日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎調研
輸入文檔關鍵字查找
首頁 云治理中心 操作指南 多賬號管理 合規審計 統一配置防護規則

統一配置防護規則

更新時間:
產品詳情
相關技術圈
我的收藏

您可以在云治理中心統一配置和開啟配置審計的防護規則,保證云治理中心創建的資源結構和基礎配置不被修改,同時保證多賬號環境的安全性。

防護規則初始化

  1. 登錄云治理中心控制臺。

  2. 在左側導航欄,單擊Landing Zone搭建

  3. 選擇藍圖,然后單擊搭建。

    本文以標準藍圖為例。

  4. 配置藍圖頁面的已添加搭建項區域,單擊防護規則

  5. 選擇需要開啟的防護規則。

    必選規則會默認選中,您可以選擇推薦或可選規則。

管理防護規則

防護規則初始化成功后,您可以管理防護規則。包括查看規則詳情、查看資源合規結果、打開或關閉推薦規則和可選規則的開關。

  1. 登錄云治理中心控制臺。

  2. 在左側導航欄,選擇多賬號管理 > 防護規則

  3. 概覽區域,查看發現風險規則、已開啟規則未開啟規則最近修改時間

  4. 防護規則區域,單擊目標防護規則名稱,管理防護規則。

    • 規則詳情頁簽,查看規則詳情。同時,您可以打開或關閉推薦規則和可選規則的開關。

    • 檢測結果頁簽,查看資源的合規結果。

防護規則列表

根據最佳實踐的指導,您可以根據情況開啟以下三類規則:

