GovernanceCenterCompliancePractices コンプライアンスパッケージは、マルチアカウント環境のセキュリティを継続的にチェックします。このトピックでは、BestPracticesForAccountGovernance コンプライアンスパッケージで提供されるルールについて説明します。
ルール名 | 説明 |
Object Storage Service (OSS) バケットごとに、サーバ側暗号化機能の暗号化方式パラメーターが OSS 管理に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。 | |
各 OSS バケットのアクセス制御リスト (ACL) ポリシーで、インターネットからの読み取りおよび書き込みアクセスが拒否されているかどうかを確認します。拒否されている場合、評価結果は「準拠」です。 | |
各 OSS バケットの ACL ポリシーで、インターネットからの読み取りアクセスが拒否されているかどうかを確認します。拒否されている場合、評価結果は「準拠」です。 | |
Alibaba Cloud アカウントごとに AccessKey ペアが作成されているかどうかを確認します。作成されていない場合、評価結果は「準拠」です。 | |
現在の Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 ECS インスタンスでディスク暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
セキュリティグループの各インバウンドルールの認証オブジェクトパラメーターが 0.0.0.0/0 に設定されている場合、指定されたポート範囲に指定された高リスクポートが存在するかどうかを確認します。 0.0.0.0/0 がセキュリティグループの IP アドレスホワイトリストに追加されていない場合、高リスクポートが無効になっているかどうかに関係なく、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」です。 | |
各セキュリティグループのインバウンド権限付与ポリシーが「許可」に設定されていて、ポート範囲が -1/-1 に設定されているか、または承認済み IP アドレスが 0.0.0.0/0 に設定されているか、あるいは優先順位の高い権限付与ポリシーが構成されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」です。 | |
vpcIds パラメーターが構成されていない場合、各 ApsaraDB RDS インスタンスのネットワークタイプが VPC に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。 vpcIds パラメーターが構成されていない場合、各 ApsaraDB RDS インスタンスが存在する VPC が指定された VPC と同じかどうかを確認します。同じ場合、評価結果も「準拠」です。複数のパラメーター値はコンマ (,) で区切ります。 | |
各 ApsaraDB RDS インスタンスのデータセキュリティ設定で透過的データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 RDS インスタンスにパブリックエンドポイントが構成されていないかどうかを確認します。構成されていない場合、評価結果は「準拠」です。サイバー攻撃を防ぐため、本番環境ではインターネット経由で RDS インスタンスに直接アクセスするように構成しないことをお勧めします。 | |
各 RAM ユーザーに構成されているパスワードポリシーの設定が指定された値を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 | |
各 RAM ユーザーの AccessKey ペアが使用された時間が、現在の日付の指定日数前よりも前であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値:90。 | |
各 ECS インスタンスでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 Server Load Balancer (SLB) インスタンスでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 Alibaba Cloud アカウントが指定されたロールを引き受けているかどうかを確認します。引き受けている場合、評価結果は「準拠」です。 | |
コンソールアクセス機能が有効になっている各 RAM ユーザーのログイン設定で MFA が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 SLB インスタンスの指定されたポートで HTTPS リスナーが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。各 SLB インスタンスの指定されたポートで TCP または UDP リスナーのみが有効になっている場合、評価結果は「該当なし」です。 | |
各リソースが指定されたリージョンに存在するかどうかを確認します。存在する場合、評価結果は「準拠」です。 | |
各 RAM ユーザーが過去 90 日以内にログインしたかどうかを確認します。ログインした場合、評価結果は「準拠」です。 RAM ユーザーが過去 90 日以内に更新されている場合、RAM ユーザーが最近ログインしたかどうかに関係なく、評価結果は「準拠」です。コンソールアクセス権のない RAM ユーザーの場合、評価結果は「該当なし」です。 | |
各リソースに指定されたキーと値のペアがあるかどうかを確認します。ある場合、評価結果は「準拠」です。キーと値は大文字と小文字が区別されます。アスタリスク ( | |
すべてのリソースに指定されたタグがあるかどうかを確認します。ある場合、評価結果は「準拠」です。最大 6 つのタグを指定できます。キーと値は大文字と小文字が区別されます。各タグは 1 つの値のみをサポートします。 | |
ログページで各 OSS バケットのログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |