本文介绍8种合规包的默认检查规则。

CIS网络安全框架检查

规则名称 规则描述
ECS数据磁盘开启加密 ECS数据磁盘开启加密,视为“合规”。
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。
OSS存储空间开启服务端OSS完全托管加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,且不同时限制端口和IP地址,视为“合规”。例如:某个安全组入方向的端口为80,授权对象为0.0.0.0/0,该安全组合规。
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,关闭端口22和3389,视为“合规”。
RDS实例IP白名单未设置为全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。
RAM用户开启MFA RAM用户开启MFA,视为“合规”。
阿里云账号不存在AccessKey 阿里云账号不存在“已启用”状态的AccessKey,视为“合规”。
阿里云账号开启MFA 阿里云账号开启MFA,视为“合规”。
RAM用户密码策略符合要求 RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。
不存在超级管理员 RAM用户、RAM用户组、RAM角色均未拥有Action为*的超级管理员权限,视为“合规”。
不直接授权给RAM用户 无直接绑定到RAM用户的权限策略,视为“合规”。
OSS存储空间开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。
OSS存储空间使用指定KMS加密 OSS存储空间已使用您指定的KMS加密,视为“合规”。
RDS实例开启SQL审计 RDS实例的SQL审计状态为开启,视为“合规”。
RDS实例SQL审计日志保留天数满足指定要求 RDS实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。
PostgreSQL数据库参数log_connections设置为on RDS实例PostgreSQL类型数据库参数log_connections设置为on,视为“合规”。
PostgreSQL数据库参数log_disconnections设置为on RDS实例PostgreSQL类型数据库参数log_disconnections设置为on,视为“合规”。
PostgreSQL数据库参数log_duration设置为on RDS实例PostgreSQL类型数据库参数log_duration设置为on,视为“合规”。
OSS存储空间权限策略不能为匿名账号授予任何权限 OSS存储空间读写权限设置为私有,而且权限策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。
OSS存储空间权限策略设置安全访问 OSS存储空间权限策略中包含读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。
OSS存储空间权限策略设置IP限制 OSS存储空间权限策略中包含只允许特定IP访问的策略,视为“合规”。
ECS实例均已安装云安全中心代理 所有ECS实例均已安装云安全中心代理,视为“合规”。
ECS实例漏洞均已修复 云安全中心发现的所有ECS实例的漏洞均已修复,视为“合规”。
VPC自定义网段已设置路由 VPC自定义网段在关联路由表中存在至少一条网段内IP地址的路由信息,视为“合规”。
RDS实例开启历史事件 RDS实例开启历史事件日志,视为“合规”。
RAM用户在指定时间内有登录行为 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。
VPC开启流日志记录 VPC开启流日志(Flowlog)记录功能,视为“合规”。
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。
RDS实例使用SSL证书 RDS实例的数据安全性设置开启SSL证书,视为“合规”。
操作审计开启全量日志跟踪 操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。
WAF实例开启日志采集 已接入WAF进行防护的域名均开启日志采集,视为“合规”。
ACK集群使用Terway网络插件 ACK集群使用Terway网络插件,视为“合规”。
ACK集群未设置公网连接端点 ACK集群未设置公网连接端点,视为“合规”。
ACK集群节点安装云监控插件 ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。
云安全中心通知项目已设置通知方式 云安全中心通知项目均已设置通知方式,视为“合规”。
使用云安全中心企业版 使用云安全中心企业版或者更高级别的版本,视为“合规”。