  • 必選規則:基礎防護類規則,強制開啟。開啟后,您不能自行關閉。

  • 推薦規則:安全合規類規則,推薦開啟。您可以選擇需要開啟的規則,開啟后,您可以自行關閉。

  • 可選規則:您可以根據實際情況選擇需要開啟的規則。開啟后,您可以自行關閉。

規則名稱

規則說明

作用節點

開啟指導

云治理中心指定存儲審計日志的OSS存儲空間未開啟公共讀寫

云治理中心指定存儲審計日志的OSS存儲空間,ACL策略禁止公共讀寫,視為“合規”。

日志賬號

必選

云治理中心指定存儲審計日志的OSS存儲空間開啟服務端加密

云治理中心指定存儲審計日志的OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。

日志賬號

必選

云治理中心用于提供服務的指定角色存在

根據名稱檢查云治理中心用于提供服務的指定角色存在,視為“合規”。

日志賬號

可選

禁止刪除存儲審計日志的OSS存儲空間

禁止刪除日志賬號中由云治理中心創建的,用來存儲審計日志的OSS存儲空間。

Core文件夾

必選

禁止修改存儲審計日志的OSS存儲空間加密配置

對于日志賬號中由云治理中心創建的,用來存儲審計日志的OSS存儲空間,禁止修改其加密配置。

Core文件夾

必選

禁止修改存儲審計日志的OSS存儲空間生命周期

對于日志賬號中由云治理中心創建的,用來存儲審計日志的OSS存儲空間,禁止修改其生命周期配置。

Core文件夾

必選

禁止修改云治理中心用于提供服務的指定角色

禁止修改云治理中心用于提供服務的指定角色。

Core文件夾

必選

禁止停用配置審計功能

開啟配置審計,用以進行資源與合規審計。

Core文件夾

必選

資源目錄內所有云賬號不存在AccessKey

資源目錄內所有云賬號不存在任何狀態的AccessKey,視為“合規”。

資源目錄全局

推薦

資源目錄內所有云賬號開啟MFA認證

資源目錄內所有云賬號開啟MFA認證,視為“合規”。

資源目錄全局

推薦

所有ECS數據磁盤開啟加密

所有ECS數據磁盤已開啟加密,視為“合規”。

資源目錄全局

推薦

安全組不允許對全部網段開啟風險端口

當安全組入網網段設置為0.0.0.0/0時,且已關閉端口22或3389,視為“合規”。

資源目錄全局

推薦

安全組入網設置有效

安全組入方向授權策略為允許,當端口范圍-1/-1和授權對象0.0.0.0/0未同時出現時,視為“合規”。

資源目錄全局

推薦

所有OSS存儲空間未開啟公共讀寫

所有OSS存儲空間,ACL策略禁止公共讀寫,視為“合規”。

資源目錄全局

推薦

RDS實例開啟TDE加密

RDS實例的數據安全性設置開啟TDE加密,視為“合規”。

資源目錄全局

推薦

使用專有網絡類型的RDS實例

如果未指定參數,則檢查RDS實例的網絡類型為專有網絡;如果指定參數,則檢查RDS實例的專有網絡實例在指定參數范圍內,視為“合規”。多個規格用半角逗號(,)分隔。

資源目錄全局

推薦

RDS白名單未設置為全網段

RDS實例的IP白名單未設置為0.0.0.0/0,視為“合規”。

資源目錄全局

推薦

OSS存儲空間開啟日志轉存

OSS存儲空間的日志管理中開啟日志轉存,視為“合規”。

資源目錄全局

可選

RAM用戶密碼策略符合要求

RAM用戶密碼策略中各項配置符合訪問控制的配置,視為“合規”。

資源目錄全局

推薦

RAM用戶不存在閑置AccessKey

RAM用戶AccessKey的最后使用時間小于參數設置的時間,視為“合規”。默認值:90天。

資源目錄全局

推薦

ECS實例開啟釋放保護

ECS實例開啟釋放保護,視為“合規”。

資源目錄全局

推薦

SLB實例開啟釋放保護

SLB實例開啟釋放保護,視為“合規”。

資源目錄全局

推薦

所有OSS存儲空間開啟服務端加密

OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。

資源目錄全局

可選

RAM用戶開啟MFA認證

RAM用戶開啟MFA,視為“合規”。

資源目錄全局

可選

資源必須具備指定標簽中的至少一項

參數可指定一個標簽的多種取值,資源具備其中一種取值,視為“合規”。

資源目錄全局

可選

資源必須具備所有指定標簽

最多可定義6組標簽,資源需同時具有指定的所有標簽,視為“合規”。

資源目錄全局

可選

RAM用戶在指定時間內有登錄行為

如果RAM用戶在最近90天有登錄行為,視為“合規”;如果RAM用戶的最近登錄時間為空,則檢查更新時間,當更新時間小于等于90天時,視為“合規”。未開啟控制臺訪問的用戶視為“不適用”。

資源目錄全局

可選

SLB開啟HTTPS監聽

SLB開啟HTTPS監聽80/8080端口,視為“合規”。

資源目錄全局

可選

資源歸屬指定區域范圍

資源歸屬于參數指定的區域范圍,視為“合規”。

資源目錄全局

可選

WAF實例開啟日志采集

已接入WAF進行防護的域名均開啟日志采集,視為“合規”。

資源目錄全局

可選

VPC開啟流日志記錄

VPC已開啟流日志(Flowlog)記錄功能,視為“合規”。

資源目錄全局

可選

API網關中API分組綁定域名接入WAF

API網關中的API分組綁定自定義域名且域名接入了WAF防護,視為“合規”。

資源目錄全局

可選

WAF防護域名開啟指定防護功能

WAF防護域名開啟指定防護功能模塊,視為“合規”。

資源目錄全局

可選

安全組指定協議不允許對全部網段開啟風險端口

當安全組入網網段設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。若入網網段未設置為0.0.0.0/0時,即使端口范圍包含指定的風險端口,也視為“合規”。如果檢測到的風險端口被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組視為“不適用”。

資源目錄全局

可選

安全組非白名單端口入網設置有效

除指定的白名單端口外,其余端口不能有授權策略設置為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。云產品或虛商所使用的安全組不適用本規則,視為“不適用”。

資源目錄全局

可選

OSS公開存儲空間設置權限策略且不能為匿名賬號授予任何權限

為讀寫權限公開的OSS Bucket設置授權策略,并且授權策略中不能為匿名賬號授予任何讀寫的操作權限,視為“合規”。讀寫權限為私有的OSS Bucket視為“不適用”。

資源目錄全局

可選

ECS實例禁止綁定公網地址

ECS實例沒有直接綁定IPv4公網IP或彈性公網IP,視為“合規”。

資源目錄全局

可選

RDS實例未開公網或IP白名單未設置為全網段

RDS實例開啟公網且白名單設置為0.0.0.0/0,同時滿足視為“不合規”。

資源目錄全局

可選

PolarDB實例未開啟公網或IP白名單未設置為全網段

檢測賬號下PolarDB實例開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。

資源目錄全局

可選

云防火墻中不存在未開啟防護的資產

云防火墻中不存在未開啟防護的資產,視為“合規”。本規則只對云防火墻付費用戶有效,未開通云防火墻或者免費用戶默認視為“合規”。

資源目錄全局

可選

運行中的ECS實例開啟云安全中心防護

通過在主機上安裝云安全中心插件,提供主機的安全防護服務。如果有安裝云安全中心插件則視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。

