Topik ini menjelaskan aturan default untuk praktik terbaik keamanan platform Alibaba Cloud. Berdasarkan pengalaman Alibaba Cloud dalam administrasi keamanan, aturan-aturan ini secara terus-menerus mendeteksi konfigurasi berisiko di berbagai area keamanan utama, termasuk keamanan akun, keamanan sumber daya cloud, keamanan jaringan, keamanan data, pencadangan dan pemulihan, serta audit log.
Nama Aturan | Deskripsi Aturan |
Akun Alibaba Cloud dianggap sesuai jika otentikasi multi-faktor (MFA) diaktifkan. Mengaktifkan MFA untuk Akun Alibaba Cloud membantu mengurangi risiko pencurian akun. | |
Akun Alibaba Cloud dianggap sesuai jika tidak memiliki AccessKey. AccessKey dari Akun Alibaba Cloud memiliki izin yang sangat luas dan tidak dapat dibatasi. Kebocoran AccessKey dapat menimbulkan konsekuensi bencana. Sebagai gantinya, gunakan AccessKey milik Pengguna RAM dan terapkan kontrol akses yang tepat. | |
API API Gateway dianggap sesuai jika menggunakan HTTPS untuk permintaan publik guna mengenkripsi data saat transit. Aturan ini tidak berlaku untuk API yang dibatasi hanya untuk panggilan jaringan internal, yang dianggap tidak relevan. | |
Nama domain yang dipercepat dianggap sesuai jika HTTPS diaktifkan untuk mengenkripsi data saat transit. | |
Disk ECS dianggap sesuai jika kebijakan snapshot otomatis dikonfigurasi. Disk yang tidak digunakan, tidak mendukung kebijakan snapshot otomatis, atau dipasang pada kluster ACK untuk penggunaan non-persisten dianggap tidak relevan. Saat kebijakan snapshot otomatis diaktifkan, Alibaba Cloud secara otomatis membuat snapshot untuk disk pada waktu yang ditentukan. Hal ini memungkinkan Anda memulihkan diri dengan cepat dari insiden keamanan seperti serangan virus atau ransomware. | |
Aktifkan perlindungan Security Center untuk instance ECS yang berjalan | Instans dianggap sesuai jika plugin Security Center diinstal pada host untuk perlindungan keamanan. Aturan ini tidak berlaku untuk instans yang tidak berjalan, yang dianggap tidak relevan. |
Instance ECS dianggap sesuai jika jenis jaringannya adalah virtual private cloud (VPC). Jika parameter ditentukan, instans dianggap sesuai jika berada dalam VPC tertentu. Menggunakan instance ECS dalam VPC membantu menerapkan isolasi jaringan dasar dan menjamin keamanan jaringan lingkungan cloud Anda. | |
Host Linux dianggap sesuai jika pasangan kunci digunakan untuk masuk. Pasangan kunci SSH merupakan metode autentikasi masuk yang aman dan nyaman serta tahan terhadap serangan brute-force. | |
Cegah grup keamanan membuka port berisiko ke semua alamat IP untuk protokol tertentu | Grup keamanan dianggap sesuai jika aturan masuknya untuk protokol tertentu tidak membuka port berisiko tertentu ke blok CIDR 0.0.0.0/0. Praktik ini mengurangi risiko serangan brute-force terhadap kata sandi logon server. Jika port berisiko yang terdeteksi ditolak oleh kebijakan otorisasi dengan prioritas lebih tinggi, grup keamanan tersebut juga dianggap sesuai. Grup keamanan yang digunakan oleh produk cloud atau operator virtual dianggap tidak relevan. Secara default, aturan ini mendeteksi port berisiko 22 dan 3389. |
Instance MongoDB dianggap sesuai jika akses jaringan publik dinonaktifkan atau daftar putih tidak diatur untuk mengizinkan akses dari sumber mana pun. Hal ini membantu mencegah serangan, termasuk serangan brute-force, serta mengurangi risiko kebocoran data. | |
Instance MongoDB dianggap sesuai jika cadangan log diaktifkan. Cadangan log memungkinkan Anda memulihkan data ke titik waktu apa pun dalam periode retensi. | |
Bucket OSS dianggap sesuai jika daftar kontrol akses (ACL)-nya tidak diatur ke baca-tulis publik. Jika bucket OSS memiliki izin baca-tulis publik, pengunjung mana pun dapat menulis ke bucket tersebut, sehingga menimbulkan risiko injeksi data berbahaya. Izin ini harus dinonaktifkan. | |
Bucket OSS dianggap sesuai jika ACL-nya tidak diatur ke baca-publik. Izin baca-publik meningkatkan risiko kebocoran data. Izin ini harus dinonaktifkan. | |
Tetapkan kebijakan akses untuk bucket OSS publik dan jangan berikan izin kepada akun anonim | Bucket OSS dengan izin baca atau tulis publik dianggap sesuai jika kebijakan otorisasi dikonfigurasi tanpa memberikan izin baca atau tulis kepada akun anonim. Hal ini mengurangi risiko kebocoran data. Bucket OSS dengan izin privat dianggap tidak relevan. |