等保三级预检

规则名称 规则描述
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。
使用专有网络类型的RDS实例 如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。
存在操作审计的跟踪投递 在操作审计中至少存在一个开启状态的跟踪,视为“合规”。
使用高可用的RDS实例 RDS实例为高可用实例,视为“合规”。
ECS数据磁盘开启加密 ECS数据磁盘开启加密,视为“合规”。
使用多可用区的RDS实例 RDS实例为多可用区实例,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,且不同时限制端口和IP地址,视为“合规”。例如:某个安全组入方向的端口为80,授权对象为0.0.0.0/0,该安全组合规。
SLB开启HTTPS监听 SLB开启HTTPS监听80/8080端口,视为“合规”。
RDS实例IP白名单未设置为全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。
ECS实例未绑定IPv4公网地址 ECS实例未绑定IPv4公网地址,视为“合规”。
RAM用户开启MFA RAM用户开启MFA,视为“合规”。
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。
OSS存储空间ACL禁止公共读 OSS存储空间的ACL策略禁止公共读,视为“合规”。
OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。
OSS存储空间开启服务端OSS完全托管加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。
SLB实例未绑定公网IP SLB实例未绑定公网IP,视为“合规”。
RDS实例正确开启安全白名单 RDS实例已开启安全白名单,且安全白名单中不包含0.0.0.0/0,视为“合规”。
CDN域名开启HTTPS加密 CDN域名开启HTTPS协议加密,视为“合规”。
使用专有网络类型的Redis实例 如果未指定参数,则检查Redis实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查Redis实例的专有网络实例在指定参数范围内,视为“合规”。
Redis实例IP白名单未设置为全网段 Reids实例IP白名单未设置为0.0.0.0/0,视为“合规”。
使用专有网络类型的MongoDB实例 如果未指定参数,则检查MongoDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查MongoDB实例的专有网络实例在指定参数范围内,视为“合规”。
MongoDB实例IP白名单未设置为全网段 MongoDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。
使用专有网络类型的PolarDB实例 如果未指定参数,则检查PolarDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查PolarDB实例的专有网络实例在指定参数范围内,视为“合规”。
OSS存储空间开启同城冗余存储 OSS存储空间开启同城冗余存储,视为“合规”。
使用数据库代理模式访问SQL Server RDS实例SQL Server类型数据库的访问模式为代理模式,视为“合规”。
SLB禁止开启全网段访问 SLB实例开启访问控制,且未设置为0.0.0.0/0,视为“合规”。
弹性IP实例带宽满足最低要求 弹性IP实例可用带宽大于等于指定参数值,视为“合规”。
SLB实例满足指定带宽要求 SLB实例可用带宽大于等于指定参数值,视为“合规”。
PolarDB实例IP白名单未设置为全网段 PolarDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。

OSS合规管理

规则名称 规则描述
OSS存储空间ACL禁止公共读 OSS存储空间的ACL策略禁止公共读,视为“合规”。
OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共写,视为“合规”。
OSS存储空间开启服务端OSS完全托管加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。
OSS存储空间开启防盗链功能 OSS存储空间开启防盗链功能,视为“合规”。
OSS存储空间开启同城冗余存储 OSS存储空间开启同城冗余存储,视为“合规”。
OSS存储空间开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。
OSS存储空间开启版本控制 OSS存储空间开启版本控制,视为“合规”。

网络合规管理

规则名称 规则描述
SLB实例满足指定带宽要求 SLB实例可用带宽大于等于指定参数值,视为“合规”。
SLB开启HTTPS监听 SLB开启HTTPS监听80/8080端口,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,且不同时限制端口和IP地址,视为“合规”。例如:某个安全组入方向的端口为80,授权对象为0.0.0.0/0,该安全组合规。
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。
弹性IP实例带宽满足最低要求 弹性IP实例可用带宽大于等于指定参数值,视为“合规”。
CDN域名开启HTTPS加密 CDN域名开启HTTPS协议加密,视为“合规”。
SLB使用证书为阿里云签发 SLB使用证书为阿里云签发,视为“合规”。
IPsec VPN开启健康检查 IPsec VPN开启健康检查,视为“合规”。
VPC开启流日志记录 VPC开启流日志(Flowlog)记录功能,视为“合规”。
SLB实例开启释放保护 SLB实例开启释放保护,视为“合规”。
SLB服务器证书在有效期内 SLB服务器证书在有效期内,视为”合规“。
SLB实例状态为运行中 SLB实例的运行状态为运行中,视为“合规”。
SLB服务器证书到期检查 SLB服务器证书的到期时间距离检查时间大于等于参数设定的时间范围,视为“合规”。
SLB预付费实例到期检查 SLB预付费实例的到期时间距离检查时间大于等于参数设定的时间范围,视为“合规”。
SLB实例为性能保障型实例 SLB实例为性能保障型实例,视为“合规”。
SLB预付费实例开启自动续费 SLB预付费实例开启自动续费,视为“合规”。
SLB实例负载权重不为0 SLB实例已设置后端服务器,且后端服务器设置的权重不为0,视为“合规”。

账号权限合规管理

规则名称 规则描述
阿里云账号开启MFA 阿里云账号开启MFA,视为“合规”。
RAM用户组非空 RAM用户组至少包含一个RAM用户,视为“合规”。
阿里云账号不存在AccessKey 阿里云账号不存在“已启用”状态的AccessKey,视为“合规”。
不直接授权给RAM用户 无直接绑定到RAM用户的权限策略,视为“合规”。
不存在超级管理员 RAM用户、RAM用户组、RAM角色均未拥有Action为*的超级管理员权限,视为“合规”。
RAM用户密码策略符合要求 RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。
RAM用户归属用户组 所有RAM用户均归属于RAM用户组,视为“合规”。
高权限的RAM用户开启MFA 已被授予指定高风险权限策略的RAM用户开启MFA,视为“合规”。
不存在闲置的RAM权限策略 RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。
RAM用户登录检查 RAM用户未同时开启控制台登录和AccessKey登录,视为“合规”。
RAM用户的AccessKey在指定时间内轮换 RAM用户的AccessKey创建时间距离检查时间不超过指定天数,视为“合规”。
RAM用户在指定时间内有登录行为 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。

