PemeriksaanKepatuhanUntukISO-27001 mengacu pada standar manajemen keamanan di Lampiran A ISO/IEC 27001:2013. Pemeriksaan ini menyediakan tes kepatuhan yang direkomendasikan untuk mendeteksi risiko dan mengelola tata kelola sumber daya cloud. Tujuannya adalah membantu organisasi Anda mengimplementasikan, memelihara, serta terus meningkatkan manajemen keamanan informasi. Topik ini menjelaskan aturan default yang disediakan dalam paket kepatuhan PemeriksaanKepatuhanUntukISO-27001.
Nama aturan | Deskripsi aturan | Nomor persyaratan | Deskripsi persyaratan |
Memeriksa apakah salah satu fitur akses konsol atau akses API diaktifkan untuk setiap pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. | A.6.1.2 | Pemisahan tugas | |
Memeriksa apakah kebijakan dilampirkan ke setiap pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. Kami merekomendasikan agar pengguna RAM mewarisi izin dari grup pengguna RAM atau peran. | A.6.1.2 | Pemisahan tugas | |
Memeriksa apakah setiap grup pengguna RAM mencakup setidaknya satu pengguna RAM dan setidaknya satu kebijakan dilampirkan ke grup pengguna RAM tersebut. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah setiap grup pengguna RAM berisi setidaknya satu pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah parameter Action dari setiap pengguna RAM, grup pengguna RAM, dan peran RAM tidak diatur ke *. Jika ya, hasil evaluasi adalah Patuh. Tanda bintang (*) menunjukkan izin administrator super. |
|
| |
Memeriksa apakah setiap kebijakan dilampirkan ke setidaknya satu grup pengguna RAM, peran RAM, atau pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Mengizinkan Anda untuk menginstal agen CloudMonitor pada instance guna menyediakan layanan perlindungan keamanan. Jika agen CloudMonitor diinstal pada instance, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance ECS yang tidak sedang berjalan. |
|
| |
Memeriksa apakah semua sumber daya memiliki tag tertentu. Jika ya, hasil evaluasi adalah Patuh. Anda dapat menentukan maksimal sepuluh tag. Kunci dan nilai tag bersifat peka huruf besar-kecil. Anda hanya dapat menentukan satu nilai tag untuk satu kunci tag. |
|
| |
Memeriksa apakah sumber daya terkait diasosiasikan dengan instance Elastic Compute Service (ECS) dan apakah informasi sumber daya konsisten dengan informasi grup sumber daya jika sumber daya terkait mewarisi grup sumber daya tempat instance ECS berada. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk sumber daya terkait yang tidak diasosiasikan dengan instance ECS. |
|
| |
Memeriksa apakah grup sumber daya dari setiap sumber daya bukan grup sumber daya default. Jika ya, hasil evaluasi adalah Patuh. Jika sumber daya tidak memiliki grup sumber daya, hasil evaluasi adalah Tidak Berlaku. |
|
| |
Memeriksa apakah pasangan AccessKey dibuat untuk setiap akun Alibaba Cloud. Jika tidak, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah kebijakan dilampirkan ke setiap pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. Kami merekomendasikan agar pengguna RAM mewarisi izin dari grup pengguna RAM atau peran. |
|
| |
Memeriksa apakah akses Internet diaktifkan untuk setiap kluster Elasticsearch. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah kebijakan bucket dari setiap bucket OSS menolak akses baca dan tulis dari Internet. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah akses Internet dinonaktifkan untuk Function Compute. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah instance ECS yang direkomendasikan berada di virtual private cloud (VPC). Jika instance ECS berada di VPC, hasil evaluasi adalah Patuh. Jika Anda mengonfigurasi parameter yang diperlukan dan pengaturan VPC untuk instance ECS sesuai dengan nilai yang ditentukan, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance ECS yang tidak dalam keadaan berjalan. |
|
| |
Memeriksa apakah akses Internet dinonaktifkan untuk setiap instance AnalyticDB. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah tidak ada endpoint publik yang dikonfigurasikan untuk setiap instance RDS. Jika ya, hasil evaluasi adalah Patuh. Untuk mencegah serangan siber, kami merekomendasikan agar Anda tidak mengonfigurasikan akses langsung ke instance RDS di lingkungan produksi melalui Internet. |
|
| |
