您可以在 AI 云治理中心统一配置和开启配置审计的防护规则,保证 AI 云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。
防护规则初始化
-
登录AI 云治理中心控制台。
-
在左侧导航栏,选择。
-
选择蓝图,然后单击搭建。
本文以标准蓝图为例。
-
在配置蓝图页面的已添加搭建项区域,单击防护规则。
-
选择需要开启的防护规则。
必选规则会默认选中,您可以选择推荐或可选规则。
管理防护规则
防护规则初始化成功后,您可以管理防护规则。包括查看规则详情、查看资源合规结果、打开或关闭推荐规则和可选规则的开关,以及设置规则的应用范围。
-
登录AI 云治理中心控制台。
-
在左侧导航栏,选择。
-
在概览区域,查看发现风险规则、已开启规则、未开启规则和最近修改时间。
-
在全部页签,单击目标防护规则名称,管理防护规则。
-
在规则详情页签,查看规则详情,并查看防护规则的应用范围(即规则当前应用于哪个资源夹)。同时,您可以启用或关闭推荐规则和可选规则。
规则详情页的基本信息区域包含规则名称、描述、指导、类型、状态和改进建议等字段,页面下方提供检测结果和应用范围两个页签。
-
在检测结果页签,查看资源的合规结果。
-
-
单击批量启用开启防护规则时,可选择规则的应用范围。
-
若选择 Root 资源夹,防护规则将应用于整个资源目录,对所有成员账号生效。
-
若选择一个或多个其他指定资源夹,防护规则仅对所选资源夹范围内的成员账号生效,不影响资源目录中其他成员账号的配置。
在弹出的应用范围绑定对话框中,从资源夹树形结构中勾选目标资源夹(如 dev),然后单击确定。
-
防护规则列表
根据最佳实践的指导,您可以根据情况开启以下三类规则:
-
必选规则:基础防护类规则,强制开启。开启后,您不能自行关闭。
-
推荐规则:安全合规类规则,推荐开启。您可以选择需要开启的规则,开启后,您可以自行关闭。
-
可选规则:您可以根据实际情况选择需要开启的规则。开启后,您可以自行关闭。
|
规则名称 |
规则说明 |
作用节点 |
开启指导 |
|
AI 云治理中心指定存储审计日志的OSS存储空间未开启公共读写 |
AI 云治理中心指定存储审计日志的OSS存储空间,ACL策略禁止公共读写,视为“合规”。 |
日志账号 |
必选 |
|
AI 云治理中心指定存储审计日志的OSS存储空间开启服务端加密 |
AI 云治理中心指定存储审计日志的OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 |
日志账号 |
必选 |
|
AI 云治理中心用于提供服务的指定角色存在 |
根据名称检查 AI 云治理中心用于提供服务的指定角色存在,视为“合规”。 |
日志账号 |
可选 |
|
禁止删除存储审计日志的OSS存储空间 |
禁止删除日志账号中由 AI 云治理中心创建的,用来存储审计日志的OSS存储空间。 |
Core文件夹 |
必选 |
|
禁止修改存储审计日志的OSS存储空间加密配置 |
对于日志账号中由 AI 云治理中心创建的,用来存储审计日志的OSS存储空间,禁止修改其加密配置。 |
Core文件夹 |
必选 |
|
禁止修改存储审计日志的OSS存储空间生命周期 |
对于日志账号中由 AI 云治理中心创建的,用来存储审计日志的OSS存储空间,禁止修改其生命周期配置。 |
Core文件夹 |
必选 |
|
禁止修改 AI 云治理中心用于提供服务的指定角色 |
禁止修改 AI 云治理中心用于提供服务的指定角色。 |
Core文件夹 |
必选 |
|
禁止停用配置审计功能 |
开启配置审计,用以进行资源与合规审计。 |
Core文件夹 |
必选 |
|
资源目录内所有云账号不存在AccessKey |
资源目录内所有云账号不存在任何状态的AccessKey,视为“合规”。 |
资源目录全局 |
推荐 |
|
资源目录内所有云账号开启MFA认证 |
资源目录内所有云账号开启MFA认证,视为“合规”。 |
资源目录全局 |
推荐 |
|
所有ECS数据磁盘开启加密 |
所有ECS数据磁盘已开启加密,视为“合规”。 |
资源目录全局 |
推荐 |
|
安全组不允许对全部网段开启风险端口 |
当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。 |
资源目录全局 |
推荐 |
|
安全组入网设置有效 |
安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。 |
资源目录全局 |
推荐 |
|
所有OSS存储空间未开启公共读写 |
所有OSS存储空间,ACL策略禁止公共读写,视为“合规”。 |
资源目录全局 |
推荐 |
|
RDS实例开启TDE加密 |
RDS实例的数据安全性设置开启TDE加密,视为“合规”。 |
