Memeriksa kepatuhan sumber daya Alibaba Cloud terhadap persyaratan spesifik Skema Perlindungan Multi-Tingkat (MLPS) 2.0 Tingkat 3. Template paket kepatuhan menyediakan kerangka dasar untuk membuat paket kepatuhan. Anda dapat menentukan parameter input aturan dan mengonfigurasi pengaturan remediasi berdasarkan template tersebut guna memenuhi kebutuhan bisnis Anda. Jika sumber daya dievaluasi sebagai Mematuhi, status ini hanya mencerminkan kepatuhan terhadap aturan yang ditentukan, bukan terhadap persyaratan hukum, peraturan, atau standar industri.
Nama aturan | Kode | Deskripsi kode | Deskripsi aturan |
eip-bandwidth-limit | 8.1.2.1 | b) Pastikan bahwa bandwidth setiap komponen jaringan memenuhi kebutuhan Anda selama jam sibuk. c) Rencanakan zona jaringan dan alokasikan alamat IP ke setiap zona untuk melakukan operasi manajemen yang efisien. | Memeriksa apakah bandwidth yang tersedia dari setiap alamat IP elastis (EIP) lebih besar dari atau sama dengan nilai tertentu. Jika ya, hasil evaluasi adalah Mematuhi. Nilai default: 10. Unit: MB. |
slb-loadbalancer-bandwidth-limit | Memeriksa apakah bandwidth yang tersedia dari setiap instance Server Load Balancer (SLB) lebih besar dari atau sama dengan nilai yang ditentukan. Jika ya, hasil evaluasi adalah Mematuhi. Nilai default: 10. Unit: MB. | ||
cen-cross-region-bandwidth-check | Memeriksa apakah bandwidth yang dialokasikan untuk koneksi antar wilayah setiap instance Cloud Enterprise Network (CEN) lebih besar dari nilai tertentu. Jika ya, hasil evaluasi adalah Mematuhi. Nilai default: 1 Mbit/s. | ||
natgateway-snat-eip-bandwidth-check | Memeriksa apakah beberapa EIP yang terkait dengan setiap entri SNAT dari gateway NAT ditambahkan ke rencana bandwidth EIP, atau bandwidth maksimum yang ditentukan dari EIP tersebut sama. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk gateway NAT Virtual Private Cloud (VPC). | ||
ecs-instances-in-vpc | Memeriksa apakah tipe jaringan setiap instance Elastic Compute Service (ECS) diatur ke VPC jika tidak ada parameter yang dikonfigurasi. Jika Anda mengonfigurasi parameter yang diperlukan, sistem akan memeriksa apakah VPC tempat instance ECS berada sesuai dengan pengaturan yang ditentukan. Jika ya, hasil evaluasi adalah Mematuhi. Pisahkan beberapa nilai parameter dengan koma (,). | ||
rds-instances-in-vpc | Memeriksa apakah tipe jaringan setiap instance ApsaraDB RDS adalah VPC jika parameter vpcIds tidak dikonfigurasi. Jika setiap instance ApsaraDB RDS ditempatkan di salah satu VPC yang ditentukan ketika parameter vpcIds dikonfigurasikan, hasil evaluasi adalah Mematuhi. Pisahkan beberapa nilai parameter dengan koma (,). | ||
redis-instance-in-vpc | Memeriksa apakah tipe jaringan setiap instance ApsaraDB for Redis diatur ke VPC ketika parameter vpcIds tidak dikonfigurasikan. Jika ya, hasil evaluasi adalah Mematuhi. Jika VPC tempat setiap instance ApsaraDB for Redis berada sama dengan VPC yang ditentukan ketika parameter vpcIds dikonfigurasikan, hasil evaluasi adalah Mematuhi. | ||
slb-all-listenter-tls-policy-check | 8.1.2.2 | b) Gunakan teknik kriptografi untuk memastikan kerahasiaan data selama komunikasi. | Memeriksa apakah listener HTTPS dari setiap instance SLB menggunakan versi suite kebijakan keamanan yang ditentukan. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk instance SLB yang tidak memiliki konfigurasi listener HTTPS. |
rds-instance-tls-version-check | Memeriksa apakah fitur SSL diaktifkan untuk setiap instance ApsaraDB RDS dan versi Transport Layer Security (TLS) yang digunakan pada instance berada dalam rentang versi yang ditentukan. Jika ya, hasil evaluasi adalah Mematuhi. | ||