Memeriksa apakah endpoint publik dikonfigurasikan untuk server API di setiap kluster Container Service for Kubernetes (ACK). Jika tidak, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah mode keamanan ditingkatkan digunakan secara paksa saat metadata dari setiap instance ECS diakses. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah fungsi layanan hanya dapat dipanggil di VPC tertentu. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah kebijakan ACL dari setiap bucket OSS menolak akses baca dari Internet. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah tidak ada alamat IPv4 publik atau alamat IP elastis yang ditetapkan untuk instance ECS yang sedang berjalan. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah akses Internet diaktifkan untuk endpoint dari setiap kluster PolarDB. Jika tidak, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah autentikasi multi-faktor (MFA) diaktifkan untuk setiap akun Alibaba Cloud. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah MFA diaktifkan dalam pengaturan login setiap pengguna RAM yang fitur akses konsolnya diaktifkan. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah Security Center versi Enterprise Edition atau edisi yang lebih maju digunakan. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk rahasia Key Management Service (KMS). Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk kunci umum. |
|
| |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk rahasia KMS dan rotasi otomatis dilakukan berdasarkan periode rotasi yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk rahasia umum karena rotasi kunci periodik tidak dapat diaktifkan untuk rahasia umum di KMS. |
|
| |
Memeriksa apakah pengaturan kebijakan kata sandi yang dikonfigurasikan untuk setiap pengguna RAM memenuhi nilai yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah interval antara waktu pembuatan pasangan AccessKey pengguna RAM dan waktu dimulainya pemeriksaan kepatuhan kurang dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 90. Satuan: hari. |
|
| |
Memeriksa apakah jejak aktif ada di ActionTrail dan semua jenis peristiwa yang dihasilkan di semua wilayah dilacak. Jika ya, hasil evaluasi adalah Patuh. Jika administrator direktori sumber daya telah membuat jejak yang berlaku untuk semua anggota, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah fitur Transparent Data Encryption (TDE) diaktifkan dalam pengaturan keamanan data setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk tipe atau edisi instance yang tidak mendukung fitur TDE. | A.10.1.1 | Kebijakan penggunaan kontrol kriptografi | |
Memeriksa apakah kebijakan bucket dari setiap bucket OSS mengizinkan akses baca dan tulis melalui HTTPS dan menolak akses melalui HTTP. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk bucket OSS yang tidak memiliki kebijakan bucket. |
|
| |
Memeriksa apakah enkripsi sisi server diaktifkan untuk setiap bucket OSS. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah setiap instance Server Load Balancer (SLB) menggunakan sertifikat yang diterbitkan oleh Alibaba Cloud. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah fitur enkripsi sisi server diaktifkan untuk sistem file File Storage NAS (NAS) yang Anda buat. Jika ya, hasil evaluasi adalah Patuh. | A.10.1.1 | Kebijakan penggunaan kontrol kriptografi | |
Memeriksa apakah enkripsi disk diaktifkan untuk setiap instance ECS. Jika ya, hasil evaluasi adalah Patuh. | A.10.1.1 | Kebijakan penggunaan kontrol kriptografi | |
Memeriksa apakah fitur enkripsi disk diaktifkan untuk node data setiap instance Elasticsearch. Jika ya, hasil evaluasi adalah Patuh. | A.10.1.1 | Kebijakan penggunaan kontrol kriptografi | |
Memeriksa apakah fitur TDE diaktifkan dalam pengaturan keamanan data setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Patuh. | A.10.1.1 | Kebijakan penggunaan kontrol kriptografi | |
Memeriksa apakah fitur enkripsi diaktifkan untuk semua tabel pada instance Tablestore. Jika ya, hasil evaluasi adalah Patuh. | A.10.1.1 | Kebijakan penggunaan kontrol kriptografi | |
Memeriksa apakah enkripsi diaktifkan untuk setiap proyek MaxCompute. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk proyek yang dibekukan. | A.10.1.1 | Kebijakan penggunaan kontrol kriptografi | |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk kunci master pelanggan (CMK) di KMS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk kunci layanan. Aturan ini juga tidak berlaku untuk Bring Your Own Key (BYOK). |
|
| |
Memeriksa apakah status KMS CMK diatur ke penghapusan tertunda. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah periode validitas sisa semua sertifikat SSL lebih besar dari nilai yang ditentukan. Jika ya, hasil evaluasi adalah patuh. Nilai default: 30. Satuan: hari. |
