您可以在云治理中心統一配置和開啟配置審計的防護規則,保證云治理中心創建的資源結構和基礎配置不被修改,同時保證多賬號環境的安全性。
防護規則初始化
登錄云治理中心控制臺。
在左側導航欄,單擊Landing Zone搭建。
選擇藍圖,然后單擊搭建。
本文以標準藍圖為例。
在配置藍圖頁面的已添加搭建項區域,單擊防護規則。
選擇需要開啟的防護規則。
必選規則會默認選中,您可以選擇推薦或可選規則。
管理防護規則
防護規則初始化成功后,您可以管理防護規則。包括查看規則詳情、查看資源合規結果、打開或關閉推薦規則和可選規則的開關。
登錄云治理中心控制臺。
在左側導航欄,選擇 。
在概覽區域,查看發現風險規則、已開啟規則、未開啟規則和最近修改時間。
在防護規則區域,單擊目標防護規則名稱,管理防護規則。
在規則詳情頁簽,查看規則詳情。同時,您可以打開或關閉推薦規則和可選規則的開關。
在檢測結果頁簽,查看資源的合規結果。
防護規則列表
根據最佳實踐的指導,您可以根據情況開啟以下三類規則:
必選規則:基礎防護類規則,強制開啟。開啟后,您不能自行關閉。
推薦規則:安全合規類規則,推薦開啟。您可以選擇需要開啟的規則,開啟后,您可以自行關閉。
可選規則:您可以根據實際情況選擇需要開啟的規則。開啟后,您可以自行關閉。
規則名稱 | 規則說明 | 作用節點 | 開啟指導 |
云治理中心指定存儲審計日志的OSS存儲空間未開啟公共讀寫 | 云治理中心指定存儲審計日志的OSS存儲空間,ACL策略禁止公共讀寫,視為“合規”。 | 日志賬號 | 必選 |
云治理中心指定存儲審計日志的OSS存儲空間開啟服務端加密 | 云治理中心指定存儲審計日志的OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。 | 日志賬號 | 必選 |
云治理中心用于提供服務的指定角色存在 | 根據名稱檢查云治理中心用于提供服務的指定角色存在,視為“合規”。 | 日志賬號 | 可選 |
禁止刪除存儲審計日志的OSS存儲空間 | 禁止刪除日志賬號中由云治理中心創建的,用來存儲審計日志的OSS存儲空間。 | Core文件夾 | 必選 |
禁止修改存儲審計日志的OSS存儲空間加密配置 | 對于日志賬號中由云治理中心創建的,用來存儲審計日志的OSS存儲空間,禁止修改其加密配置。 | Core文件夾 | 必選 |
禁止修改存儲審計日志的OSS存儲空間生命周期 | 對于日志賬號中由云治理中心創建的,用來存儲審計日志的OSS存儲空間,禁止修改其生命周期配置。 | Core文件夾 | 必選 |
禁止修改云治理中心用于提供服務的指定角色 | 禁止修改云治理中心用于提供服務的指定角色。 | Core文件夾 | 必選 |
禁止停用配置審計功能 | 開啟配置審計,用以進行資源與合規審計。 | Core文件夾 | 必選 |
資源目錄內所有云賬號不存在AccessKey | 資源目錄內所有云賬號不存在任何狀態的AccessKey,視為“合規”。 | 資源目錄全局 | 推薦 |
資源目錄內所有云賬號開啟MFA認證 | 資源目錄內所有云賬號開啟MFA認證,視為“合規”。 | 資源目錄全局 | 推薦 |
所有ECS數據磁盤開啟加密 | 所有ECS數據磁盤已開啟加密,視為“合規”。 | 資源目錄全局 | 推薦 |
安全組不允許對全部網段開啟風險端口 | 當安全組入網網段設置為0.0.0.0/0時,且已關閉端口22或3389,視為“合規”。 | 資源目錄全局 | 推薦 |
安全組入網設置有效 | 安全組入方向授權策略為允許,當端口范圍-1/-1和授權對象0.0.0.0/0未同時出現時,視為“合規”。 | 資源目錄全局 | 推薦 |
所有OSS存儲空間未開啟公共讀寫 | 所有OSS存儲空間,ACL策略禁止公共讀寫,視為“合規”。 | 資源目錄全局 | 推薦 |