oss-security-access-enabled | Memeriksa apakah kebijakan bucket dari setiap Object Storage Service (OSS) bucket mengizinkan akses baca dan tulis melalui HTTPS dan menolak akses melalui HTTP. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk bucket OSS yang tidak memiliki kebijakan yang dikonfigurasikan. | ||
cdn-domain-tls13-enabled | Memeriksa apakah protokol TLS 1.3 diaktifkan untuk setiap nama domain yang dipercepat oleh Alibaba Cloud CDN. Jika ya, hasil evaluasi adalah Mematuhi. | ||
polardb-cluster-enabled-ssl | Memeriksa apakah fitur enkripsi SSL diaktifkan untuk setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Mematuhi. | ||
api-gateway-group-https-policy-check | Memeriksa apakah kebijakan HTTPS yang dikonfigurasikan untuk grup API di API Gateway termasuk dalam daftar kebijakan yang ditentukan oleh parameter input aturan ini. Jika ya, hasil evaluasi adalah Mematuhi. | ||
oss-bucket-policy-no-any-anonymous | Memeriksa apakah izin baca dan tulis diberikan kepada setiap akun anonim. Jika izin baca dan tulis tidak diberikan kepada setiap akun anonim, hasil evaluasi adalah Mematuhi. Jika tidak ada kebijakan yang ditentukan untuk bucket OSS, hasil evaluasi adalah Mematuhi. | ||
sg-public-access-check | 8.1.3.1 8.1.3.2 | 8.1.3.1 a) Izinkan hanya permintaan akses lintas batas dan paket data yang ditransmisikan melalui antarmuka terkontrol perangkat perbatasan. b) Lakukan kontrol akses atau periksa permintaan akses yang dikirim dari perangkat tidak sah melalui jaringan internal. 8.1.3.2 a) Konfigurasikan aturan kontrol akses di perbatasan jaringan atau antara zona jaringan berdasarkan kebijakan kontrol akses. Antarmuka terkelola hanya mengizinkan permintaan komunikasi yang sesuai dengan aturan. c) Lakukan pemeriksaan pada alamat IP sumber, alamat IP tujuan, port sumber, port tujuan, dan protokol untuk mengizinkan atau menolak paket masuk dan keluar. | Memeriksa apakah kebijakan otorisasi masuk dari setiap grup keamanan diatur ke Mengizinkan dan rentang port diatur ke -1/-1 atau alamat IP yang diotorisasi diatur ke 0.0.0.0/0, atau kebijakan otorisasi dengan prioritas lebih tinggi dikonfigurasikan. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk grup keamanan yang digunakan oleh layanan cloud atau operator jaringan virtual. |
rds-public-connection-and-any-ip-access-check | Memeriksa apakah alamat IP publik digunakan untuk instance ApsaraDB RDS dalam akun Anda atau apakah daftar putih tidak diaktifkan untuk semua alamat IP sumber. Jika ya, hasil evaluasi adalah Mematuhi. | ||
cr-instance-any-ip-access-check | Memeriksa apakah 0.0.0.0/0 ditambahkan ke daftar putih alamat IP dari setiap instance Container Registry. Jika tidak, hasil evaluasi adalah Mematuhi. Aturan ini berlaku untuk instance Container Registry Edisi Perusahaan. | ||
elasticsearch-public-and-any-ip-access-check | Memeriksa apakah setiap kluster Elasticsearch menolak akses dari jaringan publik atau tidak mengizinkan akses dari semua alamat IP. Jika ya, hasil evaluasi adalah Mematuhi. | ||
cr-instance-public-access-check | Memeriksa apakah portal akses publik diaktifkan untuk instance Container Registry. Jika portal akses publik tidak diaktifkan, hasil evaluasi adalah Mematuhi. Aturan ini berlaku untuk instance Container Registry Edisi Perusahaan. | ||
redis-public-and-any-ip-access-check | Memeriksa apakah akses Internet diaktifkan untuk setiap instance ApsaraDB for Redis dan semua blok CIDR ditambahkan ke daftar putih IP dari instance tersebut. Jika akses Internet dinonaktifkan untuk setiap instance ApsaraDB for Redis, atau jika instance dapat mengakses Internet tetapi daftar putihnya tidak berisi 0.0.0.0/0, hasil evaluasi adalah Mematuhi. Jika akses Internet diaktifkan untuk setiap instance ApsaraDB for Redis dan semua blok CIDR ditambahkan ke daftar putih IP dari instance tersebut, hasil evaluasi adalah Tidak Mematuhi. | ||
