ネットワークアーキテクチャとデータセキュリティの包括的なチェックを実行して、システムとデータが適切に設定および保護されていることを確認します。このプラクティスは、ネットワークとデータの侵害のリスクも軽減します。詳細については、「CIS Benchmarks の要件」をご参照ください。このトピックでは、ネットワークとデータセキュリティのベストプラクティスのデフォルトルールについて説明します。
ルール名 | 説明 |
使用中の各 ECS データディスクで暗号化機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
vpcIds パラメーターを構成していない場合、各 ECS インスタンスのネットワークタイプが VPC に設定されているかどうかを確認します。 設定されている場合、評価結果は「準拠」です。 vpcIds パラメーターを構成している場合、各 ECS インスタンスが存在する VPC が指定された VPC と同じかどうかを確認します。 同じ場合、評価結果も「準拠」です。 複数のパラメーター値はカンマ (,) で区切ります。 | |
各 OSS バケットでサーバ側暗号化が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
各 RDS インスタンスにパブリックエンドポイントが構成されていないかどうかを確認します。 構成されていない場合、評価結果は「準拠」です。 サイバー攻撃を防ぐため、本番環境ではインターネット経由で RDS インスタンスに直接アクセスできるように構成しないことをお勧めします。 | |
コンソールアクセス機能が有効になっている各 RAM ユーザーのログイン設定で MFA が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
AccessKey がない場合、Alibaba Cloud アカウントは「準拠」と見なされます。 | |
各 Alibaba Cloud アカウントに対して多要素認証 (MFA) が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
各 RAM ユーザーに構成されているパスワードポリシーの設定が指定された値を満たしているかどうかを確認します。 満たしている場合、評価結果は「準拠」です。 | |
各 RAM ユーザー、RAM ユーザーグループ、および RAM ロールの Action パラメーターが * に設定されていないかどうかを確認します。 設定されていない場合、評価結果は「準拠」です。 アスタリスク (*) はスーパー管理者権限を指定します。 | |
各 RAM ユーザーにポリシーがアタッチされているかどうかを確認します。 アタッチされている場合、評価結果は「準拠」です。 RAM ユーザーは、RAM ユーザーグループまたはロールから権限を継承することをお勧めします。 | |
ログページで各 Object Storage Service (OSS) バケットのログ機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
カスタム KMS キーを使用して各 OSS バケットのデータが暗号化されているかどうかを確認します。 暗号化されている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスで SQL エクスプローラーと監査機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS for MySQL インスタンスで SQL エクスプローラーと監査機能が有効になっているかどうか、および SQL 監査ログを保持できる日数が指定された日数以上であるかどうかを確認します。 条件を満たしている場合、評価結果は「準拠」です。 デフォルト値: 180。単位: 日。 | |
各 ApsaraDB RDS for PostgreSQL データベースの log_connections パラメーターが on に設定されているかどうかを確認します。 設定されている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS for PostgreSQL データベースの log_disconnections パラメーターが on に設定されているかどうかを確認します。 設定されている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS for PostgreSQL データベースの log_duration パラメーターが on に設定されているかどうかを確認します。 設定されている場合、評価結果は「準拠」です。 | |
公開読み取りおよび書き込みアクセスを許可する権限付与ポリシーが各 OSS バケットに指定されているかどうか、および権限付与ポリシーで匿名アカウントに読み取り/書き込み権限が付与されていないかどうかを確認します。 条件を満たしている場合、評価結果は「準拠」です。 このルールは、読み取り/書き込み権限が非公開の OSS バケットには適用されません。 | |
各 OSS バケットのバケットポリシーで HTTPS 経由の読み取りおよび書き込みアクセスが許可され、HTTP 経由のアクセスが拒否されているかどうかを確認します。 条件を満たしている場合、評価結果は「準拠」です。 このルールは、バケットポリシーがない OSS バケットには適用されません。 | |