RDS實例開啟TDE加密 | RDS實例的數據安全性設置開啟TDE加密,視為“合規”。 | 資源目錄全局 | 推薦 |
使用專有網絡類型的RDS實例 | 如果未指定參數,則檢查RDS實例的網絡類型為專有網絡;如果指定參數,則檢查RDS實例的專有網絡實例在指定參數范圍內,視為“合規”。多個規格用半角逗號(,)分隔。 | 資源目錄全局 | 推薦 |
RDS白名單未設置為全網段 | RDS實例的IP白名單未設置為0.0.0.0/0,視為“合規”。 | 資源目錄全局 | 推薦 |
OSS存儲空間開啟日志轉存 | OSS存儲空間的日志管理中開啟日志轉存,視為“合規”。 | 資源目錄全局 | 可選 |
RAM用戶密碼策略符合要求 | RAM用戶密碼策略中各項配置符合訪問控制的配置,視為“合規”。 | 資源目錄全局 | 推薦 |
RAM用戶不存在閑置AccessKey | RAM用戶AccessKey的最后使用時間小于參數設置的時間,視為“合規”。默認值:90天。 | 資源目錄全局 | 推薦 |
ECS實例開啟釋放保護 | ECS實例開啟釋放保護,視為“合規”。 | 資源目錄全局 | 推薦 |
SLB實例開啟釋放保護 | SLB實例開啟釋放保護,視為“合規”。 | 資源目錄全局 | 推薦 |
所有OSS存儲空間開啟服務端加密 | OSS存儲空間開啟服務端OSS完全托管加密,視為“合規”。 | 資源目錄全局 | 可選 |
RAM用戶開啟MFA認證 | RAM用戶開啟MFA,視為“合規”。 | 資源目錄全局 | 可選 |
資源必須具備指定標簽中的至少一項 | 參數可指定一個標簽的多種取值,資源具備其中一種取值,視為“合規”。 | 資源目錄全局 | 可選 |
資源必須具備所有指定標簽 | 最多可定義6組標簽,資源需同時具有指定的所有標簽,視為“合規”。 | 資源目錄全局 | 可選 |
RAM用戶在指定時間內有登錄行為 | 如果RAM用戶在最近90天有登錄行為,視為“合規”;如果RAM用戶的最近登錄時間為空,則檢查更新時間,當更新時間小于等于90天時,視為“合規”。未開啟控制臺訪問的用戶視為“不適用”。 | 資源目錄全局 | 可選 |
SLB開啟HTTPS監聽 | SLB開啟HTTPS監聽80/8080端口,視為“合規”。 | 資源目錄全局 | 可選 |
資源歸屬指定區域范圍 | 資源歸屬于參數指定的區域范圍,視為“合規”。 | 資源目錄全局 | 可選 |
WAF實例開啟日志采集 | 已接入WAF進行防護的域名均開啟日志采集,視為“合規”。 | 資源目錄全局 | 可選 |
VPC開啟流日志記錄 | VPC已開啟流日志(Flowlog)記錄功能,視為“合規”。 | 資源目錄全局 | 可選 |
API網關中API分組綁定域名接入WAF | API網關中的API分組綁定自定義域名且域名接入了WAF防護,視為“合規”。 | 資源目錄全局 | 可選 |
WAF防護域名開啟指定防護功能 | WAF防護域名開啟指定防護功能模塊,視為“合規”。 | 資源目錄全局 | 可選 |
安全組指定協議不允許對全部網段開啟風險端口 | 當安全組入網網段設置為0.0.0.0/0時,指定協議的端口范圍不包含指定風險端口,視為“合規”。若入網網段未設置為0.0.0.0/0時,即使端口范圍包含指定的風險端口,也視為“合規”。如果檢測到的風險端口被優先級更高的授權策略拒絕,視為“合規”。云產品或虛商所使用的安全組視為“不適用”。 | 資源目錄全局 | 可選 |
安全組非白名單端口入網設置有效 | 除指定的白名單端口外,其余端口不能有授權策略設置為允許而且來源為0.0.0.0/0的入方向規則,視為“合規”。云產品或虛商所使用的安全組不適用本規則,視為“不適用”。 | 資源目錄全局 | 可選 |
