Lakukan pemeriksaan menyeluruh terhadap arsitektur jaringan dan keamanan data Anda untuk memastikan sistem dan data dikonfigurasi serta dilindungi secara tepat. Praktik ini juga mengurangi risiko pelanggaran jaringan dan data. Untuk informasi lebih lanjut, lihat persyaratan CIS Benchmarks. Topik ini menjelaskan aturan default untuk praktik terbaik keamanan jaringan dan data.
Nama Aturan | Deskripsi |
Memeriksa apakah fitur enkripsi diaktifkan untuk setiap disk data ECS yang sedang digunakan. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah jenis jaringan setiap Instance ECS diatur ke VPC jika Anda tidak mengonfigurasi parameter vpcIds. Jika ya, hasil evaluasi adalah Sesuai. Memeriksa apakah virtual private cloud (VPC) tempat setiap Instance ECS berada sama dengan VPC tertentu jika Anda mengonfigurasi parameter vpcIds. Jika ya, hasil evaluasi juga Sesuai. Pisahkan beberapa nilai parameter dengan koma (,). | |
Memeriksa apakah enkripsi sisi server diaktifkan untuk setiap Bucket OSS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah tidak ada endpoint publik yang dikonfigurasi untuk setiap Instance RDS. Jika ya, hasil evaluasi adalah Sesuai. Untuk mencegah serangan siber, kami menyarankan agar Anda tidak mengonfigurasi akses langsung ke Instance RDS di lingkungan produksi melalui Internet. | |
Memeriksa apakah MFA diaktifkan dalam pengaturan login setiap pengguna RAM yang memiliki fitur akses konsol diaktifkan. Jika ya, hasil evaluasi adalah Sesuai. | |
Akun Alibaba Cloud dianggap "compliant" jika tidak memiliki AccessKey. | |
Memeriksa apakah otentikasi multi-faktor (MFA) diaktifkan untuk setiap akun Alibaba Cloud. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah pengaturan kebijakan kata sandi yang dikonfigurasi untuk setiap pengguna RAM memenuhi nilai tertentu. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah parameter Action setiap pengguna RAM, grup pengguna RAM, dan peran RAM tidak disetel ke *. Jika ya, hasil evaluasi adalah Sesuai. Asterisk (*) menentukan izin administrator super. | |
Jangan memberikan kebijakan secara langsung kepada pengguna RAM | Memeriksa apakah kebijakan terlampir pada setiap pengguna RAM. Jika ya, hasil evaluasi adalah Sesuai. Kami menyarankan agar pengguna RAM mewarisi izin dari grup pengguna RAM atau peran. |
Memeriksa apakah fitur logging diaktifkan untuk setiap bucket Object Storage Service (OSS) di halaman Logs. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kunci KMS kustom digunakan untuk mengenkripsi data setiap bucket OSS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur SQL explorer dan audit diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur SQL explorer dan audit diaktifkan untuk setiap instance ApsaraDB RDS for MySQL dan apakah jumlah hari penyimpanan log audit SQL lebih besar dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 180. Satuan: hari. | |
Memeriksa apakah parameter log_connections setiap database ApsaraDB RDS for PostgreSQL disetel ke on. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah parameter log_disconnections setiap database ApsaraDB RDS for PostgreSQL disetel ke on. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah parameter log_duration setiap database ApsaraDB RDS for PostgreSQL disetel ke on. Jika ya, hasil evaluasi adalah Sesuai. | |
Tetapkan kebijakan akses untuk melarang akses anonim ke bucket OSS publik | Memeriksa apakah kebijakan otorisasi ditentukan untuk setiap bucket OSS yang mengizinkan akses baca dan tulis publik dan tidak ada izin baca/tulis yang diberikan kepada akun anonim dalam kebijakan otorisasi. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk bucket OSS yang memiliki izin baca/tulis privat. |
Tetapkan kebijakan akses untuk bucket OSS guna menegakkan akses aman | Memeriksa apakah kebijakan bucket setiap bucket OSS mengizinkan akses baca dan tulis melalui HTTPS dan menolak akses melalui HTTP. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk bucket OSS yang tidak memiliki kebijakan bucket. |
Menetapkan pembatasan IP dalam kebijakan otorisasi bucket OSS | Memeriksa apakah izin baca/tulis bucket OSS disetel ke privat atau kebijakan otorisasi bucket OSS mencakup daftar putih IP tertentu. Jika ya, hasil evaluasi adalah Sesuai. |
Memeriksa apakah kebijakan bucket setiap bucket OSS menolak akses baca dan tulis dari Internet. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah kebijakan bucket setiap bucket OSS menolak akses baca dari Internet. Jika ya, hasil evaluasi adalah Sesuai. | |
Semua instance ECS dalam akun memiliki agen Security Center terinstal | Memeriksa apakah agen Security Center terinstal pada setiap Instance ECS yang dimiliki oleh akun saat ini. Jika ya, hasil evaluasi adalah Sesuai. |
Memeriksa apakah kerentanan yang diidentifikasi oleh Security Center pada setiap Instance ECS telah diperbaiki. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah setidaknya satu entri yang berisi informasi routing tentang alamat IP setiap blok CIDR VPC kustom ada dalam tabel routing terkait. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah setiap pengguna RAM telah masuk dalam 90 hari terakhir. Jika ya, hasil evaluasi adalah Sesuai. Memeriksa apakah pengguna RAM telah diperbarui dalam 90 hari terakhir. Jika ya, hasil evaluasi adalah Sesuai tanpa memandang apakah pengguna RAM baru saja masuk. Aturan ini tidak berlaku untuk pengguna RAM yang memiliki akses konsol dinonaktifkan. | |
Memeriksa apakah waktu pembuatan pasangan AccessKey setiap pengguna RAM lebih awal dari jumlah hari tertentu sebelum waktu pemeriksaan. Jika ya, hasil evaluasi adalah Sesuai. Nilai default: 90. Satuan: hari. | |
Memeriksa apakah fitur log aliran diaktifkan untuk setiap virtual private cloud (VPC). Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur Transparent Data Encryption (TDE) diaktifkan dalam pengaturan keamanan data setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur sertifikat SSL diaktifkan dalam pengaturan keamanan data setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah sesuai. | |
Memeriksa apakah jejak aktif ada di ActionTrail dan semua jenis peristiwa yang dihasilkan di semua wilayah dilacak. Jika ya, hasil evaluasi adalah sesuai. Memeriksa apakah administrator setiap direktori sumber daya telah membuat jejak yang berlaku untuk semua akun anggota. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah fitur pengumpulan log diaktifkan untuk setiap nama domain yang dilindungi oleh Web Application Firewall (WAF). Jika ya, hasil evaluasi adalah Sesuai. | |
Kluster ACK compliant jika menggunakan plugin jaringan Terway. | |
Titik akhir kluster ACK tidak memiliki koneksi jaringan publik | Memeriksa apakah endpoint publik dikonfigurasi untuk server API di setiap kluster ACK. Jika tidak, hasil evaluasi adalah Sesuai. |
Memeriksa apakah agen CloudMonitor terinstal pada semua node di setiap kluster Container Service for Kubernetes (ACK) dan berjalan sesuai harapan. Jika ya, hasil evaluasi adalah Sesuai. | |
Memeriksa apakah metode notifikasi ditentukan untuk setiap item notifikasi Security Center. Jika ya, hasil evaluasi adalah sesuai. | |
Memeriksa apakah Security Center Enterprise Edition atau edisi yang lebih canggih digunakan. Jika ya, hasil evaluasi adalah sesuai. | |
Jika blok CIDR arah masuk grup keamanan diatur ke 0.0.0.0/0, range port untuk protokol yang ditentukan tidak mencakup port ancaman yang ditentukan. Ini compliant. Jika blok CIDR arah masuk tidak diatur ke 0.0.0.0/0, grup keamanan compliant meskipun range port mencakup port ancaman yang ditentukan. Jika port ancaman yang terdeteksi ditolak oleh kebijakan otorisasi dengan prioritas lebih tinggi, grup keamanan compliant. Aturan ini tidak berlaku untuk grup keamanan yang digunakan oleh produk cloud atau operator virtual. | |
Aktifkan perlindungan Security Center pada instance ECS yang berjalan | Agen Security Center membantu melindungi keamanan Instance ECS. Memeriksa apakah agen Security Center terinstal pada setiap Instance ECS. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini tidak berlaku untuk Instance ECS yang tidak berjalan. |
Tetapkan tingkat keparahan untuk pemindaian kerentanan Security Center | Memeriksa apakah pemindaian kerentanan untuk risiko tingkat tertentu dikonfigurasi di konsol Security Center. Jika ya, hasil evaluasi adalah Sesuai. |
Memeriksa apakah kunci kustom digunakan untuk mengaktifkan TDE untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Sesuai. |