Memeriksa kepatuhan sumber daya Alibaba Cloud berdasarkan persyaratan spesifik dari Skema Perlindungan Multi-Level (MLPS) 2.0 Level 2. Template paket kepatuhan menyediakan kerangka umum untuk membuat paket kepatuhan. Anda dapat menentukan parameter input aturan dan mengonfigurasi pengaturan remediasi berdasarkan template tersebut untuk memenuhi kebutuhan bisnis Anda. Jika sumber daya dinilai patuh, hal ini hanya berdasarkan aturan kepatuhan. Namun, sumber daya tersebut mungkin belum memenuhi persyaratan hukum, peraturan, atau standar industri.
Nama aturan | Kode | Deskripsi kode | Deskripsi aturan |
eip-bandwidth-limit | 7.1.2.1 | b) Pastikan bahwa bandwidth setiap komponen jaringan memenuhi kebutuhan Anda selama jam sibuk. | Memeriksa apakah bandwidth yang tersedia untuk setiap alamat IP elastis (EIP) lebih besar dari atau sama dengan nilai tertentu. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 10. Satuan: MB. |
slb-loadbalancer-bandwidth-limit | Memeriksa apakah bandwidth yang tersedia untuk setiap instance Server Load Balancer (SLB) lebih besar dari atau sama dengan nilai yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 10. Satuan: MB. | ||
cen-cross-region-bandwidth-check | Memeriksa apakah bandwidth yang dialokasikan untuk koneksi antar wilayah setiap instance Cloud Enterprise Network (CEN) lebih besar dari nilai tertentu. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 1. Satuan: Mbit/s. | ||
natgateway-snat-eip-bandwidth-check | Memeriksa apakah beberapa EIP yang terkait dengan setiap entri SNAT dari NAT gateway ditambahkan ke rencana bandwidth EIP, atau bandwidth maksimum yang ditentukan dari EIP ini sama. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk NAT gateway Virtual Private Cloud (VPC). | ||
oss-bucket-policy-no-any-anonymous | 7.1.3.1 | a) Hanya izinkan permintaan akses lintas batas dan paket data yang ditransmisikan melalui antarmuka terkontrol perangkat perbatasan. | Memeriksa apakah izin baca dan tulis diberikan kepada setiap akun anonim. Jika tidak, hasil evaluasi adalah Patuh. Jika tidak ada kebijakan yang ditentukan untuk bucket Object Storage Service (OSS), hasil evaluasi adalah Patuh. |
sg-public-access-check | Memeriksa apakah kebijakan otorisasi inbound setiap grup keamanan diatur ke Mengizinkan dan rentang port diatur ke -1/-1 atau alamat IP yang diotorisasi diatur ke 0.0.0.0/0, atau kebijakan otorisasi dengan prioritas lebih tinggi dikonfigurasi. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk grup keamanan yang digunakan oleh layanan cloud atau operator jaringan virtual. | ||
rds-public-connection-and-any-ip-access-check | Memeriksa apakah alamat IP publik digunakan untuk instance ApsaraDB RDS dalam akun Anda atau apakah daftar putih tidak diaktifkan untuk semua alamat IP sumber. Jika ya, hasil evaluasi adalah Patuh. | ||
redis-instance-open-auth-mode | Memeriksa apakah fitur autentikasi berbasis kata sandi diaktifkan untuk setiap instance ApsaraDB for Redis dalam VPC Anda. Jika ya, hasil evaluasi adalah Patuh. | ||
cr-instance-any-ip-access-check | Memeriksa apakah 0.0.0.0/0 ditambahkan ke daftar putih alamat IP setiap instance Container Registry. Jika tidak, hasil evaluasi adalah Patuh. Aturan ini berlaku untuk instance Container Registry Edisi Perusahaan. | ||
elasticsearch-public-and-any-ip-access-check | 7.1.3.1 | a) Hanya izinkan permintaan akses lintas batas dan paket data yang ditransmisikan melalui antarmuka terkontrol perangkat perbatasan. | Memeriksa apakah setiap kluster Elasticsearch menolak akses dari jaringan publik atau tidak mengizinkan akses dari semua alamat IP. Jika ya, hasil evaluasi adalah Patuh. |
