本文为您介绍RMiT金融标准检查合规包中的默认规则。
| 规则名称 | 规则描述 |
|---|---|
| 操作审计开启全量日志跟踪 | 操作审计中存在开启状态的跟踪,且跟踪追踪全部地域和全部事件类型,视为“合规”。 |
| 操作审计开启跟踪状态 | 操作审计开启跟踪状态,视为“合规”。 |
| OSS存储空间使用指定KMS加密 | OSS存储空间已使用您指定的KMS加密,视为“合规”。 |
| ECS数据磁盘设置自动快照策略 | ECS数据磁盘已设置自动快照策略,视为“合规”。 |
| ECS数据磁盘开启加密 | ECS数据磁盘开启加密,视为“合规”。 |
| ECS实例未分配IPv4公网地址 | ECS实例未绑定IPv4公网IP地址,视为“合规”。 |
| 使用专有网络类型的ECS实例 | 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。 |
| SLB使用证书为阿里云签发 | SLB使用证书为阿里云签发,视为“合规”。 |
| SLB服务器证书在有效期内 | SLB服务器证书在有效期内,视为”合规“。 |
| SLB实例开启释放保护 | SLB实例开启释放保护,视为“合规”。 |
| SLB开启HTTPS监听 | SLB开启HTTPS监听80/8080端口,视为“合规”。 |
| RAM用户组非空 | RAM用户组至少包含一个RAM用户,视为“合规”。 |
| RAM用户密码策略符合要求 | RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 |
| 不存在超级管理员 | RAM用户、RAM用户组、RAM角色均未拥有Action为*的超级管理员权限,视为“合规”。 |
| 阿里云账号不存在AccessKey | 阿里云账号不存在“已启用”状态的AccessKey,视为“合规”。 |
| RAM用户归属用户组 | 所有RAM用户均归属于RAM用户组,视为“合规”。 |
| RAM用户开启MFA | RAM用户开启MFA,视为“合规”。 |
| 不直接授权给RAM用户 | 无直接绑定到RAM用户的权限策略,视为“合规”。 |
| RAM用户在指定时间内有登录行为 | 如果RAM用户在最近90天有登录行为,视为“合规”;如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。 |
| RDS实例IP白名单未设置为全网段 | RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。 |
| RDS实例开启历史事件 | RDS实例开启历史事件日志,视为“合规”。 |
| 使用多可用区的RDS实例 | RDS实例为多可用区实例,视为“合规”。 |
| RDS实例开启TDE加密 | RDS实例的数据安全性设置开启TDE加密,视为“合规”。 |
| OSS存储空间开启日志存储 | OSS存储空间的日志管理中开启日志存储,视为“合规”。 |
| OSS存储空间权限策略不能为匿名账号授予任何权限 | OSS存储空间读写权限设置为私有,而且权限策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。 |
| OSS存储空间开启服务端默认加密 | OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 |
| OSS存储空间开启服务端KMS加密 | OSS存储空间开启服务端KMS加密,视为“合规”。 |
| OSS存储空间开启版本控制 | OSS存储空间开启版本控制,视为“合规”。 |
| VPC开启流日志记录 | VPC开启流日志(Flowlog)记录功能,视为“合规”。 |
| IPsec VPN连接正常 | IPsec VPN连接状态为“已建立”,视为“合规”。 |
| WAF实例开启日志采集 | 已接入WAF进行防护的域名均开启日志采集,视为“合规”。 |
| OSS存储空间权限策略设置安全访问 | OSS存储空间权限策略中包含读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。 |
| 安全组入网设置有效 | 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。 |
| 密钥管理服务设置主密钥自动轮转 | 密钥管理服务中的主密钥设置为自动轮转,视为“合规”。 |
| 使用专有网络服务的Elasticsearch实例 | 如果未指定参数,则检查Elasticsearch实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查Elasticsearch实例的专有网络实例在指定参数范围内,视为“合规”。 |