OSS公開存儲空間設置權限策略且不能為匿名賬號授予任何權限 | 為讀寫權限公開的OSS Bucket設置授權策略,并且授權策略中不能為匿名賬號授予任何讀寫的操作權限,視為“合規”。讀寫權限為私有的OSS Bucket視為“不適用”。 | 資源目錄全局 | 可選 |
ECS實例禁止綁定公網地址 | ECS實例沒有直接綁定IPv4公網IP或彈性公網IP,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例未開公網或IP白名單未設置為全網段 | RDS實例開啟公網且白名單設置為0.0.0.0/0,同時滿足視為“不合規”。 | 資源目錄全局 | 可選 |
PolarDB實例未開啟公網或IP白名單未設置為全網段 | 檢測賬號下PolarDB實例開啟公網且允許任意來源公網訪問,同時滿足視為“不合規”。 | 資源目錄全局 | 可選 |
云防火墻中不存在未開啟防護的資產 | 云防火墻中不存在未開啟防護的資產,視為“合規”。本規則只對云防火墻付費用戶有效,未開通云防火墻或者免費用戶默認視為“合規”。 | 資源目錄全局 | 可選 |
運行中的ECS實例開啟云安全中心防護 | 通過在主機上安裝云安全中心插件,提供主機的安全防護服務。如果有安裝云安全中心插件則視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | 資源目錄全局 | 可選 |
使用云安全中心企業版 | 使用云安全中心企業版或者更高級別的版本,視為“合規”。 | 資源目錄全局 | 可選 |
運行中的ECS實例無待修復漏洞 | ECS實例在云安全中心無指定類型和等級的待修復漏洞,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | 資源目錄全局 | 可選 |
RDS實例開啟SQL審計 | RDS實例的SQL審計狀態為開啟,視為“合規”。 | 資源目錄全局 | 可選 |
開啟操作審計全量日志跟蹤 | 操作審計中存在開啟狀態的跟蹤,且跟蹤全部地域和全部事件類型,視為“合規”。如果是資源目錄成員賬號,當管理員有創建應用到所有成員賬號的跟蹤時,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例SQL審計日志保留天數滿足指定要求 | RDS MySQL類型實例開啟SQL審計且日志保留天數大于等于指定值,視為“合規”。默認值:180天。 | 資源目錄全局 | 可選 |
ECS自動快照保留天數滿足指定要求 | ECS自動快照策略設置快照保留天數大于設置的天數,視為“合規”。默認值:7天。 | 資源目錄全局 | 可選 |
PolarDB集群的數據一級備份保留周期滿足指定要求 | PolarDB集群一級備份保留周期大于等于指定天數,視為“合規”。參數默認值7天。 | 資源目錄全局 | 可選 |
PolarDB集群開啟TDE | PolarDB集群開啟TDE,視為“合規”。 | 資源目錄全局 | 可選 |
密鑰管理服務設置憑據自動輪轉 | 密鑰管理服務中的憑據設置自動輪轉,視為“合規”。 | 資源目錄全局 | 可選 |
密鑰管理服務設置主密鑰自動輪轉 | 對密鑰管理服務中的用戶主密鑰設置自動輪轉,視為“合規”。 | 資源目錄全局 | 可選 |
KMS主密鑰開啟刪除保護 | KMS主密鑰開啟刪除保護,視為“合規”。 | 資源目錄全局 | 可選 |
OSS存儲空間使用自定義KMS密鑰加密 | OSS存儲空間使用了自定義的KMS密鑰加密,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例使用自定義密鑰開啟TDE | RDS實例使用自定義密鑰開啟TDE,視為“合規”。 | 資源目錄全局 | 可選 |