sg-risky-ports-check | 7.1.3.2 | Konfigurasikan aturan kontrol akses di perbatasan jaringan atau antar zona jaringan berdasarkan kebijakan kontrol akses. Antarmuka yang dikelola hanya mengizinkan permintaan komunikasi yang sesuai dengan aturan. | Memeriksa apakah 0.0.0.0/0 ditentukan sebagai objek otorisasi dalam aturan inbound setiap grup keamanan dan port yang dipilih tidak mengandung port berisiko tinggi. Jika ya, hasil evaluasi adalah Patuh. Jika 0.0.0.0/0 tidak ditentukan sebagai objek otorisasi dalam aturan inbound setiap grup keamanan, hasil evaluasi adalah Patuh tanpa memperhatikan apakah port yang dipilih mengandung port berisiko tinggi. Jika port berisiko tinggi ditolak oleh kebijakan otorisasi dengan prioritas lebih tinggi, konfigurasi dianggap patuh. Aturan ini tidak berlaku untuk grup keamanan yang digunakan oleh layanan cloud atau operator jaringan virtual. |
nat-risk-ports-check | Memeriksa apakah port berisiko tinggi yang ditentukan dipetakan menggunakan entri DNAT dari NAT Gateway. | ||
vpc-network-acl-risky-ports-check | Memeriksa apakah alamat IP tujuan yang ditentukan dalam aturan inbound untuk kontrol akses VPC diatur ke 0.0.0.0/0 dan rentang port yang ditentukan tidak mengandung port berisiko tinggi. Jika ya, hasil evaluasi adalah Patuh. | ||
slb-all-listener-enabled-acl | Memeriksa apakah fitur kontrol akses dikonfigurasi untuk pendengar setiap instance SLB. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance SLB yang tidak memiliki pendengar yang dikonfigurasi. | ||
alb-all-listener-enabled-acl | Memeriksa apakah fitur kontrol akses diaktifkan untuk semua pendengar setiap instance ALB. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance SLB yang tidak memiliki pendengar yang dikonfigurasi. | ||
slb-acl-public-access-check | Memeriksa apakah ACL setiap instance SLB tidak mencakup 0.0.0.0/0. Jika ya, hasil evaluasi adalah Patuh. | ||
oss-authorization-policy-ip-limit-enabled | Memeriksa apakah izin baca atau tulis bucket OSS diatur ke pribadi atau kebijakan otorisasi bucket OSS mencakup daftar putih IP tertentu. Jika ya, hasil evaluasi adalah Patuh. | ||
use-ddos-instance-for-security-protection | 7.1.3.3 | Serangan jaringan harus diawasi di simpul jaringan kritis. | Memeriksa apakah Anti-DDoS digunakan untuk mencegah serangan DDoS. Jika ya, hasil evaluasi adalah Patuh. |
use-cloud-fire-wall-for-security-protection | Memeriksa apakah Cloud Firewall digunakan untuk melindungi batas jaringan Anda. Jika ya, hasil evaluasi adalah Patuh. | ||
security-center-version-check | 7.1.3.4 | Periksa apakah sistem Anda dapat mendeteksi dan menghapus kode jahat di simpul jaringan kritis dan apakah sistem Anda dapat memperbarui mekanisme pencegahan kode jahat secara tepat waktu. | Memeriksa apakah Security Center Edisi Perusahaan atau edisi yang lebih canggih digunakan. Jika ya, hasil evaluasi adalah Patuh. |
security-center-defense-config-check | Memeriksa apakah pertahanan proaktif tipe tertentu diaktifkan di konsol Security Center. Jika ya, hasil evaluasi adalah Patuh. | ||
waf3-instance-enabled-specified-defense-rules | Memeriksa apakah aturan untuk skenario perlindungan tertentu diaktifkan untuk instance WAF 3.0. Jika ya, hasil evaluasi adalah Patuh. | ||
use-waf-instance-for-security-protection | Memeriksa apakah Web Application Firewall (WAF) digunakan untuk melindungi situs web atau aplikasi Anda. Jika ya, hasil evaluasi adalah Patuh. | ||
actiontrail-trail-intact-enabled | 7.1.3.5 7.1.4.3 | 7.1.3.5 b) Sediakan tanggal kejadian, waktu kejadian, pengguna, jenis kejadian, apakah kejadian berhasil, dan informasi lain yang relevan dengan audit dalam catatan audit. 7.1.4.3 b) Sediakan tanggal kejadian, waktu kejadian, pengguna, jenis kejadian, apakah kejadian berhasil, dan informasi lain yang relevan dengan audit dalam catatan audit. | Memeriksa apakah jejak aktif ada di ActionTrail dan acara semua jenis yang dihasilkan di semua wilayah dilacak. Jika ya, hasil evaluasi adalah Patuh. Jika administrator direktori sumber daya telah membuat jejak yang berlaku untuk semua anggota, hasil evaluasi adalah Patuh. |
