多層防御スキーム (MLPS) 2.0 レベル 3 の特定の要件に基づいて、Alibaba Cloud リソースのコンプライアンスをチェックします。コンプライアンスパッケージテンプレートは、コンプライアンスパッケージの作成に使用される共通のフレームワークを提供します。ルール入力パラメータを指定し、コンプライアンスパッケージテンプレートに基づいて修復設定を構成することで、ビジネス要件を満たすコンプライアンスパッケージを作成できます。リソースが「準拠」と評価された場合、リソースはコンプライアンスルールにのみ基づいています。この場合、リソースは法的要件、規制、および業界標準に準拠していない可能性があります。
ルール名 | コード | コードの説明 | ルールの説明 |
eip-bandwidth-limit | 8.1.2.1 | b) ピーク時に各ネットワークコンポーネントの帯域幅が要件を満たしていることを確認します。 c) ネットワークゾーンを計画し、各ゾーンに IP アドレスを割り当てて、効率的な管理操作を実行します。 | 各 Elastic IP Address (EIP) の利用可能な帯域幅が指定された値以上かどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 10。単位: MB。 |
slb-loadbalancer-bandwidth-limit | 各 Server Load Balancer (SLB) インスタンスの利用可能な帯域幅が指定された値以上であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 10。単位: MB。 | ||
cen-cross-region-bandwidth-check | 各 Cloud Enterprise Network (CEN) インスタンスのリージョン間接続に割り当てられている帯域幅が指定された値よりも大きいかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 1 Mbit/s。 | ||
natgateway-snat-eip-bandwidth-check | NAT ゲートウェイの各 SNAT エントリに関連付けられている複数の EIP が EIP 帯域幅プランに追加されているか、またはこれらの EIP の指定された最大帯域幅が同じであるかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、Virtual Private Cloud (VPC) NAT ゲートウェイには適用されません。 | ||
ecs-instances-in-vpc | パラメータが構成されていない場合、各 Elastic Compute Service (ECS) インスタンスのネットワークタイプが VPC に設定されているかどうかを確認します。必須パラメータを構成する場合、システムは ECS インスタンスが存在する VPC が指定された設定と一致するかどうかを確認します。そうである場合、評価結果は「準拠」です。複数のパラメータ値はコンマ (,) で区切ります。 | ||
rds-instances-in-vpc | vpcIds パラメータが構成されていない場合、各 ApsaraDB RDS インスタンスのネットワークタイプが VPC であるかどうかを確認します。 vpcIds パラメータが構成されている場合、各 ApsaraDB RDS インスタンスが指定された VPC のいずれかにデプロイされている場合、評価結果は「準拠」です。複数のパラメータ値はコンマ (,) で区切ります。 | ||
redis-instance-in-vpc | vpcIds パラメータが構成されていない場合、各 ApsaraDB for Redis インスタンスのネットワークタイプが VPC に設定されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 vpcIds パラメータが構成されている場合、各 ApsaraDB for Redis インスタンスが存在する VPC が指定された VPC と同じである場合、評価結果は「準拠」です。 | ||
slb-all-listenter-tls-policy-check | 8.1.2.2 | b) 暗号化技術を使用して、通信中のデータの機密性を確保します。 | 各 SLB インスタンスの HTTPS リスナーが、指定されたセキュリティポリシースイートバージョンを使用しているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、HTTPS リスナーが構成されていない SLB インスタンスには適用されません。 |
rds-instance-tls-version-check | 各 ApsaraDB RDS インスタンスで SSL 機能が有効になっているかどうか、およびインスタンスで使用されている Transport Layer Security (TLS) バージョンが指定されたバージョン範囲内にあるかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
oss-security-access-enabled | 各 Object Storage Service (OSS) バケットのバケットポリシーが HTTPS 経由の読み取りおよび書き込みアクセスを許可し、HTTP 経由のアクセスを拒否するかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、ポリシーが構成されていない OSS バケットには適用されません。 | ||