数据库合规管理

规则名称 规则描述
MongoDB预付费集群到期检查 MongoDB预付费集群到期时间距离检查时间大于等于设置的天数,视为“合规”。
HBase预付费集群到期检查 HBase预付费集群到期时间距离检查时间大于等于设置的天数,视为“合规”。
RDS实例使用高安全白名单模式 RDS实例使用高安全白名单模式,视为“合规”。
PolarDB产品系列为集群版 PolarDB产品系列为集群版,视为“合规”。
Redis实例开启释放保护 Redis实例开启释放保护,视为“合规”。
Redis实例禁用高风险命令 Redis实例已设置禁用高风险命令,视为“合规”。
HBase集群类型为集群版 HBase集群类型为集群版,视为“合规”。
使用专有网络类型的HBase集群 如果未指定参数,则检查HBase集群的网络类型为专有网络,视为“合规”;如果指定参数,则检查HBase集群的专有网络实例在指定参数范围内,视为“合规”。
HBase集群配置为高可用 HBase集群的配置为高可用,视为“合规”。
HBase预付费集群开启自动续费 HBase预付费集群开启自动续费,视为“合规”。
HBase集群开启删除保护 HBase集群开启删除保护,视为“合规”。
MongoDB实例开启释放保护 MongoDB实例开启释放保护,视为“合规”。
MongoDB实例未被锁定 MongoDB实例的锁定状态为正常,视为“合规”。
MongoDB集群开启审计日志 MongoDB集群开启审计日志,视为“合规”。
RDS预付费实例到期检查 RDS预付费实例到期时间距离检查时间大于等于设置的天数,视为“合规”。
PolarDB预付费集群到期检查 PolarDB预付费集群到期时间距离检查时间大于等于设置的天数,视为“合规”。
Redis预付费集群到期检查 Redis预付费集群到期时间距离检查时间大于等于设置的天数,视为“合规”。
RDS实例开启SQL审计 RDS实例的SQL审计状态为开启,视为“合规”。
RDS实例IP白名单未设置为全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。
使用高可用的RDS实例 RDS实例为高可用实例,视为“合规”。
使用专有网络类型的RDS实例 如果未指定参数,则检查RDS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。
使用多可用区的RDS实例 RDS实例为多可用区实例,视为“合规”。
RDS实例使用SSL证书 RDS实例的数据安全性设置开启SSL证书,视为“合规”。
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。
使用专有网络类型的Redis实例 如果未指定参数,则检查Redis实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查Redis实例的专有网络实例在指定参数范围内,视为“合规”。
Redis实例IP白名单未设置为全网段 Reids实例IP白名单未设置为0.0.0.0/0,视为“合规”。
使用集群版的Redis实例 Redis实例的架构类型为集群版,视为“合规”。
MongoDB实例IP白名单未设置为全网段 MongoDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。
使用专有网络类型的MongoDB实例 如果未指定参数,则检查MongoDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查MongoDB实例的专有网络实例在指定参数范围内,视为“合规”。
PolarDB实例IP白名单未设置为全网段 PolarDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。
使用专有网络类型的PolarDB实例 如果未指定参数,则检查PolarDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查PolarDB实例的专有网络实例在指定参数范围内,视为“合规”。
RDS实例SQL审计日志保留天数满足指定要求 RDS实例开启SQL审计且日志保留天数大于指定值,视为“合规”。
RDS实例开启历史事件 RDS实例开启历史事件日志,视为“合规”。