OSS バケットの読み取り/書き込み権限が非公開に設定されているか、OSS バケットの権限付与ポリシーに特定の IP ホワイトリストが含まれているかどうかを確認します。 条件を満たしている場合、評価結果は「準拠」です。 | |
各 OSS バケットのバケットポリシーでインターネットからの読み取りおよび書き込みアクセスが拒否されているかどうかを確認します。 拒否されている場合、評価結果は「準拠」です。 | |
各 OSS バケットのバケットポリシーでインターネットからの読み取りアクセスが拒否されているかどうかを確認します。 拒否されている場合、評価結果は「準拠」です。 | |
現在のアカウントに属する各 ECS インスタンスにセキュリティセンターエージェントがインストールされているかどうかを確認します。 インストールされている場合、評価結果は「準拠」です。 | |
各 ECS インスタンスでセキュリティセンターによって識別された脆弱性が修正されているかどうかを確認します。 修正されている場合、評価結果は「準拠」です。 | |
各カスタム VPC CIDR ブロックの IP アドレスに関するルーティング情報を含むエントリが、関連するルートテーブルに少なくとも 1 つ存在するかどうかを確認します。 存在する場合、評価結果は「準拠」です。 | |
各 RAM ユーザーが過去 90 日以内にログインしたかどうかを確認します。 ログインした場合、評価結果は「準拠」です。 RAM ユーザーが過去 90 日以内に更新されたかどうかを確認します。 更新された場合、RAM ユーザーが最近ログインしたかどうかにかかわらず、評価結果は「準拠」です。 このルールは、コンソールアクセスが無効になっている RAM ユーザーには適用されません。 | |
各 RAM ユーザーの AccessKey ペアが作成された時刻が、チェック時刻の指定日数前よりも前であるかどうかを確認します。 前である場合、評価結果は「準拠」です。 デフォルト値: 90。単位: 日。 | |
各仮想プライベートクラウド (VPC) でフローログ機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスのデータセキュリティ設定で透過的データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスのデータセキュリティ設定で SSL 証明書機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
ActionTrail にアクティブなトレイルが存在し、すべてのリージョンで生成されたすべてのタイプのイベントが追跡されているかどうかを確認します。 追跡されている場合、評価結果は「準拠」です。 各リソースディレクトリの管理者がすべてのメンバーアカウントに適用されるトレイルを作成したかどうかを確認します。 作成した場合、評価結果は「準拠」です。 | |
Web Application Firewall (WAF) によって保護されている各ドメイン名でログ収集機能が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 | |
ACK クラスターは、Terway ネットワークプラグインを使用している場合、準拠となります。 | |
各 ACK クラスタの API サーバーにパブリックエンドポイントが構成されているかどうかを確認します。 構成されていない場合、評価結果は「準拠」です。 | |
各 Container Service for Kubernetes (ACK) クラスタのすべてのノードに CloudMonitor エージェントがインストールされ、想定どおりに実行されているかどうかを確認します。 実行されている場合、評価結果は「準拠」です。 | |
セキュリティセンターの各通知項目に通知方法が指定されているかどうかを確認します。 指定されている場合、評価結果は「準拠」です。 | |
セキュリティセンター Enterprise Edition 以上が使用されているかどうかを確認します。 使用されている場合、評価結果は「準拠」です。 | |
セキュリティグループのインバウンド CIDR ブロックが 0.0.0.0/0 に設定されている場合、指定されたプロトコルのポート範囲に指定された脅威ポートが含まれていなければ準拠となります。インバウンド CIDR ブロックが 0.0.0.0/0 に設定されていない場合、ポート範囲に指定された脅威ポートが含まれていても、セキュリティグループは準拠となります。検出された脅威ポートがより優先度の高い権限付与ポリシーによって拒否された場合、セキュリティグループは準拠となります。このルールは、クラウドプロダクトまたは仮想オペレーターが使用するセキュリティグループには適用されません。 | |
セキュリティセンターエージェントは、ECS インスタンスのセキュリティを保護するのに役立ちます。 各 ECS インスタンスにセキュリティセンターエージェントがインストールされているかどうかを確認します。 インストールされている場合、評価結果は「準拠」です。 このルールは、実行されていない ECS インスタンスには適用されません。 | |
セキュリティセンターコンソールで、指定されたレベルのリスクに対する脆弱性スキャンが構成されているかどうかを確認します。 構成されている場合、評価結果は「準拠」です。 | |
カスタムキーを使用して各 ApsaraDB RDS インスタンスの TDE が有効になっているかどうかを確認します。 有効になっている場合、評価結果は「準拠」です。 |