CIS合规包检查的规则如下表所示。

规则名称 检查逻辑
ECS数据磁盘开启加密 ECS数据磁盘已开启加密,视为“合规”。
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。
OSS存储空间开启服务端默认加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。
安全组入网设置有效 入网设置为指定端口对公网开放访问;入网设置为指定网段开放访问。满足其一,视为“合规”。
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,关闭了22或3389端口,视为“合规”。
RDS实例IP白名单不是全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。
RAM用户开启MFA RAM用户开启MFA,视为“合规”。
阿里云账号不存在AccessKey 阿里云账号不存在“已启用”状态的AccessKey,视为“合规”。
阿里云账号开启MFA 阿里云账号开启MFA,视为“合规”。
RAM用户密码策略符合要求 RAM密码策略中各项配置满足参数设置的值,视为“合规”。
不存在超级管理员 RAM用户、RAM用户组、RAM角色均不能拥有Action为*的超级管理员权限,视为“合规”。
不直接授权给RAM用户 无直接绑定到RAM用户的权限策略,视为“合规”。
OSS存储空间开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。
检测OSS存储空间是否使用了自己的密钥加密 OSS存储空间使用了自己的密钥加密,视为“合规”。
RDS实例开启SQL审计 RDS实例的SQL审计状态为开启,视为“合规”。
RDS实例SQL审计日志保留天数满足指定要求 RDS实例开启SQL审计且日志保留天数大于指定值,视为“合规”。默认值:180天。
PostgreSQL数据库参数log_connections设置为on RDS实例PostgreSQL类型数据库参数log_connections设置为on。
PostgreSQL数据库参数log_disconnections设置为on RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。
PostgreSQL数据库参数log_duration设置为on RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。
OSS存储空间权限策略不能为匿名账号授予任何权限 OSS存储空间读写权限设置为私有,而且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。
OSS存储空间权限策略设置安全访问 OSS存储空间授权策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。
OSS存储空间授权策略设置IP限制 OSS存储空间授权策略中包含只允许特定IP访问的策略,视为“合规”。
ECS实例安装了云安全中心代理 所有ECS实例安装了云安全中心代理,视为“合规”。
ECS实例漏洞都已修复 云安全中心发现的所有ECS实例的漏洞都已修复,视为“合规”。
VPC自定义网段设置了路由 VPC自定义网段在关联路由表中存在至少一条网段内IP地址的路由信息,视为“合规”。
RDS实例开启历史事件 RDS实例开启了历史事件日志,视为“合规”。
RAM用户在指定时间内有登录行为 检查RAM用户在最近90天有登录行为,视为“合规”。如果最近登录时间为空,则检查RAM用户的更新时间。
VPC开启流日志记录 VPC已开启流日志(Flowlog)记录功能,视为“合规”。
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。
RDS实例使用SSL证书 RDS实例的数据安全性设置开启SSL证书,视为“合规”。