Memeriksa kepatuhan sumber daya Alibaba Cloud terhadap persyaratan spesifik dari NIST 800-53 Rev5.
Nama aturan | Kode | Deskripsi kode | Deskripsi aturan |
Mencocokkan semua tag yang ditentukan | PT-2 | PT-2 Otoritas untuk Memproses Informasi yang Dapat Diidentifikasi Secara Pribadi SC-16 Transmisi Atribut Keamanan dan Privasi | Memeriksa apakah semua sumber daya memiliki tag tertentu. Jika ya, hasil evaluasi adalah Patuh. Anda dapat menentukan maksimal sepuluh tag. Kunci dan nilai tag bersifat peka huruf besar-kecil. Anda hanya dapat menentukan satu nilai tag untuk setiap kunci tag. |
Memeriksa status log untuk komponen control plane kluster ACK | CM-5 | CM-5 Mengubah batasan akses SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah log komponen bidang kontrol diaktifkan untuk setiap kluster Container Service for Kubernetes (ACK) yang dikelola. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk kluster Kubernetes yang tidak dikelola. |
Mengonfigurasi enkripsi saat diam untuk Secrets dalam kluster ACK | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Tidak Aktif AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Memeriksa apakah enkripsi Rahasia dikonfigurasi untuk setiap kluster ACK Pro. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk kluster terkelola non-profesional. |
Kluster ACK tidak memiliki titik akhir jaringan publik. | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Kluster ACK dianggap compliant jika titik akhir koneksi jaringan publik tidak diatur. |
Versi ACK dalam masa pemeliharaan | SA-22 | SA-22 SI-2 Perbaikan Kerentanan | Versi kluster ACK dianggap "compliant" jika masih dalam masa pemeliharaan. |
Kluster ACK kini menjalankan versi terbaru. | SA-22 | SA-22 SI-2 Perbaikan Kerentanan | Memeriksa apakah setiap kluster ACK ditingkatkan ke versi terbaru. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan Log Audit SQL pada Kluster ADB | CM-5 | CM-5 Pembatasan Akses untuk Perubahan SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur penjelajah SQL dan audit diaktifkan untuk setiap kluster AnalyticDB for MySQL. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan cadangan log untuk kluster ADB | CP-9 | CP-9 Cadangan Sistem SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-28 Perlindungan Informasi saat Istirahat CP-10 SC-24 Gagal dalam Status yang Dikenal | Memeriksa apakah fitur pencadangan log diaktifkan untuk setiap kluster AnalyticDB. Jika ya, hasil evaluasi adalah Patuh. |
Anda dapat mengatur jendela pemeliharaan yang wajar untuk kluster ADB. | SA-22 | SA-22 SI-2 Perbaikan Kerentanan | Memeriksa apakah periode pemeliharaan setiap kluster AnalyticDB berada dalam rentang waktu tertentu. Jika ya, hasil evaluasi adalah Patuh. |
Kluster ADB tidak dapat diakses dari Internet. | AC-20 | AC-20 Penggunaan Sistem Eksternal AC-16 Atribut Keamanan dan Privasi AU-9 Perlindungan Informasi Audit SC-7 Perlindungan Batas CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan CA-9 Koneksi Sistem Internal SC-38 Keamanan Operasi CM-12 Lokasi Informasi SC-10 Pemutusan Jaringan AC-3 Penegakan Akses CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-11 Jalur Tepercaya SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah akses Internet dinonaktifkan untuk setiap instance AnalyticDB. Jika ya, hasil evaluasi adalah Patuh. |
Menggunakan instans Application Load Balancer (ALB) multi-zona | CP-7 | CP-7 Situs Pemrosesan Alternatif CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi CP-6 Situs Penyimpanan Alternatif SC-6 Ketersediaan Sumber Daya SI-13 Pencegahan Kegagalan yang Dapat Diprediksi SC-22 Arsitektur dan Provisioning untuk Layanan Resolusi Nama/Alamat AU-5 Tanggapan terhadap Kegagalan Proses Pencatatan Audit SI-22 Keragaman Informasi CP-2 Rencana Kontingensi | Memeriksa apakah setiap instance Application Load Balancer (ALB) menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Patuh. Jika terjadi kegagalan pada instance ALB ketika Anda menerapkan instance tersebut hanya di satu zona, bisnis mungkin terganggu. |
Menambahkan nama domain yang dilampirkan ke grup API di API Gateway ke WAF atau WAF 3.0 | PL-8 | PL-8 SC-3 Isolasi Fungsi Keamanan SC-7 Perlindungan Batas AC-4 Penegakan Aliran Informasi | Memeriksa apakah nama domain yang terikat pada setiap grup API di API Gateway ditambahkan ke WAF atau WAF 3.0. Jika ya, hasil evaluasi adalah Patuh. |
Sertifikat SSL terikat ke nama domain kustom untuk grup API di API Gateway. | SC-12 | SC-12 Penetapan dan Manajemen Kunci Kriptografi AC-20 Penggunaan Sistem Eksternal IA-7 Otentikasi Modul Kriptografi SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-28 Perlindungan Informasi saat Istirahat IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh SC-17 Sertifikat Infrastruktur Kunci Publik CA-9 Koneksi Sistem Internal SC-13 Perlindungan Kriptografi SC-23 Keaslian Sesi SC-7 Perlindungan Batas CM-3 Kontrol Perubahan Konfigurasi IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah sertifikat SSL ditentukan untuk domain kustom grup API dari API Gateway. Jika ya, hasil evaluasi adalah Patuh. |
Mengonfigurasi penyimpanan log panggilan untuk grup API | CM-5 | CM-5 Pembatasan Akses untuk Perubahan SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah penyimpanan log diaktifkan untuk grup API dari API Gateway. Jika ya, hasil evaluasi adalah Patuh. |