Redis實例使用自定義密鑰開啟TDE加密 | Redis實例使用自定義密鑰開啟TDE加密,視為“合規”。 | 資源目錄全局 | 可選 |
CDN域名開啟HTTPS加密 | CDN域名開啟HTTPS協議加密,視為“合規”。 | 資源目錄全局 | 可選 |
API網關中開啟公網訪問的API請求方式為HTTPS | API網關中開啟公網訪問的API請求方式設置為HTTPS,視為“合規”。只限制內網調用的API不適用此規則,視為“不適用”。 | 資源目錄全局 | 可選 |
Elasticsearch實例使用HTTPS傳輸協議 | Elasticsearch實例使用HTTPS傳輸協議,視為“合規”。 | 資源目錄全局 | 可選 |
OSS存儲空間權限策略設置安全訪問 | OSS存儲空間權限策略中包含了讀寫操作的訪問方式設置為HTTPS,或者拒絕訪問的訪問方式設置為HTTP,視為“合規”。權限策略為空的OSS存儲空間視為“不適用”。 | 資源目錄全局 | 可選 |
SLB實例的HTTPS監聽使用指定的安全策略套件 | SLB實例的所有HTTPS類型監聽使用參數指定的安全策略套件版本,視為“合規”。未設置HTTPS類型監聽的SLB實例,視為“不適用”。 | 資源目錄全局 | 可選 |
函數計算函數綁定到自定義域名且開啟TLS指定版本 | 函數計算函數綁定到自定義域名且開啟TLS指定版本,視為“合規”。 | 資源目錄全局 | 可選 |
賬號下所有ECS實例已安裝云安全中心代理 | 賬號下所有ECS實例均已安裝云安全中心代理,視為“合規”。 | 資源目錄全局 | 可選 |
在云安全中心設置指定等級的漏洞掃描 | 在云安全中心設置指定風險等級的漏洞掃描,視為“合規”。 | 資源目錄全局 | 可選 |
云安全中心通知項目已設置通知方式 | 云安全中心通知項目均已設置通知方式,視為“合規”。 | 資源目錄全局 | 可選 |
為RDS實例設置合理的可維護時間段 | RDS實例的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | 資源目錄全局 | 可選 |
為PolarDB集群設置合理的維護時間段 | PolarDB集群的可維護時間段在參數指定的其中一個時間段范圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | 資源目錄全局 | 可選 |
RAM用戶及所屬用戶組未綁定指定條件的權限策略 | RAM用戶未綁定符合參數條件的權限策略,包括繼承自用戶組的權限,視為“合規”。參數默認值表示管理員的權限配置,表示擁有管理員權限視為“不合規”。 | 資源目錄全局 | 可選 |
不存在超級管理員 | RAM用戶、RAM用戶組、RAM角色均未擁有Resource為 | 資源目錄全局 | 可選 |
RAM用戶的AccessKey在指定時間內輪換 | RAM用戶下AccessKey的創建時間距離檢查時間不超過指定天數,視為“合規”。默認值:90天。 | 資源目錄全局 | 可選 |
RAM用戶歸屬用戶組 | 所有RAM用戶均歸屬于RAM用戶組,視為“合規”。 | 資源目錄全局 | 可選 |
RAM用戶訪問設置人員和程序分離 | RAM用戶未同時開啟控制臺訪問和API調用訪問,視為“合規”。 | 資源目錄全局 | 可選 |
RAM用戶開啟SSO | RAM用戶開啟SSO,視為“合規”。 | 資源目錄全局 | 可選 |
不存在閑置的RAM權限策略 | RAM權限策略至少綁定一個RAM用戶組、RAM角色或RAM用戶,視為“合規”。 | 資源目錄全局 | 可選 |
RAM用戶組非空 | RAM用戶組至少包含一個RAM用戶,視為“合規”。 | 資源目錄全局 | 可選 |
云安全中心未發現已泄露的AccessKey | 云安全中心未發現已泄露的AccessKey信息,視為“合規”。 | 資源目錄全局 | 可選 |
PolarDB集群開啟SQL審計 | PolarDB集群SQL審計狀態為開啟,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例開啟日志備份 | 如果沒有開啟日志備份,當本地日志丟失會出現無法恢復數據的風險。如果RDS實例開啟日志備份則視為"合規"。 | 資源目錄全局 | 可選 |
為NAS文件系統創建備份計劃 | 為NAS文件系統創建備份計劃,視為“合規”。 | 資源目錄全局 | 可選 |
PolarDB集群日志備份保留周期滿足指定要求 | PolarDB集群日志備份保留周期大于等于指定天數,視為“合規”。參數默認值30天。未開啟日志備份或備份保留周期小于指定天數視為“不合規”。 | 資源目錄全局 | 可選 |
OSS存儲空間開啟同城冗余存儲 | 如果沒有開啟同城冗余存儲,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響數據恢復目標。OSS存儲空間開啟同城冗余存儲,視為“合規”。 | 資源目錄全局 | 可選 |
日志服務日志庫設置數據加密 | 日志服務日志庫設置了數據加密,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例開啟歷史事件 | RDS實例開啟歷史事件日志,視為“合規”。 | 資源目錄全局 | 可選 |
PolarDB集群默認時區參數值非SYSTEM | PolarDB集群參數 | 資源目錄全局 | 可選 |
ECS實例使用指定版本的操作系統 | 企業可以規范企業內部的OS版本,要求生產環境的主機都必須統一操作系統版本。同時對于那些官方停止維護的操作系統需要及時升級,以免出現安全漏洞。ECS實例使用的操作系統英文名稱在指定的白名單范圍中,或者操作系統英文名稱不在指定的黑名單范圍中,視為“合規”。 | 資源目錄全局 | 可選 |
運行中的ECS實例安裝了云監控插件 | 運行中的ECS實例安裝云監控插件而且插件狀態為運行中,視為“合規”。非運行中狀態的實例不適用本規則,視為“不適用”。 | 資源目錄全局 | 可選 |
為指定云產品設置云監控報警規則 | 在云監控為指定命名空間的云服務設置了至少一條報警規則,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例開啟云盤加密 | RDS實例開啟了云盤加密,視為“合規”。 | 資源目錄全局 | 可選 |
使用中的ECS數據磁盤開啟加密 | 使用中的ECS數據磁盤已開啟加密,視為“合規”。 | 資源目錄全局 | 可選 |
待掛載的ECS數據磁盤開啟加密 | 待掛載的ECS數據磁盤已開啟加密,視為“合規”。 | 資源目錄全局 | 可選 |
使用專有網絡類型的ECS實例 | 如果未指定參數,則檢查ECS實例的網絡類型為專有網絡;如果指定參數,則檢查ECS實例的專有網絡實例在指定參數范圍內,視為“合規”。多個參數值用半角逗號(,)分隔。 | 資源目錄全局 | 可選 |
不直接授權給RAM用戶 | RAM用戶沒有直接綁定權限策略,視為“合規”。推薦RAM用戶從RAM組或角色繼承權限。 | 資源目錄全局 | 可選 |
PostgreSQL數據庫參數 | RDS實例PostgreSQL類型數據庫參數 | 資源目錄全局 | 可選 |
PostgreSQL數據庫參數 | RDS實例PostgreSQL類型數據庫參數 | 資源目錄全局 | 可選 |
PostgreSQL數據庫參數 | RDS實例PostgreSQL類型數據庫參數 | 資源目錄全局 | 可選 |
OSS存儲空間授權策略設置IP限制 | OSS Bucket讀寫權限設置為私有,或者授權策略中包含只允許特定IP訪問的策略,視為“合規”。 | 資源目錄全局 | 可選 |
