多層防御スキーム (MLPS) 2.0 レベル 2 の特定の要件に基づいて、Alibaba Cloud リソースのコンプライアンスをチェックします。コンプライアンスパッケージテンプレートは、コンプライアンスパッケージの作成に使用される共通のフレームワークを提供します。ルールの入力パラメーターを指定し、コンプライアンスパッケージテンプレートに基づいて修復設定を構成することで、ビジネス要件を満たすコンプライアンスパッケージを作成できます。リソースが準拠していると評価された場合、リソースはコンプライアンスルールにのみ基づいています。この場合、リソースは法的要件、規制、および業界標準に準拠していない可能性があります。
ルール名 | コード | コードの説明 | ルールの説明 |
eip-bandwidth-limit | 7.1.2.1 | b) ピーク時間帯に各ネットワークコンポーネントの帯域幅が要件を満たしていることを確認します。 | 各 Elastic IP Address (EIP) の利用可能な帯域幅が指定された値以上かどうかを確認します。その場合、評価結果は「準拠」です。デフォルト値: 10。単位: MB。 |
slb-loadbalancer-bandwidth-limit | 各 Server Load Balancer (SLB) インスタンスの利用可能な帯域幅が指定された値以上であるかどうかを確認します。その場合、評価結果は「準拠」です。デフォルト値: 10。単位: MB。 | ||
cen-cross-region-bandwidth-check | 各 Cloud Enterprise Network (CEN) インスタンスのリージョン間接続に割り当てられている帯域幅が指定された値よりも大きいかどうかを確認します。その場合、評価結果は「準拠」です。デフォルト値: 1。単位: Mbit/s。 | ||
natgateway-snat-eip-bandwidth-check | NAT ゲートウェイの各 SNAT エントリに関連付けられている複数の EIP が EIP 帯域幅プランに追加されているか、またはこれらの EIP の指定された最大帯域幅が同じであるかどうかを確認します。その場合、評価結果は「準拠」です。このルールは、Virtual Private Cloud (VPC) NAT ゲートウェイには適用されません。 | ||
oss-bucket-policy-no-any-anonymous | 7.1.3.1 | a) ボーダーデバイスの制御されたインターフェイスを介して送信される国境を越えたアクセスリクエストとデータパケットのみを許可します。 | 各匿名アカウントに読み取りおよび書き込み権限が付与されているかどうかを確認します。そうでない場合、評価結果は「準拠」です。Object Storage Service (OSS) バケットにポリシーが指定されていない場合、評価結果は「準拠」です。 |
sg-public-access-check | 各セキュリティグループのインバウンド権限付与ポリシーが「許可」に設定され、ポート範囲が -1/-1 に設定されているか、承認済み IP アドレスが 0.0.0.0/0 に設定されているか、または優先順位の高い権限付与ポリシーが構成されているかどうかを確認します。その場合、評価結果は「準拠」です。このルールは、クラウドサービスまたは仮想ネットワークオペレーターによって使用されるセキュリティグループには適用されません。 | ||
rds-public-connection-and-any-ip-access-check | アカウント内の ApsaraDB RDS インスタンスにパブリック IP アドレスが使用されているか、すべての送信元 IP アドレスに対してホワイトリストが有効になっていないかを確認します。その場合、評価結果は「準拠」です。 | ||
redis-instance-open-auth-mode | VPC 内の各 ApsaraDB for Redis インスタンスでパスワードベースの認証機能が有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
cr-instance-any-ip-access-check | 各 Container Registry インスタンスの IP アドレスホワイトリストに 0.0.0.0/0 が追加されているかどうかを確認します。そうでない場合、評価結果は「準拠」です。このルールは、Container Registry Enterprise Edition インスタンスに適用されます。 | ||
elasticsearch-public-and-any-ip-access-check | 7.1.3.1 | a) ボーダーデバイスの制御されたインターフェイスを介して送信される国境を越えたアクセスリクエストとデータパケットのみを許可します。 | 各 Elasticsearch クラスタがパブリックネットワークからのアクセスを拒否しているか、すべての IP アドレスからのアクセスを許可していないかを確認します。その場合、評価結果は「準拠」です。 |