資源目錄全局

可選

使用云安全中心企業版

使用云安全中心企業版或者更高級別的版本,視為“合規”。

資源目錄全局

可選

運行中的ECS實例無待修復漏洞

ECS實例在云安全中心無指定類型和等級的待修復漏洞,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。

資源目錄全局

可選

RDS實例開啟SQL審計

RDS實例的SQL審計狀態為開啟,視為“合規”。

資源目錄全局

可選

開啟操作審計全量日志跟蹤

操作審計中存在開啟狀態的跟蹤,且跟蹤全部地域和全部事件類型,視為“合規”。如果是資源目錄成員賬號,當管理員有創建應用到所有成員賬號的跟蹤時,視為“合規”。

資源目錄全局

可選

RDS實例SQL審計日志保留天數滿足指定要求

RDS MySQL類型實例開啟SQL審計且日志保留天數大于等于指定值,視為“合規”。默認值:180天。

資源目錄全局

可選

ECS自動快照保留天數滿足指定要求

ECS自動快照策略設置快照保留天數大于設置的天數,視為“合規”。默認值:7天。

資源目錄全局

可選

PolarDB集群的數據一級備份保留周期滿足指定要求

PolarDB集群一級備份保留周期大于等于指定天數,視為“合規”。參數默認值7天。

資源目錄全局

可選

PolarDB集群開啟TDE

PolarDB集群開啟TDE,視為“合規”。

資源目錄全局

可選

密鑰管理服務設置憑據自動輪轉

密鑰管理服務中的憑據設置自動輪轉,視為“合規”。

資源目錄全局

可選

密鑰管理服務設置主密鑰自動輪轉

對密鑰管理服務中的用戶主密鑰設置自動輪轉,視為“合規”。

資源目錄全局

可選

KMS主密鑰開啟刪除保護

KMS主密鑰開啟刪除保護,視為“合規”。

資源目錄全局

可選

OSS存儲空間使用自定義KMS密鑰加密

OSS存儲空間使用了自定義的KMS密鑰加密,視為“合規”。

資源目錄全局

可選

RDS實例使用自定義密鑰開啟TDE

RDS實例使用自定義密鑰開啟TDE,視為“合規”。

資源目錄全局

可選

Redis實例使用自定義密鑰開啟TDE加密

Redis實例使用自定義密鑰開啟TDE加密,視為“合規”。

資源目錄全局

可選

CDN域名開啟HTTPS加密

CDN域名開啟HTTPS協議加密,視為“合規”。

資源目錄全局

可選

API網關中開啟公網訪問的API請求方式為HTTPS

API網關中開啟公網訪問的API請求方式設置為HTTPS,視為“合規”。只限制內網調用的API不適用此規則,視為“不適用”。

資源目錄全局

可選

Elasticsearch實例使用HTTPS傳輸協議

Elasticsearch實例使用HTTPS傳輸協議,視為“合規”。

資源目錄全局

可選

OSS存儲空間權限策略設置安全訪問

OSS存儲空間權限策略中包含了讀寫操作的訪問方式設置為HTTPS,或者拒絕訪問的訪問方式設置為HTTP,視為“合規”。權限策略為空的OSS存儲空間視為“不適用”。

