Alibaba Cloud Well-Architected Framework のセキュリティピラーは、ネットワーク、ID、ホスト、データなど、あらゆる側面からセキュリティを規制および実装し、脅威を継続的に検出して対応するのに役立ちます。コンプライアンスパッケージテンプレートは、Alibaba Cloud Well-Architected Framework のセキュリティピラーと Cloud Config ルールテンプレート間のマッピングを提供します。このトピックでは、Alibaba Cloud Well-Architected Framework のセキュリティピラーのベストプラクティスにおけるデフォルトルールについて説明します。
ルール名 | 説明 |
ActionTrail にアクティブなトレイルが存在し、すべてのリージョンで生成されるすべてのタイプのイベントが追跡されているかどうかを確認します。その場合、評価結果は「準拠」です。各リソースディレクトリの管理者がすべてのメンバーアカウントに適用されるトレイルを作成した場合も、評価結果は「準拠」です。 | |
各 AnalyticDB クラスタのメンテナンス期間が指定された時間範囲内にあるかどうかを確認します。その場合、評価結果は「準拠」です。 | |
各 AnalyticDB インスタンスでインターネットアクセスが無効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | |
API Gateway の各 API グループにバインドされているドメイン名が WAF または WAF 3.0 に追加されている場合、評価結果は「準拠」です。 | |
API Gateway の API グループのカスタムドメインに SSL 証明書が指定されている場合、評価結果は「準拠」です。 | |
ディスクが「使用中」状態の場合、評価結果は「準拠」です。このルールは、作成時間が指定日数以内のディスクには適用されません。デフォルトの日数は 7 です。 | |
使用中の各 ECS データディスクで暗号化機能が有効になっている場合、評価結果は「準拠」です。 | |
インスタンスに CloudMonitor エージェントをインストールして、セキュリティ保護サービスを提供できます。インスタンスに CloudMonitor エージェントがインストールされている場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 | |
各 ECS インスタンスに RAM ロールが割り当てられているかどうかを確認します。その場合、評価結果は「準拠」です。 | |
各 ECS インスタンスが「停止」状態かどうかを確認します。「停止」状態でない場合、評価結果は「準拠」です。 | |
ECS インスタンスで、セキュリティセンターによって指定されたタイプまたは指定されたレベルの未修正の脆弱性が検出されたかどうかを確認します。このルールは、実行されていない ECS インスタンスには適用されません。 | |
パラメータが設定されていない場合、システムは各 ECS インスタンスのネットワークタイプが VPC に設定されているかどうかを確認します。必須パラメータを指定した場合、システムは ECS インスタンスが存在する VPC が指定された設定と一致するかどうかを確認します。その場合、評価結果は「準拠」です。複数のパラメータ値はコンマ (,) で区切ります。 | |
実行中の ECS インスタンスにパブリック IPv4 アドレスまたは Elastic IP アドレスが割り当てられていないかどうかを確認します。割り当てられていない場合、評価結果は「準拠」です。 | |
アイドル状態のセキュリティグループが存在しない場合、つまり、各セキュリティグループに少なくとも 1 つの ECS インスタンスが追加されている場合、評価結果は「準拠」です。 | |
各セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加され、高リスクポートが無効になっているかどうかを確認します。その場合、評価結果は「準拠」です。インバウンド CIDR ブロックが 0.0.0.0/0 に設定されていない場合、ポート範囲に指定された高リスクポートが含まれていても、評価結果は「準拠」です。優先順位の高い権限付与ポリシーによって高リスクポートが拒否されている場合、評価結果は「準拠」です。このルールは、ECS 以外の Alibaba Cloud サービス、または仮想ネットワークオペレーター (VNO) が使用するセキュリティグループには適用されません。 | |
インバウンドルールの「承認オブジェクト」パラメータが 0.0.0.0/0 に設定されている場合、セキュリティグループの各インバウンドルールが指定された範囲のポートからのアクセスのみを許可するかどうかを確認します。その場合、評価結果は「準拠」です。このルールは、クラウドサービスまたは VNO が使用するセキュリティグループには適用されません。 | |
各 Elasticsearch インスタンスのデータノードでディスク暗号化機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 Elasticsearch クラスタが存在する VPC が、指定された VPC 範囲内にあるかどうかを確認します。範囲内にある場合、評価結果は「準拠」です。各 Elasticsearch クラスタが VPC 内に存在するかどうかを確認します。存在する場合、評価結果も「準拠」です。 | |
スケーリング設定で ECS インスタンスに IPv4 アドレスを割り当てることが指定されていない場合、評価結果は「準拠」です。 | |
Function Compute のインターネットアクセスが無効になっている場合、評価結果は「準拠」です。 | |
サービスの関数を特定の VPC 内でのみ呼び出すことができる場合、評価結果は「準拠」です。 | |
Key Management Service (KMS) のカスタマーマスターキー (CMK) が Alibaba Cloud に属しているかどうかを確認します。属している場合、評価結果は「準拠」です。 | |
KMS の CMK で自動回転機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
使用中の CMK のステータスが「削除保留中」に設定されていない場合、評価結果は「準拠」です。 | |