security-group-high-risk-port-all-disabled | Memeriksa apakah 0.0.0.0/0 ditentukan sebagai objek otorisasi dalam aturan masuk setiap grup keamanan dan port yang dipilih tidak berisi port berisiko. Jika ya, hasil evaluasi adalah Mematuhi. Jika 0.0.0.0/0 tidak ditentukan sebagai objek otorisasi dalam aturan masuk setiap grup keamanan, hasil evaluasi adalah Mematuhi terlepas dari apakah port yang dipilih berisi port berisiko. Jika port berisiko ditolak oleh kebijakan dengan prioritas lebih tinggi, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk grup keamanan yang digunakan oleh layanan cloud atau operator jaringan virtual. | ||
nat-risk-ports-check | Memeriksa apakah port berisiko yang ditentukan dipetakan menggunakan entri DNAT dari NAT Gateway. Jika port berisiko tinggi yang ditentukan tidak dipetakan menggunakan entri DNAT dari NAT Gateway, hasil evaluasi adalah Mematuhi. | ||
nas-filesystem-mount-target-access-group-check | 8.1.3.1 | a) Izinkan hanya permintaan akses lintas batas dan paket data yang ditransmisikan melalui antarmuka terkontrol perangkat perbatasan. b) Lakukan kontrol akses atau periksa permintaan akses yang dikirim dari perangkat tidak sah melalui jaringan internal. | Memeriksa apakah 0.0.0.0/0 ditambahkan ke aturan apa pun dari grup izin sistem file NAS. Jika 0.0.0.0/0 tidak ditambahkan ke aturan apa pun dari grup izin sistem file NAS, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk sistem file NAS yang tidak memiliki target mount yang dibuat atau grup izinnya tidak memiliki aturan. |
oss-bucket-policy-outside-organization-check | Memeriksa apakah pembacaan publik diaktifkan untuk bucket OSS dan apakah otorisasi eksternal ada dalam hasil analisis. Jika pembacaan publik tidak diaktifkan untuk bucket OSS dan otorisasi eksternal tidak ada dalam hasil analisis, hasil evaluasi adalah Mematuhi. Jika hasil analisis kebijakan bucket menunjukkan bahwa analisis tidak dapat dilakukan pada kebijakan bucket, hasil evaluasi adalah Tidak Mematuhi. Jika semua hasil analisis kebijakan bucket ada dalam direktori sumber daya, hasil evaluasi adalah Mematuhi. Jika otorisasi tidak dilakukan oleh akun dalam direktori sumber daya, hasil evaluasi adalah Tidak Mematuhi. | ||
oss-bucket-public-read-prohibited | Memeriksa apakah kebijakan daftar kontrol akses (ACL) dari setiap bucket OSS menolak akses baca dari Internet. Jika ya, hasil evaluasi adalah Mematuhi. | ||
ack-cluster-public-endpoint-check | Memeriksa apakah endpoint publik dikonfigurasikan untuk server API di setiap kluster Container Service for Kubernetes (ACK). Jika ya, hasil evaluasi adalah Mematuhi. | ||
ecs-running-instance-no-public-ip | Memeriksa apakah tidak ada alamat IPv4 publik atau EIP yang ditugaskan ke instance ECS yang sedang berjalan. Jika ya, hasil evaluasi adalah Mematuhi. | ||
slb-no-public-ip | Memeriksa apakah alamat IP publik terkait dengan setiap instance SLB. Jika tidak ada alamat IP publik yang terkait dengan setiap instance SLB, hasil evaluasi adalah Mematuhi. Jika Anda tidak ingin instance SLB mengakses jaringan publik, kami sarankan Anda tidak mengikat alamat IP publik ke instance SLB. Jika Anda ingin instance SLB mengakses jaringan publik, kami sarankan Anda membeli EIP dan mengikat EIP ke instance SLB yang diperlukan. EIP memberikan fleksibilitas lebih. Anda juga dapat menggunakan rencana bandwidth EIP untuk mengurangi biaya. | ||