|
| |
Memeriksa apakah periode pemeliharaan setiap kluster PolarDB sesuai dengan salah satu rentang waktu yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. Jika jam sibuk bisnis Anda tumpang tindih dengan periode pemeliharaan, bisnis Anda mungkin terpengaruh. | A.12.1.2 | Manajemen perubahan | |
Memeriksa apakah periode pemeliharaan setiap instance RDS sesuai dengan salah satu rentang waktu yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. Jika jam sibuk bisnis Anda tumpang tindih dengan periode pemeliharaan, bisnis Anda mungkin terpengaruh. | A.12.1.2 | Manajemen perubahan | |
Memeriksa apakah waktu pembuatan snapshot yang Anda tentukan untuk setiap kebijakan snapshot otomatis berada dalam rentang waktu tertentu. Jika ya, hasil evaluasi adalah Patuh. Saat snapshot dibuat untuk perangkat Penyimpanan Blok Elastis (EBS), kinerja I/O perangkat tersebut menurun hingga 10%. Ini dapat mengakibatkan penurunan kecepatan I/O sementara. Kami merekomendasikan agar Anda membuat snapshot otomatis selama jam non-puncak. | A.12.1.2 | Manajemen perubahan | |
Memeriksa apakah fungsi Function Compute 2.0 memenuhi persyaratan yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. | A.12.1.3 | Manajemen kapasitas | |
Memeriksa apakah jumlah alamat IP yang tersedia dari setiap vSwitch lebih besar dari nilai yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. | A.12.1.3 | Manajemen kapasitas | |
Memeriksa apakah kebijakan snapshot otomatis ditentukan untuk setiap disk ECS. Jika ya, hasil evaluasi adalah Patuh. | A.12.3.1 | Cadangan informasi | |
Memeriksa apakah rencana cadangan dibuat untuk setiap sistem file File Storage NAS. Jika ya, hasil evaluasi adalah Patuh. | A.12.3.1 | Cadangan informasi | |
Memeriksa apakah fitur pencadangan log diaktifkan untuk setiap kluster AnalyticDB. Jika ya, hasil evaluasi adalah Patuh. | A.12.3.1 | Cadangan informasi | |
Memeriksa apakah pencadangan log diaktifkan untuk instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Patuh. | A.12.3.1 | Cadangan informasi | |
Memeriksa apakah pencadangan tambahan diaktifkan untuk setiap instance ApsaraDB for Redis. Jika ya, hasil evaluasi adalah Patuh. Aturan ini hanya berlaku untuk instance Tair atau instance ApsaraDB for Redis Enhanced Edition (Tair). | A.12.3.1 | Cadangan informasi | |
Memeriksa apakah fitur ZRS diaktifkan untuk setiap bucket OSS. Jika ya, hasil evaluasi adalah Patuh. Jika fitur penyimpanan redundansi zona (ZRS) dinonaktifkan, Object Storage Service (OSS) tidak dapat menyediakan layanan yang konsisten dan memastikan pemulihan data ketika pusat data menjadi tidak tersedia. |
|
| |
Memeriksa apakah periode retensi untuk cadangan level-1 setiap kluster PolarDB lebih besar dari atau sama dengan sejumlah hari tertentu. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 7. | A.12.3.1 | Cadangan informasi | |
Memeriksa apakah fitur versioning diaktifkan untuk bucket OSS. Jika fitur versioning dinonaktifkan, data mungkin gagal dipulihkan ketika data tersebut ditimpa atau dihapus. Jika fitur versioning diaktifkan, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah fitur log akses diaktifkan untuk setiap instance SLB. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance SLB yang memiliki pemantauan Layer 7 dinonaktifkan. |
|
| |
Memeriksa apakah fitur log aliran diaktifkan untuk setiap VPC. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah penyimpanan log diaktifkan untuk grup API dari API Gateway. Jika ya, hasil evaluasi adalah Patuh. | A.12.4.1 | Pencatatan peristiwa | |
Memeriksa apakah fitur logging diaktifkan untuk setiap bucket OSS pada halaman Logs. Jika ya, hasil evaluasi adalah Patuh. | A.12.4.1 | Pencatatan peristiwa | |
Memeriksa apakah fitur audit SQL diaktifkan untuk setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah periode retensi untuk cadangan level-1 setiap kluster PolarDB lebih besar dari atau sama dengan sejumlah hari tertentu. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 30. Satuan: hari. Jika pencadangan log tidak diaktifkan atau periode retensi cadangan kurang dari jumlah hari yang ditentukan, hasil evaluasi adalah Tidak Patuh. | A.12.4.2 | Perlindungan informasi log | |
Memeriksa apakah kerentanan yang belum diperbaiki dari jenis tertentu atau tingkat tertentu terdeteksi oleh Security Center pada instance ECS. Aturan ini tidak berlaku untuk instance ECS yang tidak sedang berjalan. | A.12.6.1 | Manajemen kerentanan teknis | |