Mengonfigurasi Analisis Tracing untuk grup API | CM-5 | CM-5 Pembatasan Akses untuk Perubahan SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya AU-7 Reduksi dan Pembuatan Laporan Catatan Audit SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit AC-17 Akses Jarak Jauh AU-9 Perlindungan Informasi Audit AU-10 Non-repudiasi RA-5 Pemantauan dan Pemindaian Kerentanan AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-2 Manajemen Akun AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur analisis jejak diaktifkan untuk setiap grup API di API Gateway. Jika ya, hasil evaluasi adalah Patuh. |
cdn-domain-https-enabled | SC-12 | SC-12 Penetapan dan Manajemen Kunci Kriptografi AC-20 Penggunaan Sistem Eksternal IA-7 Otentikasi Modul Kriptografi SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-28 Perlindungan Informasi saat Istirahat IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh SC-17 Sertifikat Infrastruktur Kunci Publik CA-9 Koneksi Sistem Internal SC-13 Perlindungan Kriptografi SC-23 Keaslian Sesi SC-7 Perlindungan Batas CM-3 Kontrol Perubahan Konfigurasi IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah enkripsi HTTPS diaktifkan untuk setiap nama domain yang dipercepat oleh Alibaba Cloud CDN. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan deteksi TLS 1.3 untuk nama domain yang dipercepat | CP-9 | CP-9 Cadangan Sistem SA-4 Proses Akuisisi CM-7 Fungsionalitas Minimum AC-17 Akses Jarak Jauh MA-4 SC-23 Keaslian Sesi SC-8 Kerahasiaan dan Integritas Transmisi IA-5 Manajemen Otentikator IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah protokol Keamanan Lapisan Transportasi (TLS) 1.3 diaktifkan untuk setiap nama domain yang dipercepat oleh Alibaba Cloud CDN. Jika ya, hasil evaluasi adalah Patuh. |
Mengonfigurasi aturan peringatan Cloud Monitor untuk produk cloud tertentu | SI-4 | SI-4 Pemantauan Sistem AU-7 Reduksi dan Pembuatan Laporan Catatan Audit AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit AC-17 Akses Jarak Jauh AU-9 Perlindungan Informasi Audit RA-5 Pemantauan dan Pemindaian Kerentanan AC-2 Manajemen Akun AC-4 Penegakan Aliran Informasi | Memeriksa apakah setidaknya satu aturan peringatan dikonfigurasikan di konsol CloudMonitor untuk setiap layanan Alibaba Cloud dari namespace tertentu. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan pemindaian keamanan untuk instans gambar kontainer | RA-5 | RA-5 Pemantauan dan Pemindaian Kerentanan | Memeriksa apakah fitur pemindaian gambar diaktifkan untuk instance Container Registry. Jika ya, hasil evaluasi adalah Patuh. |
Versi gambar di Container Registry bersifat immutable. | PT-2 | PT-2 Otoritas untuk Memproses Informasi yang Dapat Diidentifikasi Secara Pribadi SC-16 Transmisi Atribut Keamanan dan Privasi | Versi gambar di Container Registry bersifat immutable dan karena itu dianggap "compliant". |
Koneksi aman melalui SSL untuk database sumber dan tujuan dalam tugas migrasi DTS | CP-9 | CP-9 Cadangan Sistem AC-17 Akses Jarak Jauh SC-8 Kerahasiaan dan Integritas Transmisi MA-4 SC-23 Keaslian Sesi IA-5 Manajemen Otentikator IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah koneksi aman SSL digunakan untuk database sumber dan tujuan dari setiap tugas migrasi pada instance DTS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini hanya berlaku untuk tugas migrasi. |
Variabel lingkungan kelompok kontainer ECI tidak boleh berisi informasi sensitif. | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator AC-2 Manajemen Akun | Memeriksa apakah kunci yang ditentukan terkandung dalam nama variabel lingkungan grup kontainer dari Elastic Container Instance (ECI). Jika kunci yang ditentukan tidak terkandung dalam nama variabel lingkungan grup kontainerdari ECI, hasil evaluasi adalah Patuh. Nama parameter input adalah keys. Nilai default dari parameter input adalah AccessKey, AK, atau AccessKeyID. |
ecs-disk-auto-snapshot-policy | CP-9 | CP-9 Cadangan Sistem SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-28 Perlindungan Informasi saat Istirahat CP-10 SC-24 Gagal dalam Status yang Dikenal | Memeriksa apakah kebijakan snapshot otomatis ditentukan untuk setiap disk ECS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk disk yang tidak digunakan, disk yang tidak mendukung kebijakan snapshot otomatis, dan disk non-persisten yang dilampirkan ke kluster ACK. |
ecs-in-use-disk-encrypted | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Memeriksa apakah fitur enkripsi diaktifkan untuk setiap disk data ECS yang sedang digunakan. Jika ya, hasil evaluasi adalah Patuh. |
Tidak ditemukan disk data ECS yang tidak terpasang. | SI-12 | SI-12 Manajemen dan Retensi Informasi SI-14 Non-Persistensi AU-11 Retensi Catatan Audit AU-4 Kapasitas Penyimpanan Log Audit AU-10 Non-repudiasi | Memeriksa apakah setiap disk data ECS terpasang pada instance ECS. Jika ya, hasil evaluasi adalah Patuh. |
Memberlakukan mode diperkuat untuk akses metadata instans ECS | SC-10 | SC-10 Pemutusan Jaringan SI-14 Non-Persistensi AC-12 Penghentian Sesi IA-11 Otentikasi Ulang AC-17 Akses Jarak Jauh AC-10 Kontrol Sesi Bersamaan SC-23 Keaslian Sesi AC-2 Manajemen Akun | Memeriksa apakah mode aman diterapkan secara paksa ketika metadata setiap instance ECS diakses. Jika ya, hasil evaluasi adalah Patuh. |