redis-instance-open-auth-mode | Memeriksa apakah fitur otentikasi berbasis kata sandi diaktifkan untuk setiap instance ApsaraDB for Redis di VPC Anda. Jika ya, hasil evaluasi adalah Mematuhi. | ||
vpc-network-acl-risky-ports-check | 8.1.3.2 | a) Konfigurasikan aturan kontrol akses di perbatasan jaringan atau antara zona jaringan berdasarkan kebijakan kontrol akses. Antarmuka terkelola hanya mengizinkan permintaan komunikasi yang sesuai dengan aturan. c) Lakukan pemeriksaan pada alamat IP sumber, alamat IP tujuan, port sumber, port tujuan, dan protokol untuk mengizinkan atau menolak paket masuk dan keluar. | Memeriksa apakah alamat IP tujuan yang ditentukan dalam aturan masuk untuk kontrol akses VPC diatur ke 0.0.0.0/0 dan rentang port yang ditentukan tidak berisi port berisiko. Jika ya, hasil evaluasi adalah Mematuhi. |
slb-all-listener-enabled-acl | 8.1.3.2 | Memeriksa apakah fitur kontrol akses dikonfigurasikan untuk listener setiap instance SLB. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk instance SLB yang tidak memiliki listener yang dikonfigurasikan. | |
alb-all-listener-enabled-acl | 8.1.3.2 | Memeriksa apakah fitur kontrol akses diaktifkan untuk semua listener setiap instance ALB. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk instance ALB yang tidak memiliki listener yang dikonfigurasikan. | |
slb-acl-public-access-check | 8.1.3.2 | Memeriksa apakah ACL setiap instance SLB tidak mencakup 0.0.0.0/0. Jika ya, hasil evaluasi adalah Mematuhi. | |
oss-bucket-authorize-specified-ip | 8.1.3.2 | Memeriksa apakah izin baca/tulis bucket OSS diatur ke privat atau kebijakan otorisasi bucket OSS mencakup daftar putih IP tertentu. Jika ya, hasil evaluasi adalah Mematuhi. | |
slb-listener-risk-ports-check | 8.1.3.2 | Memeriksa apakah port berisiko yang ditentukan ditambahkan ke listener setiap instance SLB. Jika port berisiko yang ditentukan tidak ditambahkan ke listener setiap instance SLB, hasil evaluasi adalah Mematuhi. | |
oss-bucket-referer-enabled | 8.1.3.2 | Memeriksa apakah daftar putih bucket OSS kosong dan nilai parameter AllowEmpty sama dengan nilai parameter tertentu. Jika daftar putih bucket OSS tidak kosong dan nilai parameter AllowEmpty sama dengan nilai parameter tertentu, hasil evaluasi adalah Mematuhi. | |
polardb-public-and-any-ip-access-check | 8.1.3.2 | Memeriksa apakah akses Internet diaktifkan dan akses Internet apa pun diizinkan untuk setiap instance PolarDB. Jika ya, hasil evaluasi adalah Tidak Mematuhi. | |
use-waf-instance-for-security-protection | 8.1.3.3 8.1.3.4 8.1.4.4 8.1.5.4 | 8.1.3.3 a) Deteksi, cegah, atau batasi serangan jaringan eksternal pada node jaringan kritis. b) Deteksi, cegah, atau batasi serangan jaringan internal pada node jaringan kritis. c) Terapkan langkah-langkah teknis untuk menganalisis perilaku jaringan dan serangan jaringan, terutama serangan jaringan baru. d) Catat alamat IP serangan, jenis serangan, tujuan serangan, dan waktu serangan ketika serangan terdeteksi, dan laporkan peringatan ketika insiden intrusi serius terjadi. 8.1.3.4 a) Deteksi dan hapus kode jahat pada node jaringan kritis, dan pertahankan peningkatan dan pembaruan mekanisme pencegahan kode jahat. b) Deteksi dan blokir email spam pada node jaringan kritis, dan pertahankan peningkatan dan pembaruan mekanisme pencegahan spam. 8.1.4.4 e) Deteksi kemungkinan kerentanan yang diketahui, dan perbaiki kerentanan tersebut setelah pengujian dan evaluasi lengkap. f) Deteksi intrusi ke server Anda, dan laporkan peringatan ketika insiden intrusi serius terjadi. 8.1.5.4 d) Kumpulkan, rangkum, dan analisis data audit yang tersebar di setiap perangkat secara terpusat dan pastikan bahwa durasi penyimpanan catatan audit sesuai dengan undang-undang dan peraturan yang relevan. e) Kelola masalah terkait keamanan, seperti kebijakan keamanan, kode jahat, dan pembaruan patch, secara terpusat. | Memeriksa apakah Web Application Firewall (WAF) digunakan untuk melindungi situs web atau aplikasi Anda. Jika ya, hasil evaluasi adalah Mematuhi. |