cdn-domain-tls13-enabled | Alibaba Cloud CDN によって高速化された各ドメイン名で TLS 1.3 プロトコルが有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
polardb-cluster-enabled-ssl | 各 PolarDB クラスタで SSL 暗号化機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
api-gateway-group-https-policy-check | API Gateway の API グループに構成されている HTTPS セキュリティポリシーがこのルールの入力パラメータで指定されたポリシーリストに含まれているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
oss-bucket-policy-no-any-anonymous | 各匿名アカウントに読み取りおよび書き込み権限が付与されているかどうかを確認します。各匿名アカウントに読み取りおよび書き込み権限が付与されていない場合、評価結果は「準拠」です。 OSS バケットにポリシーが指定されていない場合、評価結果は「準拠」です。 | ||
sg-public-access-check | 8.1.3.1 8.1.3.2 | 8.1.3.1 a) 境界デバイスの制御されたインターフェイスを介して送信される国境を越えたアクセス要求とデータパケットのみを許可します。 b) 内部ネットワーク上の未承認デバイスから送信されたアクセス制御を実行するか、アクセス要求を確認します。 8.1.3.2 a) アクセス制御ポリシーに基づいて、ネットワーク境界またはネットワークゾーン間でアクセス制御ルールを構成します。管理対象インターフェイスは、ルールに準拠する通信要求のみを許可します。 c) 送受信パケットを許可または拒否するために、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコルを確認します。 | 各セキュリティグループのインバウンド権限付与ポリシーが「許可」に設定されていて、ポート範囲が -1/-1 に設定されているか、承認済み IP アドレスが 0.0.0.0/0 に設定されているか、または優先順位の高い権限付与ポリシーが構成されているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、クラウドサービスまたは仮想ネットワーク事業者によって使用されるセキュリティグループには適用されません。 |
rds-public-connection-and-any-ip-access-check | アカウント内の ApsaraDB RDS インスタンスにパブリック IP アドレスが使用されているか、すべての送信元 IP アドレスに対してホワイトリストが有効になっていないかを確認します。そうである場合、評価結果は「準拠」です。 | ||
cr-instance-any-ip-access-check | 各 Container Registry インスタンスの IP アドレスホワイトリストに 0.0.0.0/0 が追加されているかどうかを確認します。そうでない場合、評価結果は「準拠」です。このルールは、Container Registry Enterprise Edition インスタンスに適用されます。 | ||
elasticsearch-public-and-any-ip-access-check | 各 Elasticsearch クラスタがパブリックネットワークからのアクセスを拒否するか、すべての IP アドレスからのアクセスを許可しないかを確認します。そうである場合、評価結果は「準拠」です。 | ||
cr-instance-public-access-check | Container Registry インスタンスのパブリックアクセス ポータルが有効になっているかどうかを確認します。パブリックアクセス ポータルが有効になっていない場合、評価結果は「準拠」です。このルールは、Container Registry Enterprise Edition インスタンスに適用されます。 | ||
redis-public-and-any-ip-access-check | 各 ApsaraDB for Redis インスタンスでインターネットアクセスが有効になっているかどうか、およびすべての CIDR ブロックがインスタンスの IP ホワイトリストに追加されているかどうかを確認します。各 ApsaraDB for Redis インスタンスでインターネットアクセスが無効になっている場合、またはインスタンスがインターネットにアクセスできるが、ホワイトリストに 0.0.0.0/0 が含まれていない場合、評価結果は「準拠」です。各 ApsaraDB for Redis インスタンスでインターネットアクセスが有効になっていて、すべての CIDR ブロックがインスタンスの IP ホワイトリストに追加されている場合、評価結果は「非準拠」です。 | ||
security-group-high-risk-port-all-disabled | 各セキュリティグループのインバウンドルールの権限付与オブジェクトとして 0.0.0.0/0 が指定されていて、選択されたポートに危険なポートが含まれていないかを確認します。そうである場合、評価結果は「準拠」です。各セキュリティグループのインバウンドルールの権限付与オブジェクトとして 0.0.0.0/0 が指定されていない場合、選択されたポートに危険なポートが含まれているかどうかに関係なく、評価結果は「準拠」です。危険なポートが優先順位の高いポリシーによって拒否されている場合、評価結果は「準拠」です。このルールは、クラウドサービスまたは仮想ネットワーク事業者によって使用されるセキュリティグループには適用されません。 | ||
nat-risk-ports-check | 指定された危険なポートが NAT ゲートウェイの DNAT エントリを使用してマッピングされているかどうかを確認します。指定された危険なポートが NAT ゲートウェイの DNAT エントリを使用してマッピングされていない場合、評価結果は「準拠」です。 | ||
nas-filesystem-mount-target-access-group-check | 8.1.3.1 | a) 境界デバイスの制御されたインターフェイスを介して送信される国境を越えたアクセス要求とデータパケットのみを許可します。 b) 内部ネットワーク上の未承認デバイスから送信されたアクセス制御を実行するか、アクセス要求を確認します。 | NAS ファイルシステムの権限グループのルールに 0.0.0.0/0 が追加されているかどうかを確認します。 NAS ファイルシステムの権限グループのルールに 0.0.0.0/0 が追加されていない場合、評価結果は「準拠」です。このルールは、マウントポイントが作成されていない NAS ファイルシステム、または権限グループにルールがない NAS ファイルシステムには適用されません。 |
oss-bucket-policy-outside-organization-check | OSS バケットでパブリック読み取りが有効になっているかどうか、および分析結果に外部権限付与が存在するかどうかを確認します。 OSS バケットでパブリック読み取りが有効になっておらず、分析結果に外部権限付与が存在しない場合、評価結果は「準拠」です。バケットポリシーの分析結果がバケットポリシーで分析を実行できないことを示している場合、評価結果は「非準拠」です。バケットポリシーのすべての分析結果がリソースディレクトリに存在する場合、評価結果は「準拠」です。リソースディレクトリのアカウントによって権限付与が実行されていない場合、評価結果は「非準拠」です。 | ||
oss-bucket-public-read-prohibited | 各 OSS バケットのアクセス制御リスト (ACL) ポリシーがインターネットからの読み取りアクセスを拒否するかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
ack-cluster-public-endpoint-check | 各 Container Service for Kubernetes (ACK) クラスタの API サーバーにパブリックエンドポイントが構成されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
ecs-running-instance-no-public-ip | 実行中の ECS インスタンスにパブリック IPv4 アドレスまたは EIP が割り当てられていないかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
slb-no-public-ip | 各 SLB インスタンスにパブリック IP アドレスが関連付けられているかどうかを確認します。各 SLB インスタンスにパブリック IP アドレスが関連付けられていない場合、評価結果は「準拠」です。 SLB インスタンスがパブリックネットワークにアクセスしないようにするには、SLB インスタンスにパブリック IP アドレスをバインドしないことをお勧めします。 SLB インスタンスがパブリックネットワークにアクセスするようにするには、EIP を購入し、必要な SLB インスタンスに EIP をバインドすることをお勧めします。 EIP はより高い柔軟性を提供します。 EIP 帯域幅プランを使用してコストを削減することもできます。 | ||
redis-instance-open-auth-mode | VPC 内の各 ApsaraDB for Redis インスタンスでパスワードベースの認証機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
vpc-network-acl-risky-ports-check | 8.1.3.2 | a) アクセス制御ポリシーに基づいて、ネットワーク境界またはネットワークゾーン間でアクセス制御ルールを構成します。管理対象インターフェイスは、ルールに準拠する通信要求のみを許可します。 c) 送受信パケットを許可または拒否するために、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコルを確認します。 | VPC アクセス制御のインバウンドルールで指定された宛先 IP アドレスが 0.0.0.0/0 に設定されていて、指定されたポート範囲に危険なポートが含まれていないかを確認します。そうである場合、評価結果は「準拠」です。 |
slb-all-listener-enabled-acl | 8.1.3.2 | 各 SLB インスタンスのリスナーにアクセス制御機能が構成されているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、リスナーが構成されていない SLB インスタンスには適用されません。 | |
alb-all-listener-enabled-acl | 8.1.3.2 | 各 ALB インスタンスのすべてのリスナーでアクセス制御機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、リスナーが構成されていない ALB インスタンスには適用されません。 | |
slb-acl-public-access-check | 8.1.3.2 | 各 SLB インスタンスの ACL に 0.0.0.0/0 が含まれていないかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
oss-bucket-authorize-specified-ip | 8.1.3.2 | OSS バケットの読み取り/書き込み権限が非公開に設定されているか、OSS バケットの権限付与ポリシーに特定の IP ホワイトリストが含まれているかを確認します。そうである場合、評価結果は「準拠」です。 | |
slb-listener-risk-ports-check | 8.1.3.2 | 指定された危険なポートが各 SLB インスタンスのリスナーに追加されているかどうかを確認します。指定された危険なポートが各 SLB インスタンスのリスナーに追加されていない場合、評価結果は「準拠」です。 | |
oss-bucket-referer-enabled | 8.1.3.2 | OSS バケットのホワイトリストが空であり、AllowEmpty パラメータの値が指定されたパラメータの値と同じであるかどうかを確認します。 OSS バケットのホワイトリストが空ではなく、AllowEmpty パラメータの値が指定されたパラメータの値と同じである場合、評価結果は「準拠」です。 | |
polardb-public-and-any-ip-access-check | 8.1.3.2 | 各 PolarDB インスタンスでインターネットアクセスが有効になっていて、任意のインターネットアクセスが許可されているかどうかを確認します。そうである場合、評価結果は「非準拠」です。 | |
use-waf-instance-for-security-protection | 8.1.3.3 8.1.3.4 8.1.4.4 8.1.5.4 | 8.1.3.3 a) 重要なネットワークノードに対する外部ネットワーク攻撃を検出、防止、または制限します。 b) 重要なネットワークノードに対する内部ネットワーク攻撃を検出、防止、または制限します。 c) ネットワークの動作とネットワーク攻撃、特に新しいネットワーク攻撃を分析するための技術的対策を実施します。 d) 攻撃が検出されたときに攻撃元 IP アドレス、攻撃タイプ、攻撃先、および攻撃時間を記録し、重大な侵入イベントが発生したときにアラートを報告します。 8.1.3.4 a) 重要なネットワークノード上の悪意のあるコードを検出して削除し、悪意のあるコード防止メカニズムのアップグレードと更新を維持します。 b) 重要なネットワークノード上のスパムメールを検出してブロックし、スパム防止メカニズムのアップグレードと更新を維持します。 8.1.4.4 e) 既知の脆弱性を検出し、完全なテストと評価の後で脆弱性を修正します。 f) サーバーへの侵入を検出し、重大な侵入イベントが発生したときにアラートを報告します。 8.1.5.4 d) 各デバイスに分散している監査データを一元的に収集、集計、分析し、監査レコードの保存期間が関連法規に準拠していることを確認します。 e) セキュリティポリシー、悪意のあるコード、パッチのアップグレードなど、セキュリティ関連の問題を一元的に管理します。 | Web Application Firewall (WAF) を使用して Web サイトまたはアプリケーションを保護しているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
security-center-version-check | Security Center Enterprise Edition 以降のエディションが使用されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
use-ddos-instance-for-security-protection | 8.1.3.3 8.1.4.4 8.1.5.4 | 8.1.3.3 a) 重要なネットワークノードに対する外部ネットワーク攻撃を検出、防止、または制限します。 b) 重要なネットワークノードに対する内部ネットワーク攻撃を検出、防止、または制限します。 c) ネットワークの動作とネットワーク攻撃、特に新しいネットワーク攻撃を分析するための技術的対策を実施します。 d) 攻撃が検出されたときに攻撃元 IP アドレス、攻撃タイプ、攻撃先、および攻撃時間を記録し、重大な侵入イベントが発生したときにアラートを報告します。 8.1.4.4 e) 既知の脆弱性を検出し、完全なテストと評価の後で脆弱性を修正します。 f) サーバーへの侵入を検出し、重大な侵入イベントが発生したときにアラートを報告します。 8.1.5.4 d) 各デバイスに分散している監査データを一元的に収集、集計、分析し、監査レコードの保存期間が関連法規に準拠していることを確認します。 e) セキュリティポリシー、悪意のあるコード、パッチのアップグレードなど、セキュリティ関連の問題を一元的に管理します。 | Anti-DDoS を使用して DDoS 攻撃を防いでいるかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
use-cloud-fire-wall-for-security-protection | Cloud Firewall を使用してネットワーク境界を保護しているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | ||
firewall-asset-open-protect | 8.1.3.3 | a) 重要なネットワークノードに対する外部ネットワーク攻撃を検出、防止、または制限します。 b) 重要なネットワークノードに対する内部ネットワーク攻撃を検出、防止、または制限します。 c) ネットワークの動作とネットワーク攻撃、特に新しいネットワーク攻撃を分析するための技術的対策を実施します。 d) 攻撃が検出されたときに攻撃元 IP アドレス、攻撃タイプ、攻撃先、および攻撃時間を記録し、重大な侵入イベントが発生したときにアラートを報告します。 | Cloud Firewall でアセット保護が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、Cloud Firewall サービスをアクティブ化したユーザーにのみ適用されます。サービスをアクティブ化していないユーザー、またはサービスを無料で使用しているユーザーは、検出データを利用できません。 |