Instans ECS sedang berjalan dan agen CloudMonitor terinstal. | SI-4 | SI-4 Pemantauan Sistem AU-7 Reduksi dan Pembuatan Laporan Catatan Audit AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit AC-17 Akses Jarak Jauh AU-9 Perlindungan Informasi Audit RA-5 Pemantauan dan Pemindaian Kerentanan AC-2 Manajemen Akun AC-4 Penegakan Aliran Informasi | Memeriksa apakah agen CloudMonitor diinstal pada setiap instance ECS yang berjalan, dan agen tersebut berfungsi dengan baik. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. |
Instans ECS tidak memiliki pasangan kunci SSH yang terpasang. | AC-3 | AC-3 Penegakan Akses IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) IA-9 Identifikasi dan Otentikasi Layanan IA-4 Manajemen Pengenal IA-5 Manajemen Otentikator AC-2 Manajemen Akun | Memeriksa apakah pasangan kunci Secure Shell (SSH) dilampirkan ke instance ECS. Jika tidak ada kunci SSH yang dilampirkan ke instance ECS, hasil evaluasi adalah Patuh. Aturan ini berlaku untuk skenario khusus di mana perusahaan perlu mengontrol akses ke instance ECS. |
ecs-instance-ram-role-attached | CM-5 | CM-5 Memodifikasi batasan akses AC-9 Pemberitahuan Login Sebelumnya IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-11 Otentikasi Ulang SC-50 Pemisahan Berbasis Perangkat Lunak dan Penegakan Kebijakan AC-2 Manajemen Akun CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan AC-24 Keputusan Kontrol Akses IA-4 Manajemen Pengenal AC-3 Penegakan Akses AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) AC-7 Upaya Masuk Gagal AC-6 Hak Istimewa Minimum AC-4 Penegakan Aliran Informasi | Memeriksa apakah peran RAM ditetapkan untuk setiap instance ECS. Jika ya, hasil evaluasi adalah Patuh. |
Instans ECS tidak dihentikan. | SA-3 | SA-3 Siklus Hidup Pengembangan Sistem | Memeriksa apakah setiap instance ECS berada dalam status Berhenti. Jika setiap instance ECS tidak dalam status Berhenti, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance yang kedaluwarsa atau instance yang berada dalam mode ekonomis. |
Instans ECS yang berjalan tidak memiliki kerentanan. | SA-22 | SA-22 RA-5 Pemantauan dan Pemindaian Kerentanan SI-2 Perbaikan Kerentanan | Memeriksa apakah kerentanan yang belum diperbaiki dari jenis tertentu atau tingkat tertentu terdeteksi oleh Security Center pada instance ECS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. |
Memeriksa grup keamanan yang tidak aktif | CA-9 | CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah ada kelompok keamanan yang tidak digunakan. Jika tidak ada kelompok keamanan yang tidak digunakan, yang berarti setidaknya satu instance ECS ditambahkan ke setiap kelompok keamanan, hasil evaluasi adalah Patuh. |
Aturan masuk grup keamanan berlaku untuk port yang tidak ada dalam daftar putih. | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan CM-7 Fungsionalitas Minimum AC-17 Akses Jarak Jauh SA-4 Proses Akuisisi CA-9 Koneksi Sistem Internal SC-23 Keaslian Sesi SC-7 Perlindungan Batas SC-8 Kerahasiaan dan Integritas Transmisi IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah setiap aturan masuk dalam kelompok keamanan hanya mengizinkan akses dari port dalam rentang tertentu ketika parameter Obyek Otorisasi aturan masuk disetel ke 0.0.0.0/0. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk kelompok keamanan yang digunakan oleh layanan cloud atau operator jaringan virtual. |
Mengidentifikasi Alamat IP Elastis yang tidak aktif | AC-3 | AC-3 Penegakan Akses AC-16 Atribut Keamanan dan Privasi PL-10 IA-4 Manajemen Pengenal CM-2 Konfigurasi Dasar SC-16 Transmisi Atribut Keamanan dan Privasi AC-4 Penegakan Aliran Informasi | Alamat IP Elastis compliant jika terpasang ke instans ECS atau NAT dan tidak dalam keadaan idle. |
Mengaktifkan enkripsi disk untuk node data dalam instans Elasticsearch | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Memeriksa apakah fitur enkripsi disk diaktifkan untuk node data setiap kluster Elasticsearch. Jika ya, hasil evaluasi adalah Patuh. |
Akses publik dinonaktifkan untuk instans Elasticsearch, atau tidak ada alamat IP yang dikonfigurasi untuk mengizinkan akses. | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah setiap instance Elasticsearch menolak akses dari jaringan publik dan tidak mengizinkan akses dari semua alamat IP. Jika ya, hasil evaluasi adalah Patuh. |
Instans Elasticsearch menggunakan protokol HTTPS. | CP-9 | CP-9 Cadangan Sistem SA-4 Proses Akuisisi CM-7 Fungsionalitas Minimum AC-17 Akses Jarak Jauh MA-4 SC-23 Keaslian Sesi SC-8 Kerahasiaan dan Integritas Transmisi IA-5 Manajemen Otentikator IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah HTTPS diaktifkan untuk setiap kluster Elasticsearch. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan pemeriksaan kesehatan untuk grup Penyesuaian Skala Otomatis | CP-7 | CP-7 Situs Pemrosesan Alternatif CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi CP-6 Situs Penyimpanan Alternatif SI-13 Pencegahan Kegagalan yang Dapat Diprediksi SC-22 Arsitektur dan Provisioning untuk Layanan Resolusi Nama/Alamat AU-5 Tanggapan terhadap Kegagalan Proses Pencatatan Audit SI-22 Keragaman Informasi CP-2 Rencana Kontingensi | Memeriksa apakah fitur pemeriksaan kesehatan diaktifkan untuk instance ECS dari setiap grup penskalaan. Jika ya, hasil evaluasi adalah Patuh. |