資源目錄全局

可選

SLB實例的HTTPS監聽使用指定的安全策略套件

SLB實例的所有HTTPS類型監聽使用參數指定的安全策略套件版本,視為“合規”。未設置HTTPS類型監聽的SLB實例,視為“不適用”。

資源目錄全局

可選

函數計算函數綁定到自定義域名且開啟TLS指定版本

函數計算函數綁定到自定義域名且開啟TLS指定版本,視為“合規”。

資源目錄全局

可選

賬號下所有ECS實例已安裝云安全中心代理

賬號下所有ECS實例均已安裝云安全中心代理,視為“合規”。

資源目錄全局

可選

在云安全中心設置指定等級的漏洞掃描

在云安全中心設置指定風險等級的漏洞掃描,視為“合規”。

資源目錄全局

可選

云安全中心通知項目已設置通知方式

云安全中心通知項目均已設置通知方式,視為“合規”。

資源目錄全局

可選

為RDS實例設置合理的可維護時間段

RDS實例的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。

資源目錄全局

可選

為PolarDB集群設置合理的維護時間段

PolarDB集群的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。

資源目錄全局

可選

RAM用戶及所屬用戶組未綁定指定條件的權限策略

RAM用戶未綁定符合參數條件的權限策略,包括繼承自用戶組的權限,視為“合規”。參數默認值表示管理員的權限配置,表示擁有管理員權限視為“不合規”。

資源目錄全局

可選

不存在超級管理員

RAM用戶、RAM用戶組、RAM角色均未擁有Resource為*且Action為*的超級管理員權限,視為“合規”。

資源目錄全局

可選

RAM用戶的AccessKey在指定時間內輪換

RAM用戶下AccessKey的創建時間距離檢查時間不超過指定天數,視為“合規”。默認值:90天。

資源目錄全局

可選

RAM用戶歸屬用戶組

所有RAM用戶均歸屬于RAM用戶組,視為“合規”。

資源目錄全局

可選

RAM用戶訪問設置人員和程序分離

RAM用戶未同時開啟控制臺訪問和API調用訪問,視為“合規”。

資源目錄全局

可選

RAM用戶開啟SSO

RAM用戶開啟SSO,視為“合規”。

資源目錄全局

可選

不存在閑置的RAM權限策略

RAM權限策略至少綁定一個RAM用戶組、RAM角色或RAM用戶,視為“合規”。

資源目錄全局

可選

RAM用戶組非空

RAM用戶組至少包含一個RAM用戶,視為“合規”。

資源目錄全局

可選

云安全中心未發現已泄露的AccessKey

云安全中心未發現已泄露的AccessKey信息,視為“合規”。

資源目錄全局

可選

PolarDB集群開啟SQL審計

PolarDB集群SQL審計狀態為開啟,視為“合規”。

資源目錄全局

可選

RDS實例開啟日志備份

如果沒有開啟日志備份,當本地日志丟失會出現無法恢復數據的風險。如果RDS實例開啟日志備份則視為"合規"。

資源目錄全局

可選

為NAS文件系統創建備份計劃

為NAS文件系統創建備份計劃,視為“合規”。

資源目錄全局

可選

PolarDB集群日志備份保留周期滿足指定要求

PolarDB集群日志備份保留周期大于等于指定天數,視為“合規”。參數默認值30天。未開啟日志備份或備份保留周期小于指定天數視為“不合規”。

資源目錄全局

可選

OSS存儲空間開啟同城冗余存儲

如果沒有開啟同城冗余存儲,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響數據恢復目標。OSS存儲空間開啟同城冗余存儲,視為“合規”。

資源目錄全局

可選

日志服務日志庫設置數據加密

日志服務日志庫設置了數據加密,視為“合規”。

資源目錄全局

可選

RDS實例開啟歷史事件

RDS實例開啟歷史事件日志,視為“合規”。

資源目錄全局

可選

PolarDB集群默認時區參數值非SYSTEM

PolarDB集群參數default_time_zone不等于SYSTEM,視為“合規”。建議指定為明確的時區設置,保障數據庫時區配置一致。

資源目錄全局

可選

ECS實例使用指定版本的操作系統

企業可以規范企業內部的OS版本,要求生產環境的主機都必須統一操作系統版本。同時對于那些官方停止維護的操作系統需要及時升級,以免出現安全漏洞。ECS實例使用的操作系統英文名稱在指定的白名單范圍中,或者操作系統英文名稱不在指定的黑名單范圍中,視為“合規”。

資源目錄全局

可選

運行中的ECS實例安裝了云監控插件

運行中的ECS實例安裝云監控插件而且插件狀態為運行中,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。

資源目錄全局

可選

為指定云產品設置云監控報警規則

在云監控為指定命名空間的云服務設置了至少一條報警規則,視為“合規”。

資源目錄全局

可選

RDS實例開啟云盤加密

RDS實例開啟了云盤加密,視為“合規”。

資源目錄全局

可選

使用中的ECS數據磁盤開啟加密

使用中的ECS數據磁盤已開啟加密,視為“合規”。

資源目錄全局

可選

待掛載的ECS數據磁盤開啟加密

待掛載的ECS數據磁盤已開啟加密,視為“合規”。

資源目錄全局

可選

使用專有網絡類型的ECS實例

如果未指定參數,則檢查ECS實例的網絡類型為專有網絡;如果指定參數,則檢查ECS實例的專有網絡實例在指定參數范圍內,視為“合規”。多個參數值用半角逗號(,)分隔。