资源目录全局 |
推荐 |
|
使用专有网络类型的RDS实例 |
如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个规格用半角逗号(,)分隔。 |
资源目录全局 |
推荐 |
|
RDS白名单未设置为全网段 |
RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。 |
资源目录全局 |
推荐 |
|
OSS存储空间开启日志转存 |
OSS存储空间的日志管理中开启日志转存,视为“合规”。 |
资源目录全局 |
可选 |
|
RAM用户密码策略符合要求 |
RAM用户密码策略中各项配置符合访问控制的配置,视为“合规”。 |
资源目录全局 |
推荐 |
|
RAM用户不存在闲置AccessKey |
RAM用户AccessKey的最后使用时间小于参数设置的时间,视为“合规”。默认值:90天。 |
资源目录全局 |
推荐 |
|
ECS实例开启释放保护 |
ECS实例开启释放保护,视为“合规”。 |
资源目录全局 |
推荐 |
|
SLB实例开启释放保护 |
SLB实例开启释放保护,视为“合规”。 |
资源目录全局 |
推荐 |
|
所有OSS存储空间开启服务端加密 |
OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 |
资源目录全局 |
可选 |
|
RAM用户开启MFA认证 |
RAM用户开启MFA,视为“合规”。 |
资源目录全局 |
可选 |
|
资源必须具备指定标签中的至少一项 |
参数可指定一个标签的多种取值,资源具备其中一种取值,视为“合规”。 |
资源目录全局 |
可选 |
|
资源必须具备所有指定标签 |
最多可定义6组标签,资源需同时具有指定的所有标签,视为“合规”。 |
资源目录全局 |
可选 |
|
RAM用户在指定时间内有登录行为 |
如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 |
资源目录全局 |
可选 |
|
SLB开启HTTPS监听 |
SLB开启HTTPS监听80/8080端口,视为“合规”。 |
资源目录全局 |
可选 |
|
资源归属指定区域范围 |
资源归属于参数指定的区域范围,视为“合规”。 |
资源目录全局 |
可选 |
|
WAF实例开启日志采集 |
已接入WAF进行防护的域名均开启日志采集,视为“合规”。 |
资源目录全局 |
可选 |
|
VPC开启流日志记录 |
VPC已开启流日志(Flowlog)记录功能,视为“合规”。 |
资源目录全局 |
可选 |
|
API网关中API分组绑定域名接入WAF |
API网关中的API分组绑定自定义域名且域名接入了WAF防护,视为“合规”。 |
资源目录全局 |
可选 |
|
WAF防护域名开启指定防护功能 |
WAF防护域名开启指定防护功能模块,视为“合规”。 |
资源目录全局 |
可选 |
|
安全组指定协议不允许对全部网段开启风险端口 |
当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 |
资源目录全局 |
可选 |
|
安全组非白名单端口入网设置有效 |
除指定的白名单端口外,其余端口不能有授权策略设置为允许而且来源为0.0.0.0/0的入方向规则,视为“合规”。云产品或虚商所使用的安全组不适用本规则,视为“不适用”。 |
资源目录全局 |
可选 |
|
OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限 |
为读写权限公开的OSS Bucket设置授权策略,并且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。读写权限为私有的OSS Bucket视为“不适用”。 |
资源目录全局 |
可选 |
|
ECS实例禁止绑定公网地址 |
ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例未开公网或IP白名单未设置为全网段 |
RDS实例开启公网且白名单设置为0.0.0.0/0,同时满足视为“不合规”。 |
资源目录全局 |
可选 |
|
PolarDB实例未开启公网或IP白名单未设置为全网段 |
检测账号下PolarDB实例开启公网且允许任意来源公网访问,同时满足视为“不合规”。 |
资源目录全局 |
可选 |
|
云防火墙中不存在未开启防护的资产 |
云防火墙中不存在未开启防护的资产,视为“合规”。本规则只对云防火墙付费用户有效,未开通云防火墙或者免费用户默认视为“合规”。 |
资源目录全局 |
可选 |
|
运行中的ECS实例开启云安全中心防护 |