Konfigurasi penskalaan tidak diatur untuk mengalokasikan alamat IPv4 publik. | SI-4 | SI-4 Pemantauan Sistem SC-7 Perlindungan Batas | Memeriksa apakah alamat IPv4 yang dapat ditetapkan ke instance ECS ditentukan untuk konfigurasi penskalaan. Jika konfigurasi penskalaan tidak menentukan bahwa alamat IPv4 dapat ditetapkan ke instance ECS, hasil evaluasi adalah Patuh. |
Anda dapat mengaitkan grup Penyesuaian Skala Otomatis dengan setidaknya dua vSwitch. | SI-22 | SI-22 Keragaman Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-6 Ketersediaan Sumber Daya | Memeriksa apakah setidaknya dua vSwitch terkait dengan setiap grup penskalaan. Jika ya, hasil evaluasi adalah Patuh. |
Fungsi dalam Function Compute dikonfigurasi untuk memenuhi persyaratan parameter. | SA-22 | SA-22 SI-2 Perbaikan Kerentanan | Memeriksa apakah fungsi Function Compute 2.0 memenuhi persyaratan yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. |
Layanan Function Compute tidak memiliki akses Internet. | AC-20 | AC-20 Penggunaan Sistem Eksternal AC-16 Atribut Keamanan dan Privasi AU-9 Perlindungan Informasi Audit SC-7 Perlindungan Batas CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan CA-9 Koneksi Sistem Internal SC-38 Keamanan Operasi CM-12 Lokasi Informasi SC-10 Pemutusan Jaringan AC-3 Penegakan Akses CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-11 Jalur Tepercaya SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah akses Internet dinonaktifkan untuk Function Compute. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan fitur log Function Compute | CM-5 | CM-5 Mengubah batasan akses SI-4 Pemantauan Sistem AU-14 Audit Sesi CP-7 Situs Pemrosesan Alternatif AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi IR-4 CP-10 AU-10 Non-repudiasi CP-6 Situs Penyimpanan Alternatif AU-2 Pencatatan Peristiwa CP-2 Rencana Kontingensi AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur pencatatan diaktifkan untuk Function Compute. Jika ya, hasil evaluasi adalah Patuh. |
Layanan fungsi dikonfigurasi agar hanya dapat dipanggil dari VPC tertentu. | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah fungsi layanan dapat dipanggil hanya di virtual private cloud (VPC) tertentu. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan perlindungan aset di Cloud Firewall | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpan Tembolok) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Pengelolaan Authenticator AC-4 Implementasi Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah perlindungan aset diaktifkan di Cloud Firewall. Jika ya, hasil evaluasi adalah Sesuai. Aturan ini hanya berlaku untuk pengguna yang telah mengaktifkan layanan Cloud Firewall. Tidak ada data deteksi yang tersedia untuk pengguna yang belum mengaktifkan layanan atau telah menggunakan layanan secara gratis. |
Anda tidak dapat menggunakan kunci utama dari sumber eksternal. | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Kunci utama KMS dianggap compliant jika sumbernya bukan eksternal. |
Kunci utama KMS tidak dijadwalkan untuk penghapusan. | SC-12 | SC-12 Penetapan dan Manajemen Kunci Kriptografi IA-7 Otentikasi Modul Kriptografi SC-28 Perlindungan Informasi saat Istirahat SC-17 Sertifikat Infrastruktur Kunci Publik SC-13 Perlindungan Kriptografi SC-23 Keaslian Sesi CM-3 Kontrol Perubahan Konfigurasi IA-5 Manajemen Otentikator | Kunci utama KMS compliant jika tidak berada dalam status Pending Deletion. |
Rotasi kredensial KMS berhasil. | IA-10 | SIA-10 IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) AC-24 Keputusan Kontrol Akses IA-5 Manajemen Otentikator AC-2 Manajemen Akun | Memeriksa apakah fitur rotasi otomatis diaktifkan untuk rahasia KMS dan apakah rotasi otomatis dilakukan berdasarkan periode rotasi yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk rahasia umum karena rotasi kunci periodik tidak dapat diaktifkan untuk rahasia umum di KMS. |
Mengonfigurasi Rotasi Kredensial Otomatis di Key Management Service | IA-10 | IA-10 IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) AC-24 Keputusan Kontrol Akses IA-5 Manajemen Otentikator AC-2 Manajemen Akun | Memeriksa apakah fitur rotasi otomatis diaktifkan untuk rahasia KMS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk kunci umum. |
mongodb-instance-backup-log-enabled | SI-12 | SI-12 Manajemen dan Retensi Informasi SI-14 Non-Persistensi CP-9 Cadangan Sistem SC-36 Pemrosesan dan Penyimpanan Terdistribusi AU-11 Retensi Catatan Audit AU-4 Kapasitas Penyimpanan Log Audit CP-10 AU-10 Non-repudiasi SC-24 Gagal dalam Status yang Dikenal | Memeriksa apakah fitur pencadangan log diaktifkan untuk setiap instance ApsaraDB for MongoDB. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan Log Audit untuk Kluster MongoDB | CM-5 | CM-5 Pembatasan Akses untuk Perubahan SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur pencatatan audit diaktifkan untuk setiap instance MongoDB. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan kebijakan RAM pada titik akses penyimpanan file NAS | CM-12 | CM-12 Lokasi Informasi AC-3 Penegakan Akses SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) AC-16 Atribut Keamanan dan Privasi CP-9 Cadangan Sistem AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit CA-3 Pertukaran Informasi AU-9 Perlindungan Informasi Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi SC-38 Keamanan Operasi | Titik akses penyimpanan file NAS compliant jika kebijakan RAM diaktifkan untuknya. |
Direktori root titik akses penyimpanan file NAS tidak diatur ke direktori default. | CM-12 | CM-12 Lokasi Informasi AC-3 Penegakan Akses SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) AC-16 Atribut Keamanan dan Privasi CP-9 Cadangan Sistem AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit CA-3 Pertukaran Informasi AU-9 Perlindungan Informasi Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi SC-38 Keamanan Operasi | Memeriksa apakah direktori root dari titik akses sistem file NAS ditentukan sebagai direktori default. Jika direktori default bukan direktori root dari titik akses sistem file NAS, hasil evaluasi adalah Patuh. |
Anda dapat membuat rencana cadangan untuk sistem file NAS. | CP-9 | CP-9 Cadangan Sistem SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-28 Perlindungan Informasi saat Istirahat CP-10 SC-24 Gagal dalam Status yang Dikenal | Memeriksa apakah rencana cadangan dibuat untuk setiap sistem file File Storage NAS. Jika ya, hasil evaluasi adalah Patuh. |
Sistem file NAS dienkripsi. | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Sistem file NAS yang dienkripsi compliant. |
Mengaktifkan penyimpanan log untuk bucket OSS | CM-5 | CM-5 Memodifikasi batasan akses SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur pencatatan diaktifkan untuk setiap bucket OSS pada halaman Logs. Jika ya, hasil evaluasi adalah Patuh. |
Mengonfigurasi akses aman menggunakan kebijakan akses bucket OSS | CP-9 | CP-9 Cadangan Sistem SA-4 Proses Akuisisi CM-7 Fungsionalitas Minimum AC-17 Akses Jarak Jauh MA-4 SC-23 Keaslian Sesi SC-8 Kerahasiaan dan Integritas Transmisi IA-5 Manajemen Otentikator IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah kebijakan bucket setiap bucket OSS mengizinkan akses baca dan tulis melalui HTTPS dan menolak akses melalui HTTP. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk bucket OSS tanpa kebijakan bucket. |
Bucket OSS tidak mendukung pemberian izin ke akun anonim. | CM-5 | CM-5 Memodifikasi batasan akses AC-9 Pemberitahuan Logon Sebelumnya IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-11 Re-Otentikasi SC-50 Pemisahan dan Penegakan Kebijakan yang Dilakukan oleh Perangkat Lunak AU-9 Perlindungan Informasi Audit AC-2 Manajemen Akun CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan AC-24 Keputusan Kontrol Akses IA-4 Manajemen Identifier AC-3 Penerapan Akses AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit IA-5 Manajemen Otentikator SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) AC-7 Upaya Masuk Gagal SA-17 AC-6 Hak Istimewa Minimum AC-4 Penegakan Aliran Informasi | Memeriksa apakah izin baca dan tulis diberikan kepada setiap akun anonim. Jika izin baca dan tulis tidak diberikan kepada setiap akun anonim, hasil evaluasi adalah Patuh. Jika tidak ada kebijakan yang ditentukan untuk bucket OSS, hasil evaluasi adalah Patuh. |
oss-bucket-public-read-prohibited | AC-20 | AC-20 Penggunaan Sistem Eksternal AC-16 Atribut Keamanan dan Privasi AU-9 Perlindungan Informasi Audit SC-7 Perlindungan Batas CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan CA-9 Koneksi Sistem Internal SC-38 Keamanan Operasi CM-12 Lokasi Informasi SC-10 Pemutusan Jaringan AC-3 Resource Access Management CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-11 Jalur Tepercaya SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah kebijakan ACL setiap bucket OSS menolak akses baca dari Internet. Jika ya, hasil evaluasi adalah Patuh. |
ACL bucket OSS tidak mengizinkan akses public-read-write | AC-20 | AC-20 Penggunaan Sistem Eksternal AC-16 Atribut Keamanan dan Privasi AU-9 Perlindungan Informasi Audit SC-7 Perlindungan Batas AU-16 Pencatatan Audit Lintas Organisasi CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan CA-9 Koneksi Sistem Internal SC-38 Keamanan Operasi CM-12 Lokasi Informasi SC-10 Pemutusan Jaringan AC-3 Penegakan Akses CP-9 Cadangan Sistem AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-11 Jalur Tepercaya AU-7 Reduksi dan Pembuatan Laporan Catatan Audit SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah kebijakan bucket setiap bucket OSS menolak akses baca dan tulis dari Internet. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan enkripsi sisi server untuk bucket OSS | AU-7 | AU-7 Reduksi dan Pembuatan Laporan Catatan Audit SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator AU-16 Pencatatan Audit Lintas Organisasi | Memeriksa apakah enkripsi sisi server diaktifkan untuk setiap bucket OSS. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan versioning untuk bucket OSS | SC-21 | SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi SI-19 De-Identifikasi SC-23 Keaslian Sesi SC-16 Transmisi Atribut Keamanan dan Privasi AU-16 Pencatatan Audit Lintas Organisasi SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) | Memeriksa apakah fitur versioning diaktifkan untuk bucket OSS. Jika fitur versioning dinonaktifkan, data mungkin gagal dipulihkan ketika data tersebut ditimpa atau dihapus. Jika fitur versioning diaktifkan untuk setiap bucket OSS, hasil evaluasi adalah Patuh. |
