Cloud Config:概要

特徴

説明

アカウントの検証

このコンプライアンスパッケージは、Alibaba Cloud アカウントおよび Resource Access Management (RAM) ユーザーに設定されたパスワードと、アタッチされた権限ポリシーをチェックします。

ネットワーク接続のチェック

このコンプライアンスパッケージは、ネットワークの所有権、セキュリティグループの構成、トラフィック監視の構成、およびインスタンスのポートが開いているかどうかをチェックします。

仮想マシンのチェック

このコンプライアンスパッケージは、ディスク暗号化、システムアップデート、エンドポイント保護の詳細、およびインスタンスのポートが開いているかどうかをチェックします。

Object Storage Service (OSS) のチェック

このコンプライアンスパッケージは、OSS バケットの読み取り/書き込み権限、安全な伝送、およびコンテンツ暗号化の構成をチェックします。

データベースのチェック

このコンプライアンスパッケージは、データベースの接続タイプ、データ暗号化構成、および監査構成をチェックします。

特徴

説明

ネットワークタイプのチェック

このコンプライアンスパッケージは、Elastic Compute Service (ECS) インスタンスとデータベースインスタンスのネットワークタイプが Virtual Private Cloud (VPC) であるかどうかをチェックします。インスタンスが VPC 内にあり、その VPC が関連するルールパラメーターの期待値に含まれている場合、そのインスタンスの構成は準拠していると見なされます。

保護構成

このコンプライアンスパッケージは、ECS インスタンスとデータベースインスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されているか、および各 ECS データディスクで暗号化が有効になっているかをチェックします。

Object Storage Service (OSS) のチェック

このコンプライアンスパッケージは、OSS バケットが読み取り専用モードでアクセスされているか、およびゾーン冗長ストレージと OSS マネージドキーによるサーバー側暗号化が有効になっているかをチェックします。

帯域幅のチェック

このコンプライアンスパッケージは、Server Load Balancer (SLB) インスタンスと Elastic IP アドレス (EIP) の帯域幅が指定された下限に達しているかをチェックします。

特徴

説明

読み取り/書き込み設定の検証

このコンプライアンスパッケージは、OSS バケットのアクセス制御リスト (ACL) が公開読み取りまたは公開読み書きに設定されているかをグローバルにチェックします。

保護構成

データセキュリティをさらに強化するには、バケットでファイル暗号化とホットリンク保護を有効にする必要があります。

ゾーン冗長ストレージの検証

バケットでゾーン冗長ストレージが有効になっているかを確認できます。

特徴

説明

サービス中断の防止

ネットワーク容量がピークトラフィックを処理できない場合、サービスが中断される可能性があります。

パブリックネットワークからの分離

不適切なネットワーク設定は、システムをインターネットに公開する可能性があります。この公開は、攻撃やデータ侵害につながる可能性があります。

ネットワーク問題の迅速な検出

リアルタイムのネットワーク監視が無効になっている場合、ネットワークの問題を迅速に検出できません。この遅延は、ビジネスに潜在的な脅威をもたらす可能性があります。

特徴

説明

Alibaba Cloud アカウントまたは RAM ユーザーのログイン

このコンプライアンスパッケージは、Alibaba Cloud アカウントと RAM ユーザーに設定されたパスワードの有効期間、および多要素認証 (MFA) が有効になっているかをチェックします。

セキュリティ構成

このコンプライアンスパッケージは、無効な RAM ユーザー、ユーザーグループ、または権限ポリシーが存在するか、および Alibaba Cloud アカウント用にキーペアが作成されているかをチェックします。

権限付与のチェック

このコンプライアンスパッケージは、ポリシーが RAM ユーザーにアタッチされているか、および Alibaba Cloud サービスに対する完全な権限が付与されているかをチェックします。

特徴

説明

データベースの有効期限のチェック

データベースインスタンスの有効期限を確認できます。

データベース保護設定のチェック

このコンプライアンスパッケージは、データベースインスタンスでリリース保護が有効になっているか、および IP アドレスホワイトリストが 0.0.0.0/0 に設定されているかをチェックします。

データベースネットワークタイプのチェック

このコンプライアンスパッケージは、データベースインスタンスのネットワークタイプが VPC であるか、および指定された VPC が関連するルールパラメーターの期待値に含まれているかをチェックします。

特徴

説明

実行ステータスのチェック

ECS インスタンスの実行ステータスを確認できます。

セキュリティ設定の検証

ECS インスタンスの有効期限とセキュリティグループをチェックします。

保護構成

このコンプライアンスパッケージは、ECS インスタンスでリリース保護とディスク暗号化が有効になっているかをチェックします。

スナップショット構成

このコンプライアンスパッケージは、自動スナップショットポリシーが構成されているか、自動ロックが有効になっているか、および自動スナップショットの保持期間が ECS インスタンスのディスクの要件を満たしているかをチェックします。

特徴

説明

アカウントのチェック

このコンプライアンスパッケージは、RAM ユーザーのパスワード、権限ポリシー、ログイン、および MFA が有効になっているかをチェックします。

Server Load Balancer (SLB) のチェック

このコンプライアンスパッケージは、SLB インスタンスでリリース保護と HTTPS リスナーが有効になっているか、および Alibaba Cloud が発行した証明書が有効であるかをチェックします。

ECS インスタンスのチェック

このコンプライアンスパッケージは、ECS インスタンスのネットワークタイプが VPC であるか、ECS インスタンスでディスク暗号化が有効になっているか、および ECS インスタンスがパブリック IPv4 アドレスにバインドされているかをチェックします。

Object Storage Service (OSS) のチェック

このコンプライアンスパッケージは、OSS バケットで Key Management Service (KMS) を使用したサーバー側暗号化、デフォルトのサーバー側暗号化、およびロギングが有効になっているかをチェックします。

ApsaraDB RDS のチェック

このコンプライアンスパッケージは、ApsaraDB RDS インスタンスで履歴イベントログと TDE (透過的データ暗号化) が有効になっているか、およびインスタンスがマルチゾーンデプロイメントをサポートしているかをチェックします。

ActionTrail のチェック

このコンプライアンスパッケージは、有効な ActionTrail トレイルが存在するか、およびトレイルがすべての種類のイベントログを記録しているかをチェックします。