Instance PolarDB dianggap sesuai jika akses jaringan publik dinonaktifkan atau daftar putih IP tidak diatur untuk mengizinkan akses dari semua alamat IP. Hal ini membantu mencegah serangan, termasuk serangan brute-force, serta mengurangi risiko kebocoran data. | |
Kluster PolarDB dianggap sesuai jika enkripsi SSL diaktifkan untuk melindungi data saat transit. | |
Tetapkan periode retensi cadangan log untuk kluster PolarDB lebih dari 30 hari | Kluster PolarDB dianggap sesuai jika periode retensi cadangan log-nya minimal sejumlah hari yang ditentukan. Nilai default parameter ini adalah 30 hari. Kluster dianggap tidak sesuai jika cadangan log dinonaktifkan atau periode retensinya lebih pendek dari jumlah hari yang ditentukan. Cadangan log memungkinkan Anda memulihkan data ke titik waktu apa pun dalam periode retensi. |
Jangan berikan izin super administrator (Admin) kepada Pengguna RAM | Konfigurasi dianggap sesuai jika tidak ada Pengguna RAM, Grup pengguna RAM, atau Peran RAM yang diberikan izin Admin dengan Resource diatur ke * dan Action diatur ke *. Untuk mengikuti prinsip hak istimewa minimal, jangan berikan izin ini. |
Pengguna RAM dengan akses konsol dianggap sesuai jika MFA diaktifkan. Mengaktifkan MFA membantu mengurangi risiko pencurian akun. | |
Pastikan tidak ada AccessKey yang tidak aktif untuk Pengguna RAM | AccessKey Pengguna RAM dianggap sesuai jika telah digunakan dalam jumlah hari yang ditentukan oleh parameter. Nilai default-nya adalah 90 hari. Jika AccessKey dipastikan tidak aktif, Anda harus segera menonaktifkannya. |
Instance RDS dianggap sesuai jika tidak dikonfigurasi dengan Alamat IP publik. Anda tidak boleh mengaktifkan Akses Internet Langsung untuk instance RDS di lingkungan produksi. Melakukannya membuat instance rentan terhadap serangan, termasuk serangan brute-force, yang dapat menyebabkan kebocoran data. | |
Instance RDS dianggap sesuai jika cadangan log diaktifkan. Instance read-only dianggap tidak relevan. Cadangan log memungkinkan Anda memulihkan data ke titik waktu apa pun dalam periode retensi. | |
Aktifkan SSL untuk instance RDS dan gunakan Versi TLS tertentu | Instance RDS dianggap sesuai jika SSL diaktifkan dan Versi TLS yang digunakan merupakan salah satu versi yang ditentukan oleh parameter. Praktik ini mengenkripsi data saat transit. |
Instance Redis dianggap sesuai jika akses jaringan publik dinonaktifkan atau daftar putihnya tidak diatur untuk mengizinkan akses dari sumber mana pun. Mengaktifkan akses publik dari sumber mana pun membuat instance Redis rentan terhadap serangan, termasuk serangan brute-force, yang dapat menyebabkan kebocoran data. | |
Instance Redis dianggap sesuai jika enkripsi SSL diaktifkan untuk melindungi data saat transit. | |
Instance Redis dianggap sesuai jika cadangan inkremental diaktifkan. Aturan ini hanya berlaku untuk instance Tair atau Edisi Perusahaan. Instance jenis lain dianggap tidak relevan. Cadangan inkremental memungkinkan Anda memulihkan data ke titik waktu apa pun dalam periode retensi. | |
Jangan konfigurasi daftar kontrol akses instance CLB ke semua segmen alamat | Instance Classic Load Balancer (CLB) dianggap sesuai jika daftar kontrol aksesnya tidak berisi entri 0.0.0.0/0. Untuk layanan selain HTTP dan HTTPS, Anda harus mengaktifkan kontrol akses, mengonfigurasi daftar putih, dan memastikan bahwa aturan daftar putih tidak mencakup 0.0.0.0/0. |
Pastikan pendengar instance CLB tidak mencakup port berisiko | Instance CLB dianggap sesuai jika pendengarnya tidak memantau port berisiko tertentu. Anda tidak boleh meneruskan port seperti 22 dan 3389 ke internet untuk mengurangi risiko serangan, termasuk serangan brute-force. |
Instance CLB dianggap sesuai jika pendengar HTTPS dikonfigurasi pada port tertentu untuk mengenkripsi data saat transit. Jika instance CLB hanya memiliki pendengar TCP atau UDP, instance tersebut dianggap tidak relevan. Port default-nya adalah 443. Anda dapat memisahkan beberapa port dengan koma. Instance dianggap sesuai jika pendengar HTTPS diaktifkan pada salah satu port yang ditentukan. | |
VPC dianggap sesuai jika alamat sumber dalam aturan masuknya untuk protokol TCP atau UDP pada port 22 dan 3389 bukan 0.0.0.0/0. Praktik ini mengurangi risiko serangan brute-force terhadap kata sandi logon server. |