Memeriksa apakah 0.0.0.0/0 ditambahkan ke daftar putih alamat IP dari setiap grup keamanan dan port berisiko dinonaktifkan. Jika ya, hasil evaluasi adalah Patuh. Memeriksa apakah 0.0.0.0/0 tidak ditambahkan ke daftar putih alamat IP dari setiap grup keamanan. Jika ya, hasil evaluasi adalah Patuh tanpa memandang apakah port berisiko dinonaktifkan. Memeriksa apakah port berisiko ditolak oleh kebijakan otorisasi dengan prioritas lebih tinggi. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk layanan Alibaba Cloud lainnya selain ECS atau grup keamanan yang digunakan oleh operator jaringan virtual (VNO). |
|
| |
Memeriksa apakah 0.0.0.0/0 ditambahkan ke daftar putih IP setiap instance PolarDB. Jika tidak, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah fitur enkripsi SSL diaktifkan untuk setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah protokol Transport Layer Security (TLS) 1.3 diaktifkan untuk setiap nama domain yang dipercepat oleh Alibaba Cloud CDN. Jika ya, hasil evaluasi adalah patuh. |
|
| |
Memeriksa apakah koneksi aman SSL digunakan untuk database sumber dan tujuan dari setiap tugas sinkronisasi pada instance DTS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini hanya berlaku untuk tugas sinkronisasi. | A.13.2.1 | Kebijakan dan prosedur transfer informasi | |
Memeriksa apakah setiap fungsi Function Compute terikat ke domain kustom dan versi TLS yang ditentukan diaktifkan untuk fungsi tersebut. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah listener HTTPS diaktifkan pada port tertentu dari setiap instance SLB. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance SLB yang hanya memiliki listener TCP atau UDP yang diaktifkan. |
|
| |
Memeriksa apakah agen CloudMonitor diinstal pada semua node di setiap kluster ACK dan berjalan sesuai harapan. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah agen CloudMonitor diinstal pada setiap instance ECS yang sedang berjalan, dan agen tersebut berjalan sesuai harapan. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance ECS yang tidak sedang berjalan. |
|
| |
Memeriksa apakah metode notifikasi ditentukan untuk setiap item notifikasi Security Center. Jika ya, hasil evaluasi adalah patuh. | A.16.1.2 | Pelaporan insiden keamanan informasi | |
Memeriksa apakah koneksi IPsec-VPN telah dibuat. Jika ya, hasil evaluasi adalah Patuh. | A.17.1.2 | Mengimplementasikan kelangsungan keamanan informasi | |
Memeriksa apakah fitur perlindungan pelepasan diaktifkan untuk setiap instance SLB. Jika ya, hasil evaluasi adalah Patuh. | A.17.1.2 | Mengimplementasikan kelangsungan keamanan informasi | |
Memeriksa apakah fitur pemeriksaan kesehatan diaktifkan untuk instance ECS dari setiap grup penskalaan. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah setiap instance ApsaraDB RDS menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah fitur perlindungan penghapusan diaktifkan untuk setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk kluster yang menggunakan metode penagihan langganan. | A.17.1.2 | Mengimplementasikan kelangsungan keamanan informasi | |
Memeriksa apakah fitur perlindungan pelepasan diaktifkan untuk setiap kluster ACK. Jika ya, hasil evaluasi adalah Patuh. | A.17.1.2 | Mengimplementasikan kelangsungan keamanan informasi | |
Memeriksa apakah fitur kluster cadangan panas diaktifkan untuk setiap kluster PolarDB dan data kluster tersebut didistribusikan di beberapa zona. Jika ya, hasil evaluasi adalah Patuh. |
|
| |
Memeriksa apakah setidaknya dua vSwitch terhubung dengan setiap grup penskalaan. Jika ya, hasil evaluasi adalah Patuh. | A.17.2.1 | Ketersediaan fasilitas pemrosesan informasi | |
Memeriksa apakah setiap instance ALB menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Patuh. Jika terjadi kegagalan pada instance ALB saat Anda menerapkan instance hanya di satu zona, bisnis mungkin terganggu. | A.17.2.1 | Ketersediaan fasilitas pemrosesan informasi | |
Memeriksa apakah kluster ACK tingkat wilayah yang nodenya didistribusikan di tiga zona atau lebih digunakan. | A.17.2.1 | Ketersediaan fasilitas pemrosesan informasi | |
Memeriksa apakah fitur pemeriksaan kesehatan diaktifkan untuk semua listener dan aturan pengalihan dari setiap instance ALB. Jika ya, hasil evaluasi adalah Patuh. | A.17.2.1 | Ketersediaan fasilitas pemrosesan informasi |