sg-risky-ports-check | 7.1.3.2 | a) アクセスコントロールポリシーに基づいて、ネットワーク境界またはネットワークゾーン間でアクセスコントロールルールを構成します。管理対象インターフェイスは、ルールに準拠する通信リクエストのみを許可します。 | 各セキュリティグループのインバウンドルールで 0.0.0.0/0 が権限付与オブジェクトとして指定されており、選択されたポートに危険なポートが含まれていないかどうかを確認します。その場合、評価結果は「準拠」です。各セキュリティグループのインバウンドルールで 0.0.0.0/0 が権限付与オブジェクトとして指定されていない場合、選択されたポートに危険なポートが含まれているかどうかに関係なく、評価結果は「準拠」です。高リスクポートが優先順位の高い権限付与ポリシーによって拒否されている場合、構成は準拠していると見なされます。このルールは、クラウドサービスまたは仮想ネットワークオペレーターによって使用されるセキュリティグループには適用されません。 |
nat-risk-ports-check | NAT ゲートウェイの DNAT エントリを使用して、指定された高リスクポートがマッピングされているかどうかを確認します。 | ||
vpc-network-acl-risky-ports-check | VPC アクセスコントロールのインバウンドルールで指定された宛先 IP アドレスが 0.0.0.0/0 に設定されており、指定されたポート範囲に高リスクポートが含まれていないかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
slb-all-listener-enabled-acl | 各 SLB インスタンスのリスナーにアクセスコントロール機能が構成されているかどうかを確認します。その場合、評価結果は「準拠」です。このルールは、リスナーが構成されていない SLB インスタンスには適用されません。 | ||
alb-all-listener-enabled-acl | 各 ALB インスタンスのすべてのリスナーでアクセスコントロール機能が有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。このルールは、リスナーが構成されていない SLB インスタンスには適用されません。 | ||
slb-acl-public-access-check | 各 SLB インスタンスの ACL に 0.0.0.0/0 が含まれていないかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
oss-authorization-policy-ip-limit-enabled | OSS バケットの読み取りまたは書き込み権限が非公開に設定されているか、OSS バケットの権限付与ポリシーに特定の IP ホワイトリストが含まれているかを確認します。その場合、評価結果は「準拠」です。 | ||
use-ddos-instance-for-security-protection | 7.1.3.3 | 重要なネットワークノードでネットワーク攻撃を監視する必要があります。 | Anti-DDoS が DDoS 攻撃の防止に使用されているかどうかを確認します。その場合、評価結果は「準拠」です。 |
use-cloud-fire-wall-for-security-protection | Cloud Firewall がネットワーク境界の保護に使用されているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
security-center-version-check | 7.1.3.4 | システムが重要なネットワークノード上の悪意のあるコードを検出して削除できるかどうか、およびシステムが適時に悪意のあるコード防止メカニズムを更新できるかどうかを確認します。 | Security Center Enterprise Edition 以降のエディションが使用されているかどうかを確認します。その場合、評価結果は「準拠」です。 |
security-center-defense-config-check | <セキュリティセンター> コンソールで指定されたタイプのプロアクティブ防御が有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
waf3-instance-enabled-specified-defense-rules | 指定された保護シナリオのルールが WAF 3.0 インスタンスで有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
use-waf-instance-for-security-protection | Web Application Firewall (WAF) が Web サイトまたはアプリケーションの保護に使用されているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
actiontrail-trail-intact-enabled | 7.1.3.5 7.1.4.3 | 7.1.3.5 b) 監査レコードに、イベントの日付、イベントの時間、ユーザー、イベントタイプ、イベントが成功したかどうか、および監査に関連するその他の情報を提供します。 7.1.4.3 b) 監査レコードに、イベントの日付、イベントの時間、ユーザー、イベントタイプ、イベントが成功したかどうか、および監査に関連するその他の情報を提供します。 | ActionTrail にアクティブなトレイルが存在し、すべてのリージョンで生成されるすべてのタイプのイベントが追跡されているかどうかを確認します。その場合、評価結果は「準拠」です。リソースディレクトリの管理者がすべてのメンバーに適用されるトレイルを作成した場合、評価結果は「準拠」です。 |