security-center-version-check | Memeriksa apakah edisi Enterprise Security Center atau edisi yang lebih maju digunakan. Jika ya, hasil evaluasi adalah Mematuhi. | ||
use-ddos-instance-for-security-protection | 8.1.3.3 8.1.4.4 8.1.5.4 | 8.1.3.3 a) Deteksi, cegah, atau batasi serangan jaringan eksternal pada node jaringan kritis. b) Deteksi, cegah, atau batasi serangan jaringan internal pada node jaringan kritis. c) Terapkan langkah-langkah teknis untuk menganalisis perilaku jaringan dan serangan jaringan, terutama serangan jaringan baru. d) Catat alamat IP serangan, jenis serangan, tujuan serangan, dan waktu serangan ketika serangan terdeteksi, dan laporkan peringatan ketika insiden intrusi serius terjadi. 8.1.4.4 e) Deteksi kemungkinan kerentanan yang diketahui, dan perbaiki kerentanan tersebut setelah pengujian dan evaluasi lengkap. f) Deteksi intrusi ke server Anda, dan laporkan peringatan ketika insiden intrusi serius terjadi. 8.1.5.4 d) Kumpulkan, rangkum, dan analisis data audit yang tersebar di setiap perangkat secara terpusat dan pastikan bahwa durasi penyimpanan catatan audit sesuai dengan undang-undang dan peraturan yang relevan. e) Kelola masalah terkait keamanan, seperti kebijakan keamanan, kode jahat, dan pembaruan patch, secara terpusat. | Memeriksa apakah Anti-DDoS digunakan untuk mencegah serangan DDoS. Jika ya, hasil evaluasi adalah Mematuhi. |
use-cloud-fire-wall-for-security-protection | Memeriksa apakah Cloud Firewall digunakan untuk melindungi batas jaringan Anda. Jika ya, hasil evaluasi adalah Mematuhi. | ||
firewall-asset-open-protect | 8.1.3.3 | a) Deteksi, cegah, atau batasi serangan jaringan eksternal pada node jaringan kritis. b) Deteksi, cegah, atau batasi serangan jaringan internal pada node jaringan kritis. c) Terapkan langkah-langkah teknis untuk menganalisis perilaku jaringan dan serangan jaringan, terutama serangan jaringan baru. d) Catat alamat IP serangan, jenis serangan, tujuan serangan, dan waktu serangan ketika serangan terdeteksi, dan laporkan peringatan ketika insiden intrusi serius terjadi. | Memeriksa apakah perlindungan aset diaktifkan di Cloud Firewall. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini hanya berlaku untuk pengguna yang telah mengaktifkan layanan Cloud Firewall. Tidak ada data deteksi yang tersedia untuk pengguna yang belum mengaktifkan layanan atau telah menggunakan layanan secara gratis. |
security-center-defense-config-check | 8.1.3.5 8.1.5.4 | 8.1.3.5 b) Sediakan tanggal kejadian, waktu kejadian, pengguna, jenis kejadian, apakah kejadian berhasil, dan informasi lain yang relevan dengan audit dalam catatan audit. 8.1.5.4 d) Kumpulkan, rangkum, dan analisis data audit yang tersebar di setiap perangkat secara terpusat dan pastikan bahwa durasi penyimpanan catatan audit sesuai dengan undang-undang dan peraturan yang relevan. e) Kelola masalah terkait keamanan, seperti kebijakan keamanan, kode jahat, dan pembaruan patch, secara terpusat. | Memeriksa apakah pertahanan proaktif dari tipe tertentu diaktifkan di konsol Security Center. Jika ya, hasil evaluasi adalah Mematuhi. |
waf3-instance-enabled-specified-defense-rules | 8.1.3.5 8.1.5.4 | Memeriksa apakah aturan untuk skenario perlindungan tertentu diaktifkan untuk instance WAF 3.0. Jika ya, hasil evaluasi adalah Mematuhi. | |
