基於阿里雲平台安全治理經驗,覆蓋了雲平台基礎的關鍵安全配置檢查項,涉及帳號安全、雲資源安全、網路安全、資料安全、備份恢複、日誌審計等檢查維度,持續進行風險配置檢測。本文為您介紹阿里雲平台安全最佳實務中的預設規則。
規則名稱 | 規則描述 |
阿里雲主帳號開啟MFA,視為“合規”。建議為阿里雲主帳號開啟多因素認證(MFA),降低帳號被盜風險。 | |
阿里雲主帳號不存在任何狀態的AccessKey,視為“合規”。阿里雲主帳號AccessKey許可權過大且不可縮小,一旦泄漏會造成災難後果,建議使用RAM使用者AccessKey並做好許可權控制。 | |
為API Gateway中開啟公網訪問的API請求開啟HTTPS,對資料轉送進行加密,視為“合規”。只限制內網調用的API不適用此規則,視為“不適用”。 | |
CDN網域名稱開啟HTTPS協議,對資料轉送進行加密,視為“合規”。 | |
ECS磁碟設定了自動快照策略,視為“合規”。狀態非使用中的磁碟、不支援設定自動快照策略的磁碟、ACK叢集掛載的非持久化使用情境的磁碟視為“不適用”。開啟自動快照策略後,阿里雲會自動按照預設的時間點和周期為雲端硬碟建立快照,遭遇破壞入侵或勒索後能夠快速從安全事件中恢複。 | |
通過在主機上安裝Security Center外掛程式,為主機提供安全防護服務,視為"合規"。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
如果未指定參數,則檢查ECS執行個體的網路類型為專用網路;如果指定參數,則檢查ECS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。建議使用專用網路類型的ECS執行個體,實現最基本的網路隔離,保障雲環境的網路安全。 | |
使用金鑰組登入Linux主機,視為“合規”。建議使用金鑰組登入Linux主機,SSH金鑰組是一種安全便捷的登入認證方式,不易被暴力破解。 | |
當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,降低伺服器登入密碼被暴力破解風險,視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。預設檢測風險連接埠為22、3389。 | |
MongoDB執行個體不開啟公網或安全白名單不設定為允許任意來源訪問,視為“合規”。避免被攻擊或暴力破解,產生資料泄漏風險。 | |
MongoDB執行個體開啟記錄備份,視為“合規”。建議開啟記錄備份,基於記錄備份,您可以恢複資料到備份保留時間內的任意時間點。 | |
OSS儲存空間的ACL不開啟公用讀寫,視為“合規”。OSS儲存空間開啟公用讀寫許可權後,任何訪問者均可寫入,將面臨惡意注入的資料風險,建議關閉。 | |
OSS儲存空間的ACL不開啟公用讀取,視為“合規”。OSS儲存空間的公用讀取許可權會增加儲存資料在公網泄露的風險,建議關閉。 | |
為讀寫權限公開的OSS Bucket設定授權策略,並且授權策略中不為匿名帳號授予任何讀寫的操作許可權,降低資料在公網泄露的風險,視為“合規”。讀寫權限為私人的OSS Bucket視為“不適用”。 | |
PolarDB執行個體不開啟公網或IP白名單不設定為全網段,視為“合規”。避免被攻擊或暴力破解,產生資料泄漏風險。 | |
為PolarDB叢集設定SSL,對資料轉送進行加密,視為“合規”。 | |
PolarDB叢集記錄備份保留周期大於等於指定天數,視為“合規”。參數預設值30天。未開啟記錄備份或備份保留周期小於指定天數視為“不合規”。建議將記錄備份保留合適的天數,基於記錄備份,您可以恢複資料到備份保留時間內的任意時間點。 | |
RAM使用者、RAM使用者組、RAM角色均未賦予Resource為且Action為的Admin許可權,視為“合規”。建議最小化控制RAM使用者權限,不建議為RAM使用者、RAM使用者組或RAM角色添加Resource為且Action為的Admin許可權。 | |
開啟控制台訪問功能的RAM使用者登入設定中開啟多因素認證設定或者已啟用多因素認證(MFA),視為“合規”。開啟多因素認證(MFA),降低帳號被盜風險。 | |
RAM使用者AccessKey的最後使用時間距今天數小於參數設定的天數,視為“合規”。預設值:90天。若確認閑置請及時禁用。 | |
RDS執行個體不配置公網地址,視為“合規”。生產環境的RDS執行個體不推薦配置公網直接存取,容易被攻擊或暴力破解,產生資料泄漏風險。 | |
RDS執行個體開啟記錄備份視為"合規"。唯讀執行個體視為“不適用”。建議開啟記錄備份,基於記錄備份,您可以恢複資料到備份保留時間內的任意時間點。 | |
RDS執行個體開啟SSL同時使用的TLS版本在參數指定的版本範圍內,對資料轉送進行加密,視為“合規”。 | |
Redis執行個體不開啟公網或安全白名單不設定為允許任意來源訪問,視為“合規”。Redis執行個體不建議開啟公網且允許任意來源訪問,容易被攻擊或暴力破解,產生資料泄漏風險。 | |
為Redis執行個體設定SSL,對資料轉送進行加密,視為“合規”。 | |
Redis執行個體開啟增量備份,視為“合規”。本規則只適用於類型為Tair或企業版的執行個體,非Tair或企業版類型的執行個體視為不適用。建議開啟增量備份,基於增量備份,您可以恢複資料到備份保留時間內的任意時間點。 | |
CLB存取控制清單中不包含0.0.0.0/0條目,視為“合規”。建議非http/https服務啟用存取控制,設定白名單,並且白名單規則中不包含0.0.0.0/0。 | |
CLB執行個體監聽的連接埠不包含指定的風險連接埠,視為“合規”。不建議將22、3389等連接埠轉寄至公網,降低攻擊和暴力破解風險。 | |
CLB在指定連接埠上開啟HTTPS協議的監聽,對資料轉送進行加密,視為“合規”。如果CLB執行個體只開啟TCP或者UDP協議的監聽,視為“不適用”。連接埠預設為443,多個連接埠用半形逗號分隔,任一連接埠上有開啟HTTPS監聽則合規。 | |
專用網路22/3389連接埠TCP/UDP協議的入方向規則目的地址未設定為0.0.0.0/0,降低伺服器登入密碼被暴力破解風險,視為“合規”。 |