Mengaktifkan enkripsi sisi server berbasis KMS pada bucket OSS | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Memeriksa apakah enkripsi sisi server berbasis KMS diaktifkan untuk setiap bucket OSS. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan penyimpanan redundan zona untuk bucket OSS | CP-7 | CP-7 Situs Pemrosesan Alternatif CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi CP-6 Situs Penyimpanan Alternatif SC-6 Ketersediaan Sumber Daya SI-13 Pencegahan Kegagalan yang Dapat Diprediksi SC-22 Arsitektur dan Provisioning untuk Layanan Resolusi Nama/Alamat AU-5 Tanggapan terhadap Kegagalan Proses Pencatatan Audit SI-22 Keragaman Informasi CP-2 Rencana Kontingensi | Memeriksa apakah fitur penyimpanan zona redundan (ZRS) diaktifkan untuk bucket OSS. Jika fitur ZRS dinonaktifkan, OSS tidak dapat menyediakan layanan yang konsisten dan memastikan pemulihan data ketika pusat data menjadi tidak tersedia. Jika fitur ZRS diaktifkan untuk setiap bucket OSS, hasil evaluasi adalah Patuh. |
Mengenkripsi semua tabel data dalam instans Tablestore | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Memeriksa apakah fitur enkripsi diaktifkan untuk semua tabel pada instance Tablestore. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan Audit SQL untuk kluster PolarDB | CM-5 | CM-5 Pembatasan Akses untuk Perubahan SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Pembuatan Catatan Audit AC-4 Penerapan Aliran Informasi | Memeriksa apakah fitur audit SQL diaktifkan untuk setiap kluster PolarDB. Jika ya, hasil evaluasi adalah Patuh. |
Periode retensi cadangan level-1 untuk kluster PolarDB memenuhi persyaratan yang ditentukan. | CP-9 | CP-9 Cadangan Sistem SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-28 Perlindungan Informasi saat Istirahat CP-10 SC-24 Gagal dalam Status yang Dikenal | Memeriksa apakah periode retensi untuk cadangan level-1 dari setiap kluster PolarDB lebih besar dari atau sama dengan jumlah hari tertentu. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 7. Unit: hari. |
Mengaktifkan Kluster Hot Standby untuk kluster PolarDB | SI-22 | SI-22 Keragaman Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-6 Ketersediaan Sumber Daya | Memeriksa apakah fitur kluster hot standby diaktifkan untuk setiap kluster PolarDB dan data kluster tersebut didistribusikan di beberapa zona. Jika ya, hasil evaluasi adalah Patuh. |
Versi minor database PolarDB stabil. | SA-22 | SA-22 SI-2 Perbaikan Kerentanan | Memeriksa apakah versi minor dari setiap database PolarDB stabil. Jika ya, hasil evaluasi adalah Patuh. |
Grup pengguna RAM tidak kosong. | AC-3 | AC-3 Resource Access Management IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit IA-9 Identifikasi dan Otentikasi Layanan AU-9 Perlindungan Informasi Audit IA-4 Manajemen Pengenal SA-1 IA-5 Manajemen Otentikator AC-6 Hak Istimewa Minimum AC-2 Manajemen Akun | Memeriksa apakah setiap grup pengguna RAM berisi setidaknya satu pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. |
Tidak ditemukan grup pengguna RAM yang tidak aktif. | CM-5 | CM-5 Memodifikasi batasan akses AC-3 Penegakan Akses IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) IA-9 Identifikasi dan Otentikasi Layanan IA-4 Manajemen Pengenal IA-5 Manajemen Otentikator AC-2 Manajemen Akun | Memeriksa apakah grup pengguna RAM mencakup setidaknya satu pengguna RAM dan setidaknya satu kebijakan dilampirkan pada grup pengguna RAM tersebut. Jika ya, hasil evaluasi adalah Patuh. |
Tidak ada kebijakan RAM yang tidak digunakan. | CM-5 | CM-5 Pembatasan Akses untuk Perubahan AC-9 Pemberitahuan Login Sebelumnya IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-11 Otentikasi Ulang SC-50 Pemisahan Berbasis Perangkat Lunak dan Penegakan Kebijakan AC-2 Manajemen Akun CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan AC-24 Keputusan Kontrol Akses IA-4 Manajemen Pengenal AC-3 Penegakan Akses AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit IA-5 Manajemen Otentikator SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) AC-7 Upaya Masuk Gagal AC-6 Hak Istimewa Minimum AC-4 Penegakan Aliran Informasi | Memeriksa apakah kebijakan dilampirkan ke setidaknya satu grup pengguna RAM, peran RAM, atau pengguna RAM. Jika ya, hasil evaluasi adalah Patuh. |
Tidak ada super administrator. | CM-5 | CM-5 Pembatasan Akses untuk Perubahan AC-9 Pemberitahuan Login Sebelumnya IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-11 Otentikasi Ulang SC-50 Pemisahan Berbasis Perangkat Lunak dan Penegakan Kebijakan AU-9 Perlindungan Informasi Audit SC-7 Perlindungan Batas AC-2 Manajemen Akun CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan SI-3 Perlindungan Kode Jahat AC-24 Keputusan Kontrol Akses IA-4 Manajemen Pengenal AC-3 Penegakan Akses AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit IA-5 Manajemen Otentikator SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) CM-7 Fungsionalitas Minimum AC-7 Upaya Masuk Gagal AC-6 Hak Istimewa Minimum AC-4 Penegakan Aliran Informasi | Memeriksa apakah parameter Action dan Resource dari setiap pengguna RAM, grup pengguna RAM, dan peran RAM tidak disetel ke *. Jika ya, hasil evaluasi adalah Patuh. Tanda bintang (*) menunjukkan izin administrator super. |