actiontrail-trail-intact-enabled | 8.1.3.5 8.1.5.4 | Memeriksa apakah jejak aktif ada di ActionTrail dan semua jenis kejadian yang dihasilkan di semua wilayah dilacak. Jika ya, hasil evaluasi adalah Mematuhi. Jika administrator direktori sumber daya telah membuat jejak yang berlaku untuk semua anggota, hasil evaluasi adalah Mematuhi. | |
rds-instance-enabled-auditing | 8.1.3.5 8.1.5.4 | Memeriksa apakah fitur eksplorasi SQL dan audit diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Mematuhi. | |
adb-cluster-audit-log-enabled | 8.1.3.5 8.1.5.4 | Memeriksa apakah fitur eksplorasi SQL dan audit diaktifkan untuk setiap kluster AnalyticDB for MySQL. Jika ya, hasil evaluasi adalah Mematuhi. | |
vpc-flow-logs-enabled | 8.1.3.5 8.1.5.4 | Memeriksa apakah fitur log aliran diaktifkan untuk setiap VPC. Jika ya, hasil evaluasi adalah Mematuhi. | |
ram-password-policy-check | 8.1.4.1 | b) Tangani kegagalan login, dan konfigurasikan fitur terkait untuk secara otomatis menutup sesi, membatasi penyalahgunaan login, dan keluar saat sesi habis waktu. d) Gunakan kombinasi dua atau lebih dari teknik berikut untuk mengotentikasi identitas pengguna: kata sandi, teknik kriptografi, dan bioteknologi. Teknik kriptografi harus digunakan dalam setiap kombinasi. | Memeriksa apakah pengaturan kebijakan kata sandi yang dikonfigurasikan untuk setiap pengguna RAM memenuhi nilai yang ditentukan. Jika ya, hasil evaluasi adalah Mematuhi. |
root-mfa-check | 8.1.4.1 | Memeriksa apakah otentikasi multi-faktor (MFA) diaktifkan untuk setiap akun Alibaba Cloud. Jika ya, hasil evaluasi adalah Mematuhi. | |
ram-user-mfa-check | 8.1.4.1 | Memeriksa apakah MFA diaktifkan dalam pengaturan login setiap pengguna RAM yang memiliki fitur akses konsol diaktifkan. Jika ya, hasil evaluasi adalah Mematuhi. | |
ram-user-last-login-expired-check | 8.1.4.2 | c) Hapus atau nonaktifkan akun yang berlebihan dan kedaluwarsa, dan nonaktifkan akun bersama. d) Terapkan prinsip hak istimewa minimal kepada administrator untuk memastikan pemisahan hak istimewa. | Memeriksa apakah setiap pengguna RAM telah login dalam 90 hari terakhir. Jika ya, hasil evaluasi adalah Mematuhi. Jika pengguna RAM diperbarui dalam 90 hari sebelumnya, hasil evaluasi adalah Mematuhi terlepas dari apakah pengguna RAM baru-baru ini login ke sistem. Aturan ini tidak berlaku untuk pengguna RAM yang fitur akses konsolnya dinonaktifkan. |
ram-policy-in-use-check | 8.1.4.2 | Memeriksa apakah kebijakan dilampirkan ke setidaknya satu grup pengguna RAM, peran RAM, atau pengguna RAM. Jika ya, hasil evaluasi adalah Mematuhi. | |
ram-group-has-member-check | 8.1.4.2 | Memeriksa apakah setiap grup pengguna RAM berisi setidaknya satu pengguna RAM. Jika ya, hasil evaluasi adalah Mematuhi. | |
ram-user-no-policy-check | 8.1.4.2 | Memeriksa apakah kebijakan dilampirkan ke setiap pengguna RAM. Jika ya, hasil evaluasi adalah Mematuhi. Kami sarankan agar pengguna RAM mewarisi izin dari grup pengguna RAM atau peran. | |
ram-user-ak-used-expired-check | 8.1.4.2 | Memeriksa apakah durasi antara tanggal terakhir kali pasangan AccessKey setiap pengguna RAM digunakan dan tanggal saat ini kurang dari jumlah hari tertentu. Jika ya, hasil evaluasi adalah Mematuhi. Nilai default: 90. Unit: hari. | |
ram-policy-no-statements-with-admin-access-check | 8.1.4.2 | Memeriksa apakah parameter Action dan Resource dari setiap pengguna RAM, grup pengguna RAM, dan peran RAM tidak diatur ke *. Jika ya, hasil evaluasi adalah Mematuhi. Tanda bintang (*) menunjukkan izin super administrator. | |