security-center-defense-config-check | 8.1.3.5 8.1.5.4 | 8.1.3.5 b) 監査レコードに、イベントの日付、イベントの時間、ユーザー、イベントタイプ、イベントが成功したかどうか、および監査に関連するその他の情報を提供します。 8.1.5.4 d) 各デバイスに分散している監査データを一元的に収集、集計、分析し、監査レコードの保存期間が関連法規に準拠していることを確認します。 e) セキュリティポリシー、悪意のあるコード、パッチのアップグレードなど、セキュリティ関連の問題を一元的に管理します。 | [セキュリティセンター] コンソールで指定されたタイプの事前防御が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
waf3-instance-enabled-specified-defense-rules | 8.1.3.5 8.1.5.4 | 指定された保護シナリオのルールが WAF 3.0 インスタンスで有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
actiontrail-trail-intact-enabled | 8.1.3.5 8.1.5.4 | ActionTrail にアクティブな証跡が存在し、すべてのリージョンで生成されるすべてのタイプのイベントが追跡されているかどうかを確認します。そうである場合、評価結果は「準拠」です。リソースディレクトリの管理者がすべてのメンバーに適用される証跡を作成した場合、評価結果は「準拠」です。 | |
rds-instance-enabled-auditing | 8.1.3.5 8.1.5.4 | 各 ApsaraDB RDS インスタンスで SQL エクスプローラと監査機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
adb-cluster-audit-log-enabled | 8.1.3.5 8.1.5.4 | 各 AnalyticDB for MySQL クラスタで SQL エクスプローラと監査機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
vpc-flow-logs-enabled | 8.1.3.5 8.1.5.4 | 各 VPC でフローログ機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ram-password-policy-check | 8.1.4.1 | b) ログインエラーを処理し、セッションを自動的に閉じる、ログインの乱用を制限する、セッションがタイムアウトしたときにログアウトするなどの関連機能を構成します。 d) パスワード、暗号化技術、バイオテクノロジーの 2 つ以上の技術を組み合わせてユーザー ID を認証します。各組み合わせで暗号化技術を使用する必要があります。 | 各 RAM ユーザーに構成されているパスワードポリシーの設定が指定された値を満たしているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
root-mfa-check | 8.1.4.1 | 各 Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ram-user-mfa-check | 8.1.4.1 | コンソールアクセス機能が有効になっている各 RAM ユーザーのログイン設定で MFA が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ram-user-last-login-expired-check | 8.1.4.2 | c) 冗長なアカウントと期限切れのアカウントを削除または無効にし、共有アカウントを無効にします。 d) 最小権限の原則を管理者に適用して、権限の分離を確保します。 | 各 RAM ユーザーが過去 90 日以内にログインしたかどうかを確認します。そうである場合、評価結果は「準拠」です。 RAM ユーザーが過去 90 日以内に更新された場合、RAM ユーザーが最近システムにログインしたかどうかに関係なく、評価結果は「準拠」です。このルールは、コンソールアクセスが無効になっている RAM ユーザーには適用されません。 |
ram-policy-in-use-check | 8.1.4.2 | ポリシーが少なくとも 1 つの RAM ユーザーグループ、RAM ロール、または RAM ユーザーにアタッチされているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ram-group-has-member-check | 8.1.4.2 | 各 RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ram-user-no-policy-check | 8.1.4.2 | 各 RAM ユーザーにポリシーがアタッチされているかどうかを確認します。そうである場合、評価結果は「準拠」です。 RAM ユーザーは RAM ユーザーグループまたはロールから権限を継承することをお勧めします。 | |