資源目錄全局

可選

不直接授權給RAM用戶

RAM用戶沒有直接綁定權限策略,視為“合規”。推薦RAM用戶從RAM組或角色繼承權限。

資源目錄全局

可選

PostgreSQL數據庫參數log_connections設置為on

RDS實例PostgreSQL類型數據庫參數log_connections設置為on,視為“合規”。

資源目錄全局

可選

PostgreSQL數據庫參數log_disconnections設置為on

RDS實例PostgreSQL類型數據庫參數log_disconnections設置為on,視為“合規”。

資源目錄全局

可選

PostgreSQL數據庫參數log_duration設置為on

RDS實例PostgreSQL類型數據庫參數log_duration設置為on,視為“合規”。

資源目錄全局

可選

OSS存儲空間授權策略設置IP限制

OSS Bucket讀寫權限設置為私有,或者授權策略中包含只允許特定IP訪問的策略,視為“合規”。

資源目錄全局

可選

OSS存儲空間ACL禁止公共讀

OSS存儲空間的ACL策略禁止公共讀,視為“合規”。

資源目錄全局

可選

賬號下所有ECS實例已安裝云安全中心代理

賬號下所有ECS實例均已安裝云安全中心代理,視為“合規”。

資源目錄全局

可選

VPC自定義網段已設置路由

VPC自定義網段在關聯路由表中存在至少一條網段內IP的路由信息,視為“合規”。

資源目錄全局

可選

RDS實例使用SSL證書

RDS實例的數據安全性設置開啟SSL證書,視為“合規”。

資源目錄全局

可選

ACK集群使用Terway網絡插件

ACK集群使用Terway網絡插件,視為“合規”。

資源目錄全局

可選

ACK集群未設置公網連接端點

ACK集群未設置公網連接端點,視為“合規”。

資源目錄全局

可選

ACK集群節點安裝云監控插件

ACK集群節點均已安裝云監控插件,且插件運行狀態正常,視為“合規”。

資源目錄全局

可選

操作審計跟蹤狀態為開啟

操作審計跟蹤狀態為開啟,視為“合規”。

資源目錄全局

可選

使用高可用的RDS實例

使用的RDS實例為高可用版,視為“合規”。建議使用高可用版RDS實例,謹慎使用穩定性較差的基礎版。

資源目錄全局

可選

使用多可用區的RDS實例

RDS實例為多可用區實例,視為“合規”。

資源目錄全局

可選

RDS實例正確開啟安全白名單

RDS實例已開啟安全白名單,且安全白名單中不包含0.0.0.0/0,視為“合規”。

資源目錄全局

可選

使用專有網絡類型的Redis實例

如果指定參數,則檢查Redis實例關聯的專有網絡在指定參數范圍內視為“合規”;如果未指定參數,則檢查Redis實例的網絡類型為專有網絡,視為“合規”。

資源目錄全局

可選

Redis實例IP白名單不設置為全網段

Redis實例IP白名單未設置為0.0.0.0/0,視為“合規”。

資源目錄全局

可選

使用專有網絡類型的MongoDB實例

如果指定參數,則檢查MongoDB實例關聯的專有網絡在指定參數范圍內視為“合規”;如果未指定參數,則檢查MongoDB實例的網絡類型為專有網絡,視為“合規”。

資源目錄全局

可選

MongoDB實例IP白名單禁止設置為全網段

MongoDB實例IP白名單未設置為0.0.0.0/0,視為“合規”。

資源目錄全局

可選

推薦使用專有網絡類型的PolarDB實例

如果指定參數,則檢查PolarDB實例關聯的專有網絡在指定參數范圍內視為“合規”;如果未指定參數,則檢查PolarDB實例的網絡類型為專有網絡,視為“合規”。

資源目錄全局

可選

使用數據庫代理模式訪問SQL Server

RDS實例SQL Server類型數據庫的訪問模式為代理模式,視為“合規”。

資源目錄全局

可選

SLB訪問控制列表不允許配置所有地址段

SLB訪問控制列表中不包含0.0.0.0/0條目,視為“合規”。

資源目錄全局

可選

彈性IP實例帶寬滿足最低要求

彈性IP實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10 MB。

資源目錄全局

可選

SLB實例滿足指定帶寬要求

SLB實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10 MB。

資源目錄全局

可選

PolarDB實例IP白名單禁止設置為全網段

PolarDB實例IP白名單未設置為0.0.0.0/0,視為“合規”。

資源目錄全局

可選