ram-user-login-check | 8.1.4.2 | c) Hapus atau nonaktifkan akun yang berlebihan dan kedaluwarsa, dan nonaktifkan akun bersama. d) Terapkan prinsip hak istimewa minimal kepada administrator untuk memastikan pemisahan hak istimewa. | Memeriksa apakah salah satu fitur akses konsol atau akses API diaktifkan untuk setiap pengguna RAM. Jika ya, hasil evaluasi adalah Mematuhi. |
ecs-instance-enabled-security-protection | 8.1.4.4 | e) Deteksi kemungkinan kerentanan yang diketahui, dan perbaiki kerentanan tersebut setelah pengujian dan evaluasi lengkap. f) Deteksi intrusi ke server Anda, dan laporkan peringatan ketika insiden intrusi serius terjadi. | Mengizinkan Anda untuk menginstal agen CloudMonitor pada instance untuk menyediakan layanan perlindungan keamanan. Jika agen Security Center diinstal pada setiap instance ECS, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk instance ECS yang tidak sedang berjalan. |
ecs-instance-updated-security-vul | 8.1.4.4 | Memeriksa apakah kerentanan yang tidak diperbaiki dari tipe tertentu atau tingkat tertentu terdeteksi oleh Security Center pada instance ECS. Jika tidak, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk instance ECS yang tidak sedang berjalan. | |
security-center-notice-config-check | 8.1.4.4 | Memeriksa apakah metode notifikasi ditentukan untuk setiap item notifikasi Security Center. Jika ya, hasil evaluasi adalah Mematuhi. | |
oss-bucket-server-side-encryption-enabled | 8.1.4.8 | b) Gunakan teknik kriptografi untuk memastikan integritas data penting selama transmisi, termasuk autentikasi data dan data bisnis penting, data audit, data konfigurasi, video, dan data pribadi. | Memeriksa apakah parameter Metode Enkripsi fitur enkripsi sisi server diatur ke OSS-Managed untuk setiap bucket OSS. Jika ya, hasil evaluasi adalah Mematuhi. |
ecs-in-use-disk-encrypted | 8.1.4.8 | Memeriksa apakah fitur enkripsi diaktifkan untuk setiap disk data ECS yang sedang digunakan. Jika ya, hasil evaluasi adalah Mematuhi. | |
ack-cluster-encryption-enabled | 8.1.4.8 | Memeriksa apakah enkripsi Secret dikonfigurasikan untuk setiap kluster ACK Pro. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk kluster terkelola non-profesional. | |
redis-instance-enabled-tde | 8.1.4.8 | Memeriksa apakah fitur enkripsi data transparan (TDE) diaktifkan untuk setiap instance ApsaraDB for Redis. Jika ya, hasil evaluasi adalah Mematuhi. | |
rds-instance-enabled-disk-encryption | 8.1.4.8 | Memeriksa apakah enkripsi disk diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk instance yang menggunakan disk lokal atau tidak mendukung enkripsi disk. | |
sls-logstore-enabled-encrypt | 8.1.4.8 | Memeriksa apakah enkripsi data diaktifkan untuk setiap Logstore di Simple Log Service. Jika ya, hasil evaluasi adalah Mematuhi. | |
polardb-cluster-enabled-tde | 8.1.4.8 | Memeriksa apakah fitur TDE diaktifkan dalam pengaturan keamanan data setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Mematuhi. | |
ecs-disk-auto-snapshot-policy | 8.1.4.9 | a) Sediakan fitur yang diperlukan untuk mencadangkan dan memulihkan data lokal penting. b) Sediakan fitur yang diperlukan untuk mencadangkan data penting ke situs tujuan jarak jauh secara real-time melalui jaringan komunikasi. c) Sediakan redundansi panas untuk sistem pemrosesan data penting untuk memastikan ketersediaan sistem. | Memeriksa apakah kebijakan snapshot otomatis ditentukan untuk setiap disk ECS. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk disk yang tidak digunakan, disk yang tidak mendukung kebijakan snapshot otomatis, dan disk non-persisten yang terpasang ke kluster ACK. |