通过在主机上安装云安全中心插件,提供主机的安全防护服务。如果有安装云安全中心插件则视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 |
资源目录全局 |
可选 |
|
使用云安全中心企业版 |
使用云安全中心企业版或者更高级别的版本,视为“合规”。 |
资源目录全局 |
可选 |
|
运行中的ECS实例无待修复漏洞 |
ECS实例在云安全中心无指定类型和等级的待修复漏洞,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 |
资源目录全局 |
可选 |
|
RDS实例开启SQL审计 |
RDS实例的SQL审计状态为开启,视为“合规”。 |
资源目录全局 |
可选 |
|
开启操作审计全量日志跟踪 |
操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员账号,当管理员有创建应用到所有成员账号的跟踪时,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例SQL审计日志保留天数满足指定要求 |
RDS MySQL类型实例开启SQL审计且日志保留天数大于等于指定值,视为“合规”。默认值:180天。 |
资源目录全局 |
可选 |
|
ECS自动快照保留天数满足指定要求 |
ECS自动快照策略设置快照保留天数大于设置的天数,视为“合规”。默认值:7天。 |
资源目录全局 |
可选 |
|
PolarDB集群的数据一级备份保留周期满足指定要求 |
PolarDB集群一级备份保留周期大于等于指定天数,视为“合规”。参数默认值7天。 |
资源目录全局 |
可选 |
|
PolarDB集群开启TDE |
PolarDB集群开启TDE,视为“合规”。 |
资源目录全局 |
可选 |
|
密钥管理服务设置凭据自动轮转 |
密钥管理服务中的凭据设置自动轮转,视为“合规”。 |
资源目录全局 |
可选 |
|
密钥管理服务设置主密钥自动轮转 |
对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。 |
资源目录全局 |
可选 |
|
KMS主密钥开启删除保护 |
KMS主密钥开启删除保护,视为“合规”。 |
资源目录全局 |
可选 |
|
OSS存储空间使用自定义KMS密钥加密 |
OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例使用自定义密钥开启TDE |
RDS实例使用自定义密钥开启TDE,视为“合规”。 |
资源目录全局 |
可选 |
|
Redis实例使用自定义密钥开启TDE加密 |
Redis实例使用自定义密钥开启TDE加密,视为“合规”。 |
资源目录全局 |
可选 |
|
CDN域名开启HTTPS加密 |
CDN域名开启HTTPS协议加密,视为“合规”。 |
资源目录全局 |
可选 |
|
API网关中开启公网访问的API请求方式为HTTPS |
API网关中开启公网访问的API请求方式设置为HTTPS,视为“合规”。只限制内网调用的API不适用此规则,视为“不适用”。 |
资源目录全局 |
可选 |
|
Elasticsearch实例使用HTTPS传输协议 |
Elasticsearch实例使用HTTPS传输协议,视为“合规”。 |
资源目录全局 |
可选 |
|
OSS存储空间权限策略设置安全访问 |
OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间视为“不适用”。 |
资源目录全局 |
可选 |
|
SLB实例的HTTPS监听使用指定的安全策略套件 |
SLB实例的所有HTTPS类型监听使用参数指定的安全策略套件版本,视为“合规”。未设置HTTPS类型监听的SLB实例,视为“不适用”。 |
资源目录全局 |
可选 |
|
函数计算函数绑定到自定义域名且开启TLS指定版本 |
函数计算函数绑定到自定义域名且开启TLS指定版本,视为“合规”。 |
资源目录全局 |
可选 |
|
账号下所有ECS实例已安装云安全中心代理 |
账号下所有ECS实例均已安装云安全中心代理,视为“合规”。 |
资源目录全局 |
可选 |
|
在云安全中心设置指定等级的漏洞扫描 |
在云安全中心设置指定风险等级的漏洞扫描,视为“合规”。 |
资源目录全局 |
可选 |
|
云安全中心通知项目已设置通知方式 |
云安全中心通知项目均已设置通知方式,视为“合规”。 |
资源目录全局 |
可选 |
|
为RDS实例设置合理的可维护时间段 |
RDS实例的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。 |
资源目录全局 |
可选 |
|
为PolarDB集群设置合理的维护时间段 |
PolarDB集群的可维护时间段在参数指定的其中一个时间段范围内,视为“合规”。如果企业业务高峰时段与维护时间段有重叠,可能会对业务造成影响。 |
资源目录全局 |
可选 |
|
RAM用户及所属用户组未绑定指定条件的权限策略 |
RAM用户未绑定符合参数条件的权限策略,包括继承自用户组的权限,视为“合规”。参数默认值表示管理员的权限配置,表示拥有管理员权限视为“不合规”。 |
资源目录全局 |
可选 |
|
不存在超级管理员 |
RAM用户、RAM用户组、RAM角色均未拥有Resource为 |
资源目录全局 |
可选 |
|
RAM用户的AccessKey在指定时间内轮换 |
RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。 |
资源目录全局 |
可选 |
|
RAM用户归属用户组 |
所有RAM用户均归属于RAM用户组,视为“合规”。 |
资源目录全局 |
可选 |
|
RAM用户访问设置人员和程序分离 |
RAM用户未同时开启控制台访问和API调用访问,视为“合规”。 |
资源目录全局 |
可选 |
|
RAM用户开启SSO |
RAM用户开启SSO,视为“合规”。 |
资源目录全局 |
可选 |
|
不存在闲置的RAM权限策略 |
RAM权限策略至少绑定一个RAM用户组、RAM角色或RAM用户,视为“合规”。 |
资源目录全局 |
可选 |
|
RAM用户组非空 |
RAM用户组至少包含一个RAM用户,视为“合规”。 |
资源目录全局 |
可选 |
|
云安全中心未发现已泄露的AccessKey |
云安全中心未发现已泄露的AccessKey信息,视为“合规”。 |
资源目录全局 |
可选 |
|
PolarDB集群开启SQL审计 |
PolarDB集群SQL审计状态为开启,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例开启日志备份 |
如果没有开启日志备份,当本地日志丢失会出现无法恢复数据的风险。如果RDS实例开启日志备份则视为"合规"。 |
资源目录全局 |
可选 |
|
为NAS文件系统创建备份计划 |
为NAS文件系统创建备份计划,视为“合规”。 |
资源目录全局 |
可选 |
|
PolarDB集群日志备份保留周期满足指定要求 |
PolarDB集群日志备份保留周期大于等于指定天数,视为“合规”。参数默认值30天。未开启日志备份或备份保留周期小于指定天数视为“不合规”。 |
资源目录全局 |
可选 |
|
OSS存储空间开启同城冗余存储 |
如果没有开启同城冗余存储,会导致当出现某个机房不可用时,OSS服务无法提供一致性服务,影响数据恢复目标。OSS存储空间开启同城冗余存储,视为“合规”。 |
资源目录全局 |
可选 |
|
日志服务日志库设置数据加密 |
日志服务日志库设置了数据加密,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例开启历史事件 |
RDS实例开启历史事件日志,视为“合规”。 |
资源目录全局 |
可选 |
|
PolarDB集群默认时区参数值非SYSTEM |
PolarDB集群参数 |
资源目录全局 |
可选 |
|
ECS实例使用指定版本的操作系统 |
企业可以规范企业内部的OS版本,要求生产环境的主机都必须统一操作系统版本。同时对于那些官方停止维护的操作系统需要及时升级,以免出现安全漏洞。ECS实例使用的操作系统英文名称在指定的白名单范围中,或者操作系统英文名称不在指定的黑名单范围中,视为“合规”。 |
资源目录全局 |
可选 |
|
运行中的ECS实例安装了云监控插件 |
运行中的ECS实例安装云监控插件而且插件状态为运行中,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 |
资源目录全局 |
可选 |
|
为指定云产品设置云监控报警规则 |
在云监控为指定命名空间的云服务设置了至少一条报警规则,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例开启云盘加密 |
RDS实例开启了云盘加密,视为“合规”。 |
资源目录全局 |
可选 |
|
使用中的ECS数据磁盘开启加密 |
使用中的ECS数据磁盘已开启加密,视为“合规”。 |
资源目录全局 |
可选 |
|
待挂载的ECS数据磁盘开启加密 |
待挂载的ECS数据磁盘已开启加密,视为“合规”。 |
资源目录全局 |
可选 |
|
使用专有网络类型的ECS实例 |
如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用半角逗号(,)分隔。 |
资源目录全局 |
可选 |
|
不直接授权给RAM用户 |
RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。 |
资源目录全局 |
可选 |
|
PostgreSQL数据库参数 |
RDS实例PostgreSQL类型数据库参数 |
资源目录全局 |
可选 |
|
PostgreSQL数据库参数 |
RDS实例PostgreSQL类型数据库参数 |
资源目录全局 |
可选 |
|
PostgreSQL数据库参数 |
RDS实例PostgreSQL类型数据库参数 |
资源目录全局 |
可选 |
|
OSS存储空间授权策略设置IP限制 |
OSS Bucket读写权限设置为私有,或者授权策略中包含只允许特定IP访问的策略,视为“合规”。 |
资源目录全局 |
可选 |
|
OSS存储空间ACL禁止公共读 |
OSS存储空间的ACL策略禁止公共读,视为“合规”。 |
资源目录全局 |
可选 |
|
账号下所有ECS实例已安装云安全中心代理 |
账号下所有ECS实例均已安装云安全中心代理,视为“合规”。 |
资源目录全局 |
可选 |
|
VPC自定义网段已设置路由 |
VPC自定义网段在关联路由表中存在至少一条网段内IP的路由信息,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例使用SSL证书 |
RDS实例的数据安全性设置开启SSL证书,视为“合规”。 |
资源目录全局 |
可选 |
|
ACK集群使用Terway网络插件 |
ACK集群使用Terway网络插件,视为“合规”。 |
资源目录全局 |
可选 |
|
ACK集群未设置公网连接端点 |
ACK集群未设置公网连接端点,视为“合规”。 |
资源目录全局 |
可选 |
|
ACK集群节点安装云监控插件 |
ACK集群节点均已安装云监控插件,且插件运行状态正常,视为“合规”。 |
资源目录全局 |
可选 |
|
操作审计跟踪状态为开启 |
操作审计跟踪状态为开启,视为“合规”。 |
资源目录全局 |
可选 |
|
使用高可用的RDS实例 |
使用的RDS实例为高可用版,视为“合规”。建议使用高可用版RDS实例,谨慎使用稳定性较差的基础版。 |
资源目录全局 |
可选 |
|
使用多可用区的RDS实例 |
RDS实例为多可用区实例,视为“合规”。 |
资源目录全局 |
可选 |
|
RDS实例正确开启安全白名单 |
RDS实例已开启安全白名单,且安全白名单中不包含0.0.0.0/0,视为“合规”。 |
资源目录全局 |
可选 |
|
使用专有网络类型的Redis实例 |
如果指定参数,则检查Redis实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查Redis实例的网络类型为专有网络,视为“合规”。 |
资源目录全局 |
可选 |
|
Redis实例IP白名单不设置为全网段 |
Redis实例IP白名单未设置为0.0.0.0/0,视为“合规”。 |
资源目录全局 |
可选 |
|
使用专有网络类型的MongoDB实例 |
如果指定参数,则检查MongoDB实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查MongoDB实例的网络类型为专有网络,视为“合规”。 |
资源目录全局 |
可选 |
|
MongoDB实例IP白名单禁止设置为全网段 |
MongoDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。 |
资源目录全局 |
可选 |
|
推荐使用专有网络类型的PolarDB实例 |
如果指定参数,则检查PolarDB实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查PolarDB实例的网络类型为专有网络,视为“合规”。 |
资源目录全局 |
可选 |
|
使用数据库代理模式访问SQL Server |
RDS实例SQL Server类型数据库的访问模式为代理模式,视为“合规”。 |
资源目录全局 |
可选 |
|
SLB访问控制列表不允许配置所有地址段 |
SLB访问控制列表中不包含0.0.0.0/0条目,视为“合规”。 |
资源目录全局 |
可选 |
|
弹性IP实例带宽满足最低要求 |
弹性IP实例可用带宽大于等于指定参数值,视为“合规”。默认值:10 MB。 |
资源目录全局 |
可选 |
|
SLB实例满足指定带宽要求 |
SLB实例可用带宽大于等于指定参数值,视为“合规”。默认值:10 MB。 |
资源目录全局 |
可选 |
|
PolarDB实例IP白名单禁止设置为全网段 |
PolarDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。 |
资源目录全局 |
可选 |