Pilar keamanan dari Kerangka Berarsitektur Baik Alibaba Cloud membantu Anda mengelola dan menerapkan keamanan di semua aspek, termasuk jaringan, identitas, host, dan data, serta mendeteksi dan menanggapi ancaman secara berkelanjutan. Template paket kepatuhan menyediakan pemetaan antara pilar keamanan Kerangka Berarsitektur Baik Alibaba Cloud dan template aturan Cloud Config. Topik ini menjelaskan aturan default dalam praktik terbaik untuk pilar keamanan Kerangka Berarsitektur Baik Alibaba Cloud.
Nama Aturan | Deskripsi |
Memeriksa apakah jejak aktif ada di ActionTrail dan semua jenis peristiwa yang dihasilkan di semua wilayah dilacak. Jika ya, hasil evaluasi adalah Sesuai. Jika administrator setiap direktori sumber daya telah membuat jejak yang berlaku untuk semua akun anggota, hasil evaluasi juga Sesuai. | |
Memeriksa apakah periode pemeliharaan setiap kluster AnalyticDB berada dalam rentang waktu tertentu. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah akses Internet dinonaktifkan untuk setiap instance AnalyticDB. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika nama domain yang terikat pada setiap grup API di API Gateway ditambahkan ke WAF atau WAF 3.0, hasil evaluasi adalah Sesuai. | |
Jika sertifikat SSL ditentukan untuk domain kustom grup API dari API Gateway, hasil evaluasi adalah Sesuai. | |
Jika disk berada dalam status Digunakan, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk disk yang waktu pembuatannya berada dalam jumlah hari tertentu. Nilai defaultnya adalah 7. | |
Jika fitur enkripsi diaktifkan untuk setiap disk data ECS yang sedang digunakan, hasil evaluasi adalah Sesuai. | |
Mengizinkan Anda memasang agen CloudMonitor pada instance untuk memberikan layanan perlindungan keamanan. Jika agen CloudMonitor dipasang pada instance, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. | |
Memeriksa apakah peran RAM ditetapkan untuk setiap instance ECS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah setiap instance ECS berada dalam status Dihentikan. Jika tidak, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kerentanan yang belum diperbaiki dari tipe tertentu atau tingkat tertentu dideteksi oleh Security Center pada instance ECS. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. | |
Jika tidak ada parameter yang disetel, sistem akan memeriksa apakah tipe jaringan setiap instance ECS disetel ke VPC. Jika Anda menentukan parameter yang diperlukan, sistem akan memeriksa apakah VPC tempat instance ECS berada sesuai dengan pengaturan yang ditentukan. Jika ya, hasil evaluasi adalah Sesuai. Pisahkan beberapa nilai parameter dengan koma (,). | |
Memeriksa apakah alamat IPv4 publik atau alamat IP elastis tidak ditetapkan ke instance ECS yang sedang berjalan. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika tidak ada kelompok keamanan yang tidak digunakan, yang berarti setidaknya satu instance ECS ditambahkan ke setiap kelompok keamanan, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah 0.0.0.0/0 ditambahkan ke daftar putih alamat IP setiap kelompok keamanan dan port berisiko tinggi dinonaktifkan. Jika ya, hasil evaluasi adalah Sesuai. Jika blok CIDR arah masuk tidak disetel ke 0.0.0.0/0, hasil evaluasi tetap Sesuai meskipun rentang port mencakup port berisiko tinggi tertentu. Jika port berisiko tinggi ditolak oleh kebijakan otorisasi dengan prioritas lebih tinggi, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk layanan Alibaba Cloud selain ECS atau kelompok keamanan yang digunakan oleh operator jaringan virtual (VNO). | |
Memeriksa apakah setiap aturan arah masuk dalam kelompok keamanan hanya mengizinkan akses dari port dalam rentang tertentu ketika parameter Obyek Otorisasi aturan arah masuk disetel ke 0.0.0.0/0. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk kelompok keamanan yang digunakan oleh layanan cloud atau VNO. | |
Memeriksa apakah fitur enkripsi disk diaktifkan untuk node data setiap instance Elasticsearch. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah VPC tempat setiap kluster Elasticsearch berada berada dalam rentang VPC tertentu. Jika ya, hasil evaluasi adalah Sesuai. Memeriksa apakah setiap kluster Elasticsearch berada dalam VPC. Jika ya, hasil evaluasi juga Sesuai. | |
Jika konfigurasi penskalaan tidak menentukan bahwa alamat IPv4 dapat ditetapkan ke instance ECS, hasil evaluasi adalah Sesuai. | |
Jika akses Internet dinonaktifkan untuk Function Compute, hasil evaluasi adalah Sesuai. | |
Jika fungsi layanan dapat dipanggil hanya di VPC tertentu, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kunci master pelanggan (CMK) dari Key Management Service (KMS) milik Alibaba Cloud. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk CMK di KMS. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika status CMK yang digunakan tidak disetel ke pending deletion, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk rahasia KMS. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika fitur enkripsi sisi server diaktifkan untuk sistem file NAS yang Anda buat, hasil evaluasi aturan adalah Sesuai. | |
Memeriksa apakah fitur pencatatan diaktifkan untuk setiap Bucket Object Storage Service (OSS) di halaman Log. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kebijakan bucket setiap OSS bucket mengizinkan operasi baca dan tulis melalui HTTPS dan menolak akses melalui HTTP. Jika ya, hasil evaluasi adalah Sesuai. Untuk bucket OSS tanpa kebijakan bucket, hasil evaluasi adalah Tidak Berlaku. | |
Jika tidak ada izin baca dan tulis yang diberikan kepada akun anonim, hasil evaluasi adalah Sesuai. Jika tidak ada kebijakan yang ditentukan untuk bucket OSS, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kebijakan daftar kontrol akses (ACL) setiap OSS bucket menolak akses baca dari Internet. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kebijakan ACL setiap OSS bucket menolak akses baca dan tulis dari Internet. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah parameter Metode Enkripsi fitur enkripsi sisi server disetel ke OSS-Managed untuk setiap OSS bucket. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika versioning dinonaktifkan, data tidak dapat dipulihkan saat tertimpa atau dihapus. Jika versioning diaktifkan, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kunci KMS khusus digunakan untuk mengenkripsi data setiap OSS bucket. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika fitur enkripsi diaktifkan untuk semua tabel pada instance Tablestore, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah setiap grup pengguna RAM berisi setidaknya satu pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah pengaturan kebijakan kata sandi yang dikonfigurasikan untuk setiap pengguna RAM memenuhi nilai tertentu. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika parameter Action pengguna RAM, grup pengguna RAM, dan peran RAM tidak disetel ke asterisk (*), yang menunjukkan izin super administrator, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah waktu pembuatan pasangan AccessKey setiap pengguna RAM lebih awal dari jumlah hari tertentu sebelum waktu pemeriksaan. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 90. | |
Memeriksa apakah waktu penggunaan pasangan AccessKey setiap pengguna RAM lebih awal dari jumlah hari tertentu sebelum hari saat ini. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 90. | |
Memeriksa apakah setiap pengguna RAM termasuk dalam grup pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah MFA diaktifkan dalam pengaturan login setiap pengguna RAM yang memiliki fitur akses konsol diaktifkan. Jika ya, hasil evaluasi adalah Sesuai. | |
Jika peran RAM tidak memiliki izin administrator, izin administrator layanan cloud, atau izin yang diwarisi dari grup pengguna, konfigurasi dianggap sesuai. | |
Memeriksa apakah fitur Transparent Data Encryption (TDE) diaktifkan dalam pengaturan keamanan data setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur eksplorasi SQL dan audit diaktifkan untuk setiap instance ApsaraDB RDS for MySQL dan apakah jumlah hari penyimpanan log audit SQL lebih besar dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 180. | |
Memeriksa apakah akses Internet diaktifkan untuk instance ApsaraDB RDS akun Anda dan blok CIDR 0.0.0.0/0 ditambahkan ke daftar putih. Jika kondisi tersebut bernilai benar, hasil evaluasi adalah Tidak Sesuai. | |
Memeriksa apakah pasangan AccessKey dibuat untuk setiap akun Alibaba Cloud. Jika tidak, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah otentikasi multi-faktor (MFA) diaktifkan untuk akun Alibaba Cloud saat ini. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah Security Center versi Enterprise Edition atau edisi yang lebih canggih digunakan. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur log akses diaktifkan untuk setiap instance CLB. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk instance CLB yang pemantauan Lapisan 7 dinonaktifkan. | |
Memeriksa apakah listener HTTPS diaktifkan pada port tertentu dari setiap instance SLB. Jika ya, hasil evaluasi adalah Sesuai. Jika hanya listener TCP atau UDP yang diaktifkan pada port tertentu dari setiap instance SLB, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah fitur log aliran diaktifkan untuk setiap virtual private cloud (VPC). Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur pengumpulan log diaktifkan untuk setiap nama domain yang dilindungi oleh Web Application Firewall (WAF). Jika ya, hasil evaluasi adalah Sesuai. |