Mengaktifkan MFA untuk pengguna RAM | IA-2 | IA-2 Identifikasi dan Autentikasi (Pengguna Organisasi) | Memeriksa apakah multi-factor authentication (MFA) diaktifkan dalam pengaturan login setiap pengguna RAM yang memiliki fitur akses konsol diaktifkan. Jika ya, hasil evaluasi adalah Patuh. |
Periode retensi log audit SQL untuk instans RDS mematuhi persyaratan yang ditentukan. | CM-5 | CM-5 Memodifikasi batasan akses SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur penjelajah SQL dan audit diaktifkan untuk setiap instance ApsaraDB RDS for MySQL dan jumlah hari penyimpanan log audit SQL lebih besar dari atau sama dengan nilai tertentu. Jika ya, hasil evaluasi adalah Patuh. Periode default adalah 180 hari. Aturan ini tidak berlaku untuk instance yang tidak mendukung fitur penjelajah SQL dan audit. |
rds-instance-enabled-log-backup | CP-9 | CP-9 Cadangan Sistem SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-28 Perlindungan Informasi saat Istirahat CP-10 SC-24 Gagal dalam Status yang Dikenal | Jika fitur pencadangan log diaktifkan untuk setiap instance ApsaraDB RDS, hasil evaluasi adalah Patuh. |
Mengaktifkan enkripsi disk pada instans RDS | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Memeriksa apakah enkripsi disk diaktifkan untuk setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance yang menggunakan disk lokal atau tidak mendukung enkripsi disk. |
Mengaktifkan enkripsi data transparan (TDE) untuk instans RDS | SC-34 | SC-34 Program Eksekusi yang Tidak Dapat Dimodifikasi CP-9 Cadangan Sistem SC-28 Perlindungan Informasi saat Istirahat AU-9 Perlindungan Informasi Audit IA-5 Manajemen Otentikator | Memeriksa apakah fitur Transparent Data Encryption (TDE) diaktifkan dalam pengaturan keamanan data setiap instance ApsaraDB RDS. Jika ya, hasil evaluasi adalah Patuh. |
Instans RDS multi-zona | SI-22 | SI-22 Keragaman Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-6 Ketersediaan Sumber Daya | Memeriksa apakah setiap instance ApsaraDB RDS menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Patuh. |
Daftar putih instans RDS dengan alamat IP publik tidak memberikan akses ke semua sumber. | AC-20 | AC-20 Penggunaan Sistem Eksternal AC-16 Atribut Keamanan dan Privasi AU-9 Perlindungan Informasi Audit SC-7 Perlindungan Batas CA-3 Pertukaran Informasi AC-17 Akses Jarak Jauh IA-9 Identifikasi dan Otentikasi Layanan CA-9 Koneksi Sistem Internal SC-38 Keamanan Operasi CM-12 Lokasi Informasi SC-10 Pemutusan Jaringan AC-3 Penegakan Akses CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit SC-2 Pemisahan Fungsionalitas Sistem dan Pengguna IA-5 Manajemen Otentikator SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) SC-11 Jalur Tepercaya SC-20 Layanan Resolusi Nama/Alamat Aman (Sumber Otoritatif) IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah alamat IP publik digunakan untuk instance ApsaraDB RDS dalam akun Anda atau apakah daftar putih tidak diaktifkan untuk semua alamat IP sumber. Jika ya, hasil evaluasi adalah Patuh. |
Mengaktifkan cadangan inkremental untuk instans Redis | CP-9 | CP-9 Cadangan Sistem SC-36 Pemrosesan dan Penyimpanan Terdistribusi SC-28 Perlindungan Informasi saat Istirahat CP-10 SC-24 Gagal dalam Status yang Dikenal | Memeriksa apakah pencadangan tambahan diaktifkan untuk setiap instance ApsaraDB for Redis. Jika ya, hasil evaluasi adalah Patuh. Aturan ini hanya berlaku untuk instance Tair atau instance ApsaraDB for Redis Enhanced Edition (Tair). |
Memutakhirkan instans Redis ke versi minor terbaru | SA-22 | SA-22 SI-2 Perbaikan Kerentanan | Memeriksa apakah setiap instance ApsaraDB for Redis ditingkatkan ke versi minor terbaru. Jika ya, hasil evaluasi adalah Patuh. |
AccessKey belum dibuat untuk akun Alibaba Cloud. | CM-5 | CM-5 Memodifikasi batasan akses AC-3 Penegakan Akses IA-8 Identifikasi dan Otentikasi (Pengguna Non-Organisasi) IA-2 Identifikasi dan Otentikasi (Pengguna Organisasi) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CM-7 Fungsionalitas Minimum AU-9 Perlindungan Informasi Audit SI-3 Perlindungan Kode Jahat SC-7 Perlindungan Batas IA-4 Manajemen Pengenal IA-5 Manajemen Otentikator AC-2 Manajemen Akun AC-6 Hak Istimewa Minimum AC-4 Penegakan Aliran Informasi | Memeriksa apakah pasangan AccessKey dibuat untuk setiap akun Alibaba Cloud. Jika tidak, hasil evaluasi adalah Patuh. |
Mengaktifkan Autentikasi Multi-Faktor (MFA) untuk akun Alibaba Cloud | IA-2 | IA-2 Identifikasi dan Autentikasi (Pengguna Organisasi) | Memeriksa apakah otentikasi multi-faktor (MFA) diaktifkan untuk setiap akun Alibaba Cloud. Jika ya, hasil evaluasi adalah Patuh. |
Menggunakan Security Center Edisi Perusahaan | SI-4 | SI-4 Pemantauan Sistem AU-7 Reduksi dan Pembuatan Laporan Catatan Audit AU-6 Tinjauan, Analisis, dan Pelaporan Catatan Audit AC-17 Akses Jarak Jauh AU-9 Perlindungan Informasi Audit RA-5 Pemantauan dan Pemindaian Kerentanan AC-2 Manajemen Akun AC-4 Penegakan Aliran Informasi | Memeriksa apakah Security Center Enterprise Edition atau edisi yang lebih canggih digunakan. Jika ya, hasil evaluasi adalah Patuh. |
Mengonfigurasi penyebaran multi-zona untuk instans SLB dan grup server | CP-7 | CP-7 Situs Pemrosesan Alternatif CP-9 Cadangan Sistem AC-4 Penegakan Aliran Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi CP-6 Situs Penyimpanan Alternatif SC-6 Ketersediaan Sumber Daya SI-13 Pencegahan Kegagalan yang Dapat Diprediksi SC-22 Arsitektur dan Provisioning untuk Layanan Resolusi Nama/Alamat AU-5 Tanggapan terhadap Kegagalan Proses Pencatatan Audit SI-22 Keragaman Informasi CP-2 Rencana Kontingensi | Memeriksa apakah setiap instance SLB menggunakan arsitektur multi-zona dan sumber daya dari beberapa zona ditambahkan ke grup server yang digunakan oleh semua pendengar SLB instance tersebut. Jika ya, hasil evaluasi adalah Patuh. |
Pendengar HTTPS instans SLB menggunakan rangkaian kebijakan keamanan yang ditentukan. | CP-9 | CP-9 Cadangan Sistem SA-4 Proses Akuisisi CM-7 Fungsionalitas Minimum AC-17 Akses Jarak Jauh MA-4 SC-13 Perlindungan Kriptografi SC-23 Keaslian Sesi SC-8 Kerahasiaan dan Integritas Transmisi IA-5 Manajemen Otentikator IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah pendengar HTTPS dari setiap instance SLB menggunakan suite kebijakan keamanan versi tertentu. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance SLB yang tidak dikonfigurasikan dengan pendengar HTTPS. |
Mengaktifkan log akses untuk instans SLB | CM-5 | CM-5 Memodifikasi batasan akses SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur log akses diaktifkan untuk setiap instance SLB. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance SLB yang pemantauan Layer 7 dinonaktifkan. |
Menambahkan pendengar HTTPS ke SLB | CP-9 | CP-9 Cadangan Sistem SA-4 Proses Akuisisi CM-7 Fungsionalitas Minimum AC-17 Akses Jarak Jauh MA-4 SC-13 Perlindungan Kriptografi SC-23 Keaslian Sesi SC-8 Kerahasiaan dan Integritas Transmisi IA-5 Manajemen Otentikator IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah pendengar HTTPS diaktkan pada port yang ditentukan dari setiap instance SLB. Jika ya, hasil evaluasi adalah Patuh. Aturan ini tidak berlaku untuk instance SLB yang hanya memiliki pendengar TCP atau UDP yang diaktifkan. |
ssl-certificate-expired-check | SC-12 | SC-12 Penetapan dan Manajemen Kunci Kriptografi IA-7 Otentikasi Modul Kriptografi SC-28 Perlindungan Informasi saat Istirahat SC-17 Sertifikat Infrastruktur Kunci Publik SC-13 Perlindungan Kriptografi SC-23 Keaslian Sesi CM-3 Kontrol Perubahan Konfigurasi IA-5 Manajemen Otentikator | Memeriksa apakah periode validitas tersisa dari semua sertifikat SSL lebih besar dari nilai yang ditentukan. Jika ya, hasil evaluasi adalah Patuh. Nilai default: 30. Unit: hari. |
vpc-flow-logs-enabled | CM-5 | CM-5 Memodifikasi batasan akses SI-4 Pemantauan Sistem AU-14 Audit Sesi AC-9 Pemberitahuan Login Sebelumnya SI-7 Integritas Perangkat Lunak, Firmware, dan Informasi AU-10 Non-repudiasi AU-2 Pencatatan Peristiwa AU-8 Cap Waktu AU-3 Isi Catatan Audit AC-6 Hak Istimewa Minimum AU-12 Generasi Catatan Audit AC-4 Penegakan Aliran Informasi | Memeriksa apakah fitur log aliran diaktifkan untuk setiap VPC. Jika ya, hasil evaluasi adalah Patuh. |
Tidak ada port berisiko tinggi yang terbuka dalam ACL jaringan VPC. | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah alamat IP tujuan yang ditentukan dalam aturan masuk untuk kontrol akses VPC disetel ke 0.0.0.0/0 dan rentang port yang ditentukan tidak mengandung port berisiko tinggi. Jika ya, hasil evaluasi adalah Patuh. |
ACL jaringan VPC dilampirkan ke satu atau lebih sumber daya. | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah setidaknya satu sumber daya terkait dengan setiap ACL jaringan. Jika ya, hasil evaluasi adalah Patuh. |
Blok CIDR tujuan untuk rute kustom VPC tidak diatur ke semua blok CIDR. | SC-3 | SC-3 Isolasi Fungsi Keamanan AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Manajemen Otentikator AC-6 Hak Istimewa Minimum AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah blok CIDR tujuan dari rute kustom tabel rute yang terkait dengan VPC disetel ke semua blok CIDR. Jika blok CIDR tujuan tidak disetel ke semua blok CIDR, hasil evaluasi adalah Patuh. |
Koneksi IPsec-VPN telah dibuat. | SC-3 | SC-3 Isolasi Fungsi Keamanan AC-4 Penegakan Aliran Informasi SC-36 Pemrosesan dan Penyimpanan Terdistribusi PL-8 SC-7 Perlindungan Batas SI-22 Keragaman Informasi SC-6 Ketersediaan Sumber Daya | Memeriksa apakah koneksi IPsec-VPN telah dibuat. Jika ya, hasil evaluasi adalah Patuh. |
waf3-instance-enabled-specified-defense-rules | AC-20 | AC-20 Penggunaan Sistem Eksternal SC-10 Pemutusan Jaringan SC-11 Jalur Tepercaya SC-21 Layanan Resolusi Nama/Alamat Aman (Resolver Rekursif atau Penyimpanan) IA-9 Identifikasi dan Otentikasi Layanan AC-17 Akses Jarak Jauh CA-9 Koneksi Sistem Internal SC-7 Perlindungan Batas IA-5 Manajemen Otentikator AC-4 Penegakan Aliran Informasi IA-3 Identifikasi dan Otentikasi Perangkat | Memeriksa apakah aturan untuk skenario perlindungan tertentu diaktifkan untuk instance WAF 3.0. Jika ya, hasil evaluasi adalah Patuh. |