rds-instance-enabled-auditing | 各 ApsaraDB RDS インスタンスで SQL エクスプローラーと監査機能が有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
adb-cluster-audit-log-enabled | 各 AnalyticDB for MySQL クラスタで SQL エクスプローラーと監査機能が有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
vpc-flow-logs-enabled | 各 VPC でフローログ機能が有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
ram-password-policy-check | 7.1.4.1 | b) ログイン失敗を処理し、セッションを自動的に閉じる、ログインの悪用を制限する、セッションがタイムアウトしたときにログアウトするなどの関連機能を構成します。 | 各 RAM ユーザーに構成されているパスワードポリシーの設定が指定された値を満たしているかどうかを確認します。その場合、評価結果は「準拠」です。 |
ram-user-last-login-expired-check | 7.1.4.2 | c) 冗長なアカウントと期限切れのアカウントを削除または無効にし、共有アカウントを無効にします。 d) 最小権限の原則を管理者に適用して、権限の分離を確保します。 | 各 RAM ユーザーが過去 90 日以内に少なくとも 1 回システムにログインしたかどうかを確認します。その場合、評価結果は「準拠」です。RAM ユーザーが過去 90 日以内に更新された場合、RAM ユーザーが最近システムにログインしたかどうかに関係なく、評価結果は準拠していると見なされます。このルールは、コンソールアクセスが無効になっている RAM ユーザーには適用されません。 |
ram-policy-in-use-check | ポリシーが少なくとも 1 つの RAM ユーザーグループ、RAM ロール、または RAM ユーザーにアタッチされているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
ram-group-has-member-check | 各 RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
ram-user-no-policy-check | 各 RAM ユーザーにポリシーがアタッチされているかどうかを確認します。その場合、評価結果は「準拠」です。RAM ユーザーは RAM ユーザーグループまたはロールから権限を継承することをお勧めします。 | ||
ram-user-ak-used-expired-check | 各 RAM ユーザーの AccessKey ペアが最後に使用された日付と現在の日付の間の期間が、指定された日数未満であるかどうかを確認します。その場合、評価結果は「準拠」です。デフォルト値: 90。単位: 日。 | ||
ram-policy-no-statements-with-admin-access-check | 各 RAM ユーザー、RAM ユーザーグループ、および RAM ロールの操作とリソースのパラメーターが * に設定されていないかどうかを確認します。その場合、評価結果は「準拠」です。アスタリスク (*) はスーパー管理者権限を示します。 | ||
ram-user-login-check | 各 RAM ユーザーに対して、コンソールアクセスと API アクセスのいずれかの機能が有効になっているかどうかを確認します。その場合、評価結果は「準拠」です。 | ||
ecs-instance-enabled-security-protection | 7.1.4.4 | e) 既知の脆弱性を検出し、完全なテストと評価の後で脆弱性を修正します。 | インスタンスに CloudMonitor エージェントをインストールして、セキュリティ保護サービスを提供できるようにします。各 ECS インスタンスに Security Center エージェントがインストールされているかどうかを確認します。その場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
ecs-instance-updated-security-vul | 指定されたタイプまたは指定されたレベルの未修正の脆弱性が ECS インスタンスの Security Center によって検出されたかどうかを確認します。このルールは、実行されていない ECS インスタンスには適用されません。 | ||
ecs-disk-auto-snapshot-policy | 7.1.4.8 | a) 重要なローカルデータをバックアップおよび復元するために必要な機能を提供します。 b) 重要なデータを通信ネットワーク経由でリアルタイムにリモートの宛先サイトにバックアップするために必要な機能を提供します。 | 各 ECS ディスクに自動スナップショットポリシーが指定されているかどうかを確認します。その場合、評価結果は「準拠」です。このルールは、使用されていないディスク、自動スナップショットポリシーをサポートしていないディスク、および ACK クラスタにアタッチされている非永続ディスクには適用されません。 |