rds-instance-enabled-auditing | Memeriksa apakah fitur penjelajah SQL dan audit diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Patuh. | ||
adb-cluster-audit-log-enabled | Memeriksa apakah fitur penjelajah SQL dan audit diaktifkan untuk setiap kluster AnalyticDB for MySQL. Jika ya, hasil evaluasi adalah Patuh. | ||
vpc-flow-logs-enabled | Memeriksa apakah fitur log aliran diaktifkan untuk setiap VPC. Jika ya, hasil evaluasi adalah Patuh. | ||
ram-password-policy-check | 7.1.4.1 | b) Tangani kegagalan login, dan konfigurasikan fitur terkait untuk secara otomatis menutup sesi, membatasi penyalahgunaan login, dan keluar saat sesi habis waktu. | Memeriksa apakah pengaturan kebijakan kata sandi yang dikonfigurasi untuk setiap pengguna RAM memenuhi nilai yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. |
ram-user-last-login-expired-check | 7.1.4.2 | c) Hapus atau nonaktifkan akun yang berlebihan dan kedaluwarsa, dan nonaktifkan akun bersama. d) Terapkan prinsip hak istimewa minimal kepada administrator untuk memastikan pemisahan hak istimewa. | Memeriksa apakah setiap pengguna RAM masuk ke sistem setidaknya sekali dalam 90 hari sebelumnya. Jika ya, hasil evaluasi adalah Patuh. Jika pengguna RAM diperbarui dalam 90 hari sebelumnya, hasil evaluasi dianggap patuh tanpa memperhatikan apakah pengguna RAM baru-baru ini masuk ke sistem. Aturan ini tidak berlaku untuk pengguna RAM yang akses konsol dinonaktifkan. |
ram-policy-in-use-check | Memeriksa apakah kebijakan dilampirkan ke setidaknya satu grup pengguna RAM, peran RAM, atau pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. | ||
ram-group-has-member-check | Memeriksa apakah setiap grup pengguna RAM berisi setidaknya satu pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. | ||
ram-user-no-policy-check | Memeriksa apakah kebijakan dilampirkan ke setiap pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. Kami merekomendasikan agar pengguna RAM mewarisi izin dari grup pengguna RAM atau peran. | ||
ram-user-ak-used-expired-check | Memeriksa apakah durasi antara tanggal ketika pasangan AccessKey setiap pengguna RAM terakhir digunakan dan tanggal saat ini kurang dari jumlah hari tertentu. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 90. Satuan: hari. | ||
ram-policy-no-statements-with-admin-access-check | Memeriksa apakah parameter Action dan Resource setiap pengguna RAM, grup pengguna RAM, dan peran RAM tidak diatur ke *. Jika ya, hasil evaluasi adalah Patuh. Tanda asterisk (*) menunjukkan izin super administrator. | ||
ram-user-login-check | Memeriksa apakah salah satu fitur akses konsol dan akses API diaktifkan untuk setiap pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. | ||
ecs-instance-enabled-security-protection | 7.1.4.4 | e) Deteksi kemungkinan kerentanan yang dikenal, dan perbaiki kerentanan setelah pengujian dan evaluasi lengkap. | Mengizinkan Anda menginstal agen CloudMonitor pada instance untuk menyediakan layanan perlindungan keamanan. Memeriksa apakah agen Security Center diinstal pada setiap instance ECS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. |
ecs-instance-updated-security-vul | Memeriksa apakah kerentanan yang belum diperbaiki dari tipe tertentu atau level tertentu dideteksi oleh Security Center pada instance ECS. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. | ||
ecs-disk-auto-snapshot-policy | 7.1.4.8 | a) Sediakan fitur yang diperlukan untuk mencadangkan dan memulihkan data lokal penting. b) Sediakan fitur yang diperlukan untuk mencadangkan data penting ke lokasi tujuan jarak jauh secara real-time melalui jaringan komunikasi. | Memeriksa apakah kebijakan snapshot otomatis ditentukan untuk setiap disk ECS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk disk yang tidak digunakan, disk yang tidak mendukung kebijakan snapshot otomatis, dan disk non-persisten yang dilampirkan ke kluster ACK. |