角色均未拥有Resource为*且Action为*的超级管理员权限,视为“合规”。

资源目录全局

可选

RAM用户的AccessKey在指定时间内轮换

RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。

资源目录全局

可选

RAM用户归属用户组

所有RAM用户均归属于RAM用户组,视为“合规”。

资源目录全局

可选

RAM用户访问设置人员和程序分离

RAM用户未同时开启控制台访问和API调用访问,视为“合规”。

资源目录全局

可选

RAM用户开启SSO

RAM用户开启SSO,视为“合规”。

资源目录全局

可选

不存在闲置的RAM权限策略

RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。

资源目录全局

可选

RAM用户组非空

RAM用户组至少包含一个RAM用户,视为“合规”。

资源目录全局

可选

云安全中心未发现已泄露的AccessKey

云安全中心未发现已泄露的AccessKey信息,视为“合规”。

资源目录全局

可选

PolarDB集群开启SQL审计

PolarDB集群SQL审计状态为开启,视为“合规”。

资源目录全局

可选

RDS实例开启日志备份

如果没有开启日志备份,当本地日志丢失会出现无法恢复数据的风险。如果RDS实例开启日志备份则视为"合规"。

资源目录全局

可选

为NAS文件系统创建备份计划

为NAS文件系统创建备份计划,视为“合规”。

资源目录全局

可选

PolarDB集群日志备份保留周期满足指定要求

PolarDB集群日志备份保留周期大于等于指定天数,视为“合规”。参数默认值30天。未开启日志备份或备份保留周期小于指定天数视为“不合规”。

资源目录全局

可选

OSS存储空间开启同城冗余存储

如果没有开启同城冗余存储,会导致当出现某个机房不可用时,OSS服务无法提供一致性服务,影响数据恢复目标。OSS存储空间开启同城冗余存储,视为“合规”。

资源目录全局

可选

日志服务日志库设置数据加密

日志服务日志库设置了数据加密,视为“合规”。

资源目录全局

可选

RDS实例开启历史事件

RDS实例开启历史事件日志,视为“合规”。

资源目录全局

可选

PolarDB集群默认时区参数值非SYSTEM

PolarDB集群参数default_time_zone不等于SYSTEM,视为“合规”。建议指定为明确的时区设置,保障数据库时区配置一致。

资源目录全局

可选

ECS实例使用指定版本的操作系统

企业可以规范企业内部的OS版本,要求生产环境的主机都必须统一操作系统版本。同时对于那些官方停止维护的操作系统需要及时升级,以免出现安全漏洞。ECS实例使用的操作系统英文名称在指定的白名单范围中,或者操作系统英文名称不在指定的黑名单范围中,视为“合规”。

资源目录全局

可选

运行中的ECS实例安装了云监控插件

运行中的ECS实例安装云监控插件而且插件状态为运行中,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。

资源目录全局

可选

为指定云产品设置云监控报警规则

在云监控为指定命名空间的云服务设置了至少一条报警规则,视为“合规”。

资源目录全局

可选

RDS实例开启云盘加密

RDS实例开启了云盘加密,视为“合规”。

资源目录全局

可选

使用中的ECS数据磁盘开启加密

使用中的ECS数据磁盘已开启加密,视为“合规”。

资源目录全局

可选

待挂载的ECS数据磁盘开启加密

待挂载的ECS数据磁盘已开启加密,视为“合规”。

资源目录全局

可选

使用专有网络类型的ECS实例

如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用半角逗号(,)分隔。

资源目录全局

可选

不直接授权给RAM用户

RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。

资源目录全局

可选

PostgreSQL数据库参数log_connections设置为on

RDS实例PostgreSQL类型数据库参数log_connections设置为on,视为“合规”。

资源目录全局

可选

PostgreSQL数据库参数log_disconnections设置为on

RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。

资源目录全局

可选

PostgreSQL数据库参数log_duration设置为on

RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。

资源目录全局

可选

OSS存储空间授权策略设置IP限制

OSS Bucket读写权限设置为私有,或者授权策略中包含只允许特定IP访问的策略,视为“合规”。

资源目录全局

可选

OSS存储空间ACL禁止公共读

OSS存储空间的ACL策略禁止公共读,视为“合规”。

资源目录全局

可选

账号下所有ECS实例已安装云安全中心代理

账号下所有ECS实例均已安装云安全中心代理,视为“合规”。

资源目录全局

可选

VPC自定义网段已设置路由

VPC自定义网段在关联路由表中存在至少一条网段内IP的路由信息,视为“合规”。

资源目录全局

可选

RDS实例使用SSL证书

RDS实例的数据安全性设置开启SSL证书,视为“合规”。

资源目录全局

可选

ACK集群使用Terway网络插件

ACK集群使用Terway网络插件,视为“合规”。

资源目录全局

可选

ACK集群未设置公网连接端点

ACK集群未设置公网连接端点,视为“合规”。

资源目录全局

可选

ACK集群节点安装云监控插件

ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。

资源目录全局

可选

操作审计跟踪状态为开启

操作审计跟踪状态为开启,视为“合规”。

资源目录全局

可选

使用高可用的RDS实例

使用的RDS实例为高可用版,视为“合规”。建议使用高可用版RDS实例,谨慎使用稳定性较差的基础版。

资源目录全局

可选

使用多可用区的RDS实例

RDS实例为多可用区实例,视为“合规”。

资源目录全局

可选

RDS实例正确开启安全白名单

RDS实例已开启安全白名单,且安全白名单中不包含0.0.0.0/0,视为“合规”。

资源目录全局

可选

使用专有网络类型的Redis实例

如果指定参数,则检查Redis实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查Redis实例的网络类型为专有网络,视为“合规”。

资源目录全局

可选

Redis实例IP白名单不设置为全网段

Redis实例IP白名单未设置为0.0.0.0/0,视为“合规”。

资源目录全局

可选

使用专有网络类型的MongoDB实例

如果指定参数,则检查MongoDB实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查MongoDB实例的网络类型为专有网络,视为“合规”。

资源目录全局

可选

MongoDB实例IP白名单禁止设置为全网段

MongoDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。

资源目录全局

可选

推荐使用专有网络类型的PolarDB实例

如果指定参数,则检查PolarDB实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查PolarDB实例的网络类型为专有网络,视为“合规”。

资源目录全局

可选

使用数据库代理模式访问SQL Server

RDS实例SQL Server类型数据库的访问模式为代理模式,视为“合规”。

资源目录全局

可选

SLB访问控制列表不允许配置所有地址段

SLB访问控制列表中不包含0.0.0.0/0条目,视为“合规”。

资源目录全局

可选

弹性IP实例带宽满足最低要求

弹性IP实例可用带宽大于等于指定参数值,视为“合规”。默认值:10 MB。

资源目录全局

可选

SLB实例满足指定带宽要求

SLB实例可用带宽大于等于指定参数值,视为“合规”。默认值:10 MB。

资源目录全局

可选

PolarDB实例IP白名单禁止设置为全网段

PolarDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。

资源目录全局

可选