OSS存儲空間ACL禁止公共讀 | OSS存儲空間的ACL策略禁止公共讀,視為“合規”。 | 資源目錄全局 | 可選 |
賬號下所有ECS實例已安裝云安全中心代理 | 賬號下所有ECS實例均已安裝云安全中心代理,視為“合規”。 | 資源目錄全局 | 可選 |
VPC自定義網段已設置路由 | VPC自定義網段在關聯路由表中存在至少一條網段內IP的路由信息,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例使用SSL證書 | RDS實例的數據安全性設置開啟SSL證書,視為“合規”。 | 資源目錄全局 | 可選 |
ACK集群使用Terway網絡插件 | ACK集群使用Terway網絡插件,視為“合規”。 | 資源目錄全局 | 可選 |
ACK集群未設置公網連接端點 | ACK集群未設置公網連接端點,視為“合規”。 | 資源目錄全局 | 可選 |
ACK集群節點安裝云監控插件 | ACK集群節點均已安裝云監控插件,且插件運行狀態正常,視為“合規”。 | 資源目錄全局 | 可選 |
操作審計跟蹤狀態為開啟 | 操作審計跟蹤狀態為開啟,視為“合規”。 | 資源目錄全局 | 可選 |
使用高可用的RDS實例 | 使用的RDS實例為高可用版,視為“合規”。建議使用高可用版RDS實例,謹慎使用穩定性較差的基礎版。 | 資源目錄全局 | 可選 |
使用多可用區的RDS實例 | RDS實例為多可用區實例,視為“合規”。 | 資源目錄全局 | 可選 |
RDS實例正確開啟安全白名單 | RDS實例已開啟安全白名單,且安全白名單中不包含0.0.0.0/0,視為“合規”。 | 資源目錄全局 | 可選 |
使用專有網絡類型的Redis實例 | 如果指定參數,則檢查Redis實例關聯的專有網絡在指定參數范圍內視為“合規”;如果未指定參數,則檢查Redis實例的網絡類型為專有網絡,視為“合規”。 | 資源目錄全局 | 可選 |
Redis實例IP白名單不設置為全網段 | Redis實例IP白名單未設置為0.0.0.0/0,視為“合規”。 | 資源目錄全局 | 可選 |
使用專有網絡類型的MongoDB實例 | 如果指定參數,則檢查MongoDB實例關聯的專有網絡在指定參數范圍內視為“合規”;如果未指定參數,則檢查MongoDB實例的網絡類型為專有網絡,視為“合規”。 | 資源目錄全局 | 可選 |
MongoDB實例IP白名單禁止設置為全網段 | MongoDB實例IP白名單未設置為0.0.0.0/0,視為“合規”。 | 資源目錄全局 | 可選 |
推薦使用專有網絡類型的PolarDB實例 | 如果指定參數,則檢查PolarDB實例關聯的專有網絡在指定參數范圍內視為“合規”;如果未指定參數,則檢查PolarDB實例的網絡類型為專有網絡,視為“合規”。 | 資源目錄全局 | 可選 |
使用數據庫代理模式訪問SQL Server | RDS實例SQL Server類型數據庫的訪問模式為代理模式,視為“合規”。 | 資源目錄全局 | 可選 |
SLB訪問控制列表不允許配置所有地址段 | SLB訪問控制列表中不包含0.0.0.0/0條目,視為“合規”。 | 資源目錄全局 | 可選 |
彈性IP實例帶寬滿足最低要求 | 彈性IP實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10 MB。 | 資源目錄全局 | 可選 |
SLB實例滿足指定帶寬要求 | SLB實例可用帶寬大于等于指定參數值,視為“合規”。默認值:10 MB。 | 資源目錄全局 | 可選 |
PolarDB實例IP白名單禁止設置為全網段 | PolarDB實例IP白名單未設置為0.0.0.0/0,視為“合規”。 | 資源目錄全局 | 可選 |