polardb-cluster-level-two-backup-retention | 8.1.4.9 | Memeriksa apakah periode retensi cadangan level-2 setiap kluster PolarDB lebih lama dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Mematuhi. Nilai default: 30. Jika cadangan level-2 tidak diaktifkan atau periode retensi cadangan kurang dari jumlah hari tertentu, hasil evaluasi adalah Tidak Mematuhi. | |
nas-filesystem-enable-backup-plan | 8.1.4.9 | Memeriksa apakah rencana cadangan dibuat untuk setiap sistem file Apsara File Storage NAS. Jika ya, hasil evaluasi adalah Mematuhi. | |
rds-instance-enabled-log-backup | 8.1.4.9 | Memeriksa apakah fitur cadangan log diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Mematuhi. | |
oss-bucket-versioning-enabled | 8.1.4.9 | Memeriksa apakah fitur versioning diaktifkan untuk setiap bucket OSS. Jika fitur versioning dinonaktifkan, data mungkin gagal dipulihkan ketika data ditimpa atau dihapus. Jika fitur versioning diaktifkan untuk setiap bucket OSS, hasil evaluasi adalah Mematuhi. | |
elasticsearch-instance-snapshot-enabled | 8.1.4.9 | Memeriksa apakah fitur cadangan otomatis diaktifkan untuk setiap kluster Elasticsearch. Jika ya, hasil evaluasi adalah Mematuhi. | |
mongodb-instance-backup-log-enabled | 8.1.4.9 | Memeriksa apakah fitur cadangan log diaktifkan untuk setiap instance ApsaraDB for MongoDB. Jika ya, hasil evaluasi adalah Mematuhi. | |
rds-instance-has-guard-instance | 8.1.4.9 | Memeriksa apakah instance pemulihan bencana dibuat untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Mematuhi. Jika terjadi kegagalan di wilayah tempat instance ApsaraDB RDS berada, instance pemulihan bencana dapat digunakan untuk memulihkan layanan secara tepat waktu. | |
oss-zrs-enabled | 8.1.4.9 | Memeriksa apakah fitur penyimpanan redundansi zona (ZRS) diaktifkan untuk bucket OSS. Jika fitur ZRS dinonaktifkan, OSS tidak dapat menyediakan layanan yang konsisten dan memastikan pemulihan data ketika pusat data menjadi tidak tersedia. Jika fitur ZRS diaktifkan untuk bucket OSS, hasil evaluasi adalah Mematuhi. | |
alb-instance-multi-zone | 8.1.4.9 | Memeriksa apakah setiap instance ALB menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Mematuhi. Jika terjadi kegagalan pada instance ALB ketika Anda menerapkan instance hanya di satu zona, bisnis mungkin terganggu. | |
rds-multi-az-support | 8.1.4.9 | Memeriksa apakah setiap instance ApsaraDB RDS menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Mematuhi. | |
polardb-cluster-multi-zone | 8.1.4.9 | Memeriksa apakah fitur kluster standby panas diaktifkan untuk setiap kluster PolarDB dan data kluster didistribusikan di beberapa zona. Jika ya, hasil evaluasi adalah Mematuhi. | |
mongodb-instance-multi-zone | 8.1.4.9 | Memeriksa apakah setiap instance ApsaraDB for MongoDB merupakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Mematuhi. | |
ack-cluster-node-multi-zone | 8.1.4.9 | Memeriksa apakah kluster ACK tingkat wilayah yang nodenya didistribusikan di tiga zona atau lebih digunakan. Jika ya, hasil evaluasi adalah Mematuhi. | |
redis-instance-multi-zone | 8.1.4.9 | Memeriksa apakah setiap instance ApsaraDB for Redis menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Mematuhi. | |
elasticsearch-instance-multi-zone | 8.1.4.9 | Memeriksa apakah setiap kluster Elasticsearch merupakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Mematuhi. | |
slb-all-listener-servers-multi-zone | 8.1.4.9 | Memeriksa apakah setiap instance SLB menggunakan arsitektur multi-zona dan sumber daya dari beberapa zona ditambahkan ke grup server yang digunakan oleh semua listener instance SLB tersebut. Jika ya, hasil evaluasi adalah Mematuhi. |