ram-user-ak-used-expired-check | 8.1.4.2 | 各 RAM ユーザーの AccessKey ペアが最後に使用された日付と現在の日付の間の期間が、指定された日数未満であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 90。単位: 日。 | |
ram-policy-no-statements-with-admin-access-check | 8.1.4.2 | 各 RAM ユーザー、RAM ユーザーグループ、および RAM ロールの操作とリソースパラメータが * に設定されていないかどうかを確認します。そうである場合、評価結果は「準拠」です。アスタリスク (*) はスーパー管理者権限を示します。 | |
ram-user-login-check | 8.1.4.2 | c) 冗長なアカウントと期限切れのアカウントを削除または無効にし、共有アカウントを無効にします。 d) 最小権限の原則を管理者に適用して、権限の分離を確保します。 | 各 RAM ユーザーでコンソールアクセスと API アクセス機能のいずれかが有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
ecs-instance-enabled-security-protection | 8.1.4.4 | e) 既知の脆弱性を検出し、完全なテストと評価の後で脆弱性を修正します。 f) サーバーへの侵入を検出し、重大な侵入イベントが発生したときにアラートを報告します。 | インスタンスに CloudMonitor エージェントをインストールして、セキュリティ保護サービスを提供できます。各 ECS インスタンスに [セキュリティセンター] エージェントがインストールされている場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 |
ecs-instance-updated-security-vul | 8.1.4.4 | ECS インスタンスで [セキュリティセンター] によって、指定されたタイプまたは指定されたレベルの未修正の脆弱性が検出されたかどうかを確認します。そうでない場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 | |
security-center-notice-config-check | 8.1.4.4 | [セキュリティセンター] の各通知項目に通知方法が指定されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
oss-bucket-server-side-encryption-enabled | 8.1.4.8 | b) 暗号化技術を使用して、送信中の重要なデータの整合性を確保します。これには、データと重要なビジネスデータ、監査データ、構成データ、ビデオ、個人データの認証が含まれます。 | 各 OSS バケットのサーバ側暗号化機能の「暗号化方法」パラメータが「OSS マネージド」に設定されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |
ecs-in-use-disk-encrypted | 8.1.4.8 | 使用中の各 ECS データディスクで暗号化機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ack-cluster-encryption-enabled | 8.1.4.8 | 各 ACK Pro マネージドクラスターにシークレット暗号化が構成されているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、非プロフェッショナルマネージドクラスターには適用されません。 | |
redis-instance-enabled-tde | 8.1.4.8 | 各 ApsaraDB for Redis インスタンスで透過的データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
rds-instance-enabled-disk-encryption | 8.1.4.8 | 各 ApsaraDB RDS インスタンスでディスク暗号化が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、ローカルディスクを使用するインスタンス、またはディスク暗号化をサポートしていないインスタンスには適用されません。 | |
sls-logstore-enabled-encrypt | 8.1.4.8 | Simple Log Service の各ログストアでデータ暗号化が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
polardb-cluster-enabled-tde | 8.1.4.8 | 各 PolarDB クラスタのデータセキュリティ設定で TDE 機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ecs-disk-auto-snapshot-policy | 8.1.4.9 | a) 必要なローカルデータのバックアップと復元機能を提供します。 b) 通信ネットワークを介してリアルタイムで重要なデータをリモートの宛先サイトにバックアップするために必要な機能を提供します。 c) 重要なデータ処理システムにホット冗長性を提供して、システムの可用性を確保します。 | 各 ECS ディスクに自動スナップショットポリシーが指定されているかどうかを確認します。そうである場合、評価結果は「準拠」です。このルールは、使用中でないディスク、自動スナップショットポリシーをサポートしていないディスク、および ACK クラスタにアタッチされている非永続ディスクには適用されません。 |
