Topik ini menjelaskan latar belakang, skenario, dan aturan default dari template paket kepatuhan BestPracticeForInternetAccessResourceDetection.
Informasi Latar Belakang
Mengaktifkan akses Internet untuk sumber daya Alibaba Cloud tanpa batasan dapat meningkatkan risiko keamanan dan biaya manajemen. Untuk memenuhi persyaratan terkait keamanan, biaya, izin, dan pemantauan, tim TI perusahaan biasanya menerapkan egress Internet yang aman secara terpusat. Pendekatan ini mencegah aktivasi akses Internet pada sumber daya tanpa batasan, mengurangi risiko serangan siber dan kebocoran data. Anda dapat menggunakan paket kepatuhan berdasarkan template ini untuk memeriksa apakah akses Internet diaktifkan tanpa batasan pada sumber daya cloud.
Skenario
Template ini berlaku untuk perusahaan yang memiliki data bisnis penting dan layanan dikelola oleh Alibaba Cloud.
Aturan Default
Nama Aturan | Deskripsi |
Memeriksa apakah akses Internet diaktifkan untuk setiap instance ApsaraDB for Redis dan semua blok CIDR telah ditambahkan ke daftar IP putih. Jika tidak, hasil evaluasi adalah Kepatuhan. Jika ya, hasil evaluasi adalah Tidak Patuh. | |
Memeriksa apakah akses Internet diaktifkan untuk setiap instance ApsaraDB RDS dan blok CIDR 0.0.0.0/0 telah ditambahkan ke daftar putih. Jika ya, hasil evaluasi adalah Tidak Patuh. | |
Memeriksa apakah akses Internet diaktifkan dan akses Internet apa pun diizinkan untuk setiap instance PolarDB. Jika ya, hasil evaluasi adalah Tidak Patuh. | |
Memeriksa apakah akses Internet diaktifkan dan akses dari alamat IP apa pun diizinkan untuk setiap instance PolarDB. Jika ya, hasil evaluasi adalah Tidak Patuh. | |
Memeriksa apakah akses Internet diaktifkan dan akses Internet apa pun diizinkan untuk setiap instance ApsaraDB for MongoDB. Jika ya, hasil evaluasi adalah Tidak Patuh. | |
Memeriksa apakah akses Internet diaktifkan dan akses Internet apa pun diizinkan untuk setiap kluster Elasticsearch. Jika ya, hasil evaluasi adalah Tidak Patuh. | |
Memeriksa apakah tipe jaringan setiap instance Tablestore diatur ke VPC atau Console Access. Jika ya, hasil evaluasi adalah Kepatuhan. | |
Memeriksa apakah setiap kluster MSE mengizinkan akses dari Internet dengan otentikasi diaktifkan, atau menolak akses dari Internet. Jika ya, hasil evaluasi adalah Kepatuhan. | |
Memeriksa apakah kebijakan otorisasi arah masuk setiap grup keamanan diatur ke Mengizinkan dan rentang port diatur ke -1/-1 atau alamat IP yang diotorisasi diatur ke 0.0.0.0/0, atau kebijakan otorisasi dengan prioritas lebih tinggi dikonfigurasi. Jika ya, hasil evaluasi adalah Kepatuhan. Jika grup keamanan digunakan oleh layanan cloud atau operator jaringan virtual, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah titik akhir publik ditentukan untuk setiap kluster Container Service for Kubernetes. Jika tidak, hasil evaluasi adalah Kepatuhan. | |
Memeriksa apakah tipe repositori gambar Container Registry adalah Private. Jika ya, hasil evaluasi adalah Kepatuhan. | |
Akses Internet dinonaktifkan untuk kluster ApsaraDB for HBase. | Memeriksa apakah akses Internet dinonaktifkan untuk kluster ApsaraDB for HBase. Jika ya, hasil evaluasi adalah Kepatuhan. |
Memeriksa apakah akses Internet dinonaktifkan untuk setiap instance AnalyticDB. Jika ya, hasil evaluasi adalah Kepatuhan. | |
Memeriksa apakah tidak ada alamat IPv4 publik atau alamat IP elastis yang ditetapkan untuk instance ECS yang sedang berjalan. Jika ya, hasil evaluasi adalah Kepatuhan. |