ECS合规管理

规则名称 规则描述
ECS实例状态不是已停止状态 ECS实例状态不是已停止状态,视为“合规”。
ECS预付费实例到期检查 ECS预付费实例到期时间距离检查时间大于等于设置的天数,视为“合规”。
ECS实例开启释放保护 ECS实例开启释放保护,视为“合规”。
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。
ECS数据磁盘开启加密 ECS数据磁盘开启加密,视为“合规”。
不存在闲置的ECS数据磁盘 ECS数据磁盘均已挂载到ECS实例,视为“合规”。
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,且不同时限制端口和IP地址,视为“合规”。例如:某个安全组入方向的端口为80,授权对象为0.0.0.0/0,该安全组合规。
ECS实例在指定安全组中 ECS实例在指定的安全组中,视为“合规”。
ECS使用指定镜像实例 ECS实例系统镜像在参数设置的范围内,视为“合规”。
ECS实例漏洞均已修复 云安全中心发现的所有ECS实例的漏洞均已修复,视为“合规”。
ECS实例已安装云安全中心代理 所有ECS实例均已安装云安全中心代理,视为“合规”。
ECS实例未被锁定 ECS实例未因欠费或安全等原因而被锁定,视为“合规”。
弹性伸缩组开启ECS实例健康检查 弹性伸缩组开启对ECS实例的健康检查,视为“合规”。
ECS数据磁盘设置自动快照策略 ECS数据磁盘已设置自动快照策略,视为“合规”。
ECS数据磁盘未被锁定 ECS数据磁盘未因欠费或安全等原因而被锁定,视为“合规”。
ECS数据磁盘释放时保留自动快照 设置ECS数据磁盘释放时保留自动快照,视为“合规”。
ECS自动快照保留天数满足指定要求 ECS自动快照策略设置的快照保留天数大于等于设置的天数,视为“合规”。

RMiT金融标准检查

规则名称 规则描述
操作审计开启全量日志跟踪 操作审计中存在开启状态的跟踪,且跟踪追踪全部地域和全部事件类型,视为“合规”。
存在操作审计的跟踪投递 在操作审计中至少存在一个开启状态的跟踪,视为“合规”。
OSS存储空间使用指定KMS加密 OSS存储空间已使用您指定的KMS加密,视为“合规”。
ECS数据磁盘设置自动快照策略 ECS数据磁盘已设置自动快照策略,视为“合规”。
ECS数据磁盘开启加密 ECS数据磁盘开启加密,视为“合规”。
ECS实例未分配IPv4公网地址 ECS实例未绑定IPv4公网IP地址,视为“合规”。
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。
SLB使用证书为阿里云签发 SLB使用证书为阿里云签发,视为“合规”。
SLB服务器证书在有效期内 SLB服务器证书在有效期内,视为”合规“。
SLB实例开启释放保护 SLB实例开启释放保护,视为“合规”。
SLB开启HTTPS监听 SLB开启HTTPS监听80/8080端口,视为“合规”。
RAM用户组非空 RAM用户组至少包含一个RAM用户,视为“合规”。
RAM用户密码策略符合要求 RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。
不存在超级管理员 RAM用户、RAM用户组、RAM角色均未拥有Action为*的超级管理员权限,视为“合规”。
阿里云账号不存在AccessKey 阿里云账号不存在“已启用”状态的AccessKey,视为“合规”。
RAM用户归属用户组 所有RAM用户均归属于RAM用户组,视为“合规”。
RAM用户开启MFA RAM用户开启MFA,视为“合规”。
不直接授权给RAM用户 无直接绑定到RAM用户的授权,视为“合规”。
RAM用户在指定时间内有登录行为 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。
RDS实例IP白名单未设置为全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。
RDS实例开启历史事件 RDS实例开启历史事件日志,视为“合规”。
使用多可用区的RDS实例 RDS实例为多可用区实例,视为“合规”。
RDS实例开启TDE加密 RDS实例的数据安全性设置开启TDE加密,视为“合规”。
OSS存储空间开启日志存储 OSS存储空间的日志管理中开启日志存储,视为“合规”。
OSS存储空间权限策略不能为匿名账号授予任何权限 OSS Bucket读写权限设置为私有,而且权限策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。
OSS存储空间开启服务端OSS完全托管加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。
OSS存储空间开启服务端KMS加密 OSS存储空间开启服务端KMS加密,视为“合规”。
OSS存储空间开启版本控制 OSS存储空间开启版本控制,视为“合规”。
VPC开启流日志记录 VPC开启流日志(Flowlog)记录功能,视为“合规”。
IPsec VPN连接正常 IPsec VPN连接状态为“已建立”,视为“合规”。
WAF实例开启日志采集 已接入WAF进行防护的域名均开启日志采集,视为“合规”。
OSS存储空间权限策略设置安全访问 OSS存储空间权限策略中包含读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,且不同时限制端口和IP地址,视为“合规”。例如:某个安全组入方向的端口为80,授权对象为0.0.0.0/0,该安全组合规。
密钥管理服务设置主密钥自动轮转 密钥管理服务中的主密钥设置为自动轮转,视为“合规”。
使用专有网络服务的Elasticsearch实例 如果未指定参数,则检查Elasticsearch实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查Elasticsearch实例的专有网络实例在指定参数范围内,视为“合规”。