Berdasarkan standar kontrol risiko TI umum di industri keuangan Malaysia, paket kepatuhan RMiTComplianceCheck secara terus-menerus memantau kepatuhan sistem TI di cloud. Topik ini menjelaskan aturan yang termasuk dalam paket kepatuhan RMiTComplianceCheck.
Nama Aturan | Deskripsi |
Memeriksa apakah jejak aktif ada di ActionTrail dan semua jenis peristiwa yang dihasilkan di semua wilayah dilacak. Jika ya, hasil evaluasi adalah Mematuhi. Jika administrator setiap direktori sumber daya telah membuat jejak yang berlaku untuk semua akun anggota, hasil evaluasi juga Mematuhi. | |
Memeriksa apakah jejak diaktifkan di ActionTrail. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah kunci Key Management Service (KMS) kustom digunakan untuk mengenkripsi data setiap Bucket Object Storage Service (OSS). Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah kebijakan snapshot otomatis ditentukan untuk setiap disk ECS. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah enkripsi disk diaktifkan untuk setiap Instance ECS. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah alamat IPv4 publik atau EIP ditentukan untuk setiap Instance ECS. Jika tidak, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah tipe jaringan setiap Instance ECS diatur ke VPC jika Anda tidak mengonfigurasi parameter vpcIds. Jika ya, hasil evaluasi adalah Mematuhi. Memeriksa apakah VPC tempat setiap Instance ECS berada sama dengan VPC tertentu jika Anda mengonfigurasi parameter vpcIds. Jika ya, hasil evaluasi juga Mematuhi. Pisahkan beberapa nilai parameter dengan koma (,). | |
Memeriksa apakah setiap Instance Server Load Balancer (SLB) menggunakan sertifikat yang diterbitkan oleh Alibaba Cloud. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah sertifikat setiap Instance SLB valid. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah fitur perlindungan pelepasan diaktifkan untuk setiap Instance SLB. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah pendengar HTTPS diaktifkan pada port tertentu dari setiap Instance SLB. Jika ya, hasil evaluasi adalah Mematuhi. Jika hanya pendengar TCP atau UDP yang diaktifkan pada port tertentu dari setiap Instance SLB, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah setiap Grup pengguna RAM berisi setidaknya satu pengguna RAM. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah pengaturan kebijakan kata sandi yang dikonfigurasi untuk setiap pengguna RAM memenuhi nilai yang ditentukan. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah parameter Resource dan Action dari setiap pengguna RAM, Grup pengguna RAM, dan Peran RAM diatur ke *. Jika tidak, hasil evaluasi adalah Mematuhi. Jika kedua parameter diatur ke *, identitas tersebut memiliki izin administrator super. | |
Memeriksa apakah pasangan AccessKey dibuat untuk setiap akun Alibaba Cloud. Jika tidak, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah setiap pengguna RAM termasuk dalam Grup pengguna RAM. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah autentikasi multi-faktor (MFA) diaktifkan dalam pengaturan masuk setiap pengguna RAM yang fitur akses konsolnya diaktifkan. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah kebijakan dilampirkan ke setiap pengguna RAM. Jika ya, hasil evaluasi adalah Mematuhi. Kami merekomendasikan agar pengguna RAM mewarisi izin dari Grup pengguna RAM atau peran. | |
Memeriksa apakah setiap pengguna RAM telah masuk dalam 90 hari terakhir. Jika ya, hasil evaluasi adalah Mematuhi. Jika pengguna RAM telah diperbarui dalam 90 hari terakhir, hasil evaluasi adalah Mematuhi terlepas dari apakah pengguna RAM baru-baru ini telah masuk. Untuk pengguna RAM yang tidak memiliki akses konsol, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah tidak ada titik akhir publik yang dikonfigurasi untuk setiap Instance RDS. Jika ya, hasil evaluasi adalah Mematuhi. Untuk mencegah serangan siber, kami merekomendasikan agar Anda tidak mengonfigurasi akses langsung ke Instance RDS di lingkungan produksi melalui Internet. | |
Memeriksa apakah fitur riwayat peristiwa diaktifkan untuk setiap Instance RDS. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah setiap Instance RDS menggunakan arsitektur multi-zona. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah fitur Transparent Data Encryption (TDE) diaktifkan dalam pengaturan keamanan data setiap Instance RDS. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah fitur pencatatan diaktifkan untuk setiap Bucket OSS di halaman Logs. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah kebijakan bucket dikonfigurasi untuk setiap Bucket OSS yang parameter Bucket ACL-nya diatur ke Public Read/Write, dan tidak ada izin baca atau tulis yang diberikan kepada akun anonim dalam kebijakan otorisasi. Jika ya, hasil evaluasi adalah Mematuhi. Aturan ini tidak berlaku untuk Bucket OSS yang parameter Bucket ACL-nya diatur ke Private. | |
Memeriksa apakah parameter Metode Enkripsi fitur enkripsi sisi server diatur ke OSS-Managed untuk setiap Bucket OSS. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah enkripsi sisi server berbasis KMS diaktifkan untuk setiap Bucket OSS. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah versioning diaktifkan untuk setiap Bucket OSS. Jika ya, hasil evaluasi adalah Mematuhi. Jika versioning dinonaktifkan, data tidak dapat dipulihkan saat data tersebut ditimpa atau dihapus. | |
Memeriksa apakah fitur log aliran diaktifkan untuk setiap virtual private cloud (VPC). Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah koneksi IPsec-VPN telah dibuat. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah fitur pengumpulan log diaktifkan untuk setiap nama domain yang dilindungi oleh Web Application Firewall (WAF). Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah kebijakan bucket setiap Bucket OSS mengizinkan operasi baca dan tulis melalui HTTPS dan menolak akses melalui HTTP. Jika ya, hasil evaluasi adalah Mematuhi. Untuk Bucket OSS tanpa kebijakan bucket, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah kebijakan otorisasi arah masuk setiap grup keamanan diatur ke Mengizinkan dan rentang port diatur ke -1/-1 atau alamat IP yang diotorisasi diatur ke 0.0.0.0/0, atau kebijakan otorisasi dengan prioritas lebih tinggi dikonfigurasi. Jika ya, hasil evaluasi adalah Mematuhi. Jika grup keamanan digunakan oleh layanan cloud atau operator jaringan virtual, hasil evaluasi adalah Tidak Berlaku. | |
Memeriksa apakah fitur rotasi otomatis diaktifkan untuk setiap kunci master pelanggan (CMK) di KMS. Jika ya, hasil evaluasi adalah Mematuhi. | |
Memeriksa apakah tipe jaringan setiap kluster Elasticsearch diatur ke VPC ketika parameter vpcIds tidak dikonfigurasi. Jika ya, hasil evaluasi adalah Mematuhi. Memeriksa apakah VPC tempat setiap kluster Elasticsearch berada sama dengan VPC tertentu ketika parameter vpcIds tidak dikonfigurasi. Jika ya, hasil evaluasi juga Mematuhi. |