polardb-cluster-level-two-backup-retention | 8.1.4.9 | 各 PolarDB クラスタのレベル 2 バックアップの保存期間が指定された日数以上であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 30。レベル 2 バックアップが有効になっていない場合、またはバックアップの保存期間が指定された日数未満の場合、評価結果は「非準拠」です。 | |
nas-filesystem-enable-backup-plan | 8.1.4.9 | 各 NAS ファイルシステムにバックアッププランが作成されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
rds-instance-enabled-log-backup | 8.1.4.9 | 各 ApsaraDB RDS インスタンスでログバックアップ機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
oss-bucket-versioning-enabled | 8.1.4.9 | 各 OSS バケットでバージョン管理機能が有効になっているかどうかを確認します。バージョン管理機能が無効になっている場合、データが上書きまたは削除されたときにデータが復元されない可能性があります。各 OSS バケットでバージョン管理機能が有効になっている場合、評価結果は「準拠」です。 | |
elasticsearch-instance-snapshot-enabled | 8.1.4.9 | 各 Elasticsearch クラスタで自動バックアップ機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
mongodb-instance-backup-log-enabled | 8.1.4.9 | 各 ApsaraDB for MongoDB インスタンスでログバックアップ機能が有効になっているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
rds-instance-has-guard-instance | 8.1.4.9 | 各 ApsaraDB RDS インスタンスにディザスタリカバリインスタンスが作成されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 ApsaraDB RDS インスタンスが存在するリージョンで障害が発生した場合、ディザスタリカバリインスタンスを使用してサービスをタイムリーに復旧できます。 | |
oss-zrs-enabled | 8.1.4.9 | OSS バケットでゾーン冗長ストレージ (ZRS) 機能が有効になっているかどうかを確認します。 ZRS 機能が無効になっている場合、OSS は一貫性のあるサービスを提供できず、データセンターが利用できなくなったときにデータリカバリを保証できません。 OSS バケットで ZRS 機能が有効になっている場合、評価結果は「準拠」です。 | |
alb-instance-multi-zone | 8.1.4.9 | 各 ALB インスタンスがマルチゾーンアーキテクチャを使用しているかどうかを確認します。そうである場合、評価結果は「準拠」です。 1 つのゾーンにのみインスタンスをデプロイしたときに ALB インスタンスで障害が発生すると、ビジネスが中断される可能性があります。 | |
rds-multi-az-support | 8.1.4.9 | 各 ApsaraDB RDS インスタンスがマルチゾーンアーキテクチャを使用しているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
polardb-cluster-multi-zone | 8.1.4.9 | 各 PolarDB クラスタでホットスタンバイクラスタ機能が有効になっていて、クラスタのデータが複数のゾーンに分散されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
mongodb-instance-multi-zone | 8.1.4.9 | 各 ApsaraDB for MongoDB インスタンスがマルチゾーンアーキテクチャであるかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
ack-cluster-node-multi-zone | 8.1.4.9 | ノードが 3 つ以上のゾーンに分散されているリージョンレベルの ACK クラスタが使用されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
redis-instance-multi-zone | 8.1.4.9 | 各 ApsaraDB for Redis インスタンスがマルチゾーンアーキテクチャを使用しているかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
elasticsearch-instance-multi-zone | 8.1.4.9 | 各 Elasticsearch クラスタがマルチゾーンアーキテクチャであるかどうかを確認します。そうである場合、評価結果は「準拠」です。 | |
slb-all-listener-servers-multi-zone | 8.1.4.9 | 各 SLB インスタンスがマルチゾーンアーキテクチャを使用していて、複数のゾーンのリソースが SLB インスタンスのすべてのリスナーによって使用されるサーバーグループに追加されているかどうかを確認します。そうである場合、評価結果は「準拠」です。 |