KMS シークレットで自動回転機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
作成した NAS ファイルシステムでサーバ側暗号化機能が有効になっている場合、ルールの評価結果は「準拠」です。 | |
ログページで、各 Object Storage Service (OSS) バケットのログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 OSS バケットのバケットポリシーで、HTTPS 経由の読み取りおよび書き込み操作が許可され、HTTP 経由のアクセスが拒否されているかどうかを確認します。許可されている場合、評価結果は「準拠」です。バケットポリシーのない OSS バケットの場合、評価結果は「該当なし」です。 | |
匿名アカウントに読み取りおよび書き込み権限が付与されていない場合、評価結果は「準拠」です。OSS バケットにポリシーが指定されていない場合、評価結果は「準拠」です。 | |
各 OSS バケットのアクセス制御リスト (ACL) ポリシーで、インターネットからの読み取りアクセスが拒否されているかどうかを確認します。拒否されている場合、評価結果は「準拠」です。 | |
各 OSS バケットの ACL ポリシーで、インターネットからの読み取りおよび書き込みアクセスが拒否されているかどうかを確認します。拒否されている場合、評価結果は「準拠」です。 | |
各 OSS バケットのサーバ側暗号化機能の「暗号化方法」パラメータが「OSS 管理」に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。 | |
バージョン管理が無効になっている場合、データが上書きまたは削除されるとデータを回復できません。バージョン管理が有効になっている場合、評価結果は「準拠」です。 | |
各 OSS バケットのデータの暗号化にカスタム KMS キーが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 | |
Tablestore インスタンスのすべてのテーブルで暗号化機能が有効になっている場合、評価結果は「準拠」です。 | |
各 RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれているかどうかを確認します。含まれている場合、評価結果は「準拠」です。 | |
各 RAM ユーザーに構成されているパスワードポリシーの設定が指定された値を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 | |
RAM ユーザー、RAM ユーザーグループ、および RAM ロールの操作パラメータが、スーパー管理者権限を示すアスタリスク (*) に設定されていない場合、構成は準拠していると見なされます。 | |
各 RAM ユーザーの AccessKey ペアが作成された時刻が、チェック時刻の指定日数前よりも前であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値:90。 | |
各 RAM ユーザーの AccessKey ペアが使用された時刻が、現在の日付の指定日数前よりも前であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値:90。 | |
各 RAM ユーザーが RAM ユーザーグループに属しているかどうかを確認します。属している場合、評価結果は「準拠」です。 | |
コンソールアクセス機能が有効になっている各 RAM ユーザーのログイン設定で MFA が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
RAM ロールに管理者権限、クラウドサービスの管理者権限、またはユーザーグループから継承された権限がない場合、構成は準拠していると見なされます。 | |
各 ApsaraDB RDS インスタンスのデータセキュリティ設定で透過的データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS for MySQL インスタンスで SQL エクスプローラーと監査機能が有効になっているかどうか、および SQL 監査ログを保持できる日数が指定された日数以上であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値:180。 | |
アカウントの ApsaraDB RDS インスタンスでインターネットアクセスが有効になっており、ホワイトリストに 0.0.0.0/0 CIDR ブロックが追加されているかどうかを確認します。これらの条件が true と評価された場合、評価結果は「非準拠」です。 | |
各 Alibaba Cloud アカウントに AccessKey ペアが作成されているかどうかを確認します。作成されていない場合、評価結果は「準拠」です。 | |
現在の Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
セキュリティセンターの Enterprise Edition 以上のエディションが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 | |
各 CLB インスタンスでアクセスログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、レイヤー 7 モニタリングが無効になっている CLB インスタンスには適用されません。 | |
各 SLB インスタンスの指定されたポートで HTTPS リスナーが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。各 SLB インスタンスの指定されたポートで TCP または UDP リスナーのみが有効になっている場合、評価結果は「該当なし」です。 | |
各仮想プライベートクラウド (VPC) でフローログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
Web Application Firewall (WAF) によって保護されている各ドメイン名でログ収集機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |