RMiT金融标准检查合规包基于马来西亚金融行业通用的IT风险控制标准,持续检查云上IT系统的合规性。本文为您介绍RMiT金融标准检查合规包中的默认规则。
规则名称 | 规则描述 |
操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型,视为“合规”。如果是资源目录成员,当管理员有创建应用到所有成员的跟踪时,视为“合规”。 | |
操作审计跟踪状态为开启,视为“合规”。 | |
OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。 | |
ECS磁盘设置了自动快照策略,视为“合规”。 | |
ECS数据磁盘已开启加密,视为“合规”。 | |
ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。 | |
如果未指定参数,则检查ECS实例的网络类型为专有网络;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用半角逗号(,)分隔。 | |
SLB使用证书为阿里云签发,视为“合规”。 | |
SLB服务器证书在有效期内,视为”合规“。 | |
SLB实例开启释放保护,视为“合规”。 | |
SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。 | |
RAM用户组至少包含一个RAM用户,视为“合规”。 | |
RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 | |
RAM用户、RAM用户组、RAM角色均未拥有Resource为*和Action为*的超级管理员权限,视为“合规”。 | |
阿里云账号不存在任何状态的AccessKey,视为“合规”。 | |
所有RAM用户均归属于RAM用户组,视为“合规”。 | |
开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。 | |
RAM用户没有直接绑定权限策略,视为“合规”。推荐RAM用户从RAM组或角色继承权限。 | |
如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 | |
RDS实例未配置公网地址,视为“合规”。生产环境的RDS实例不推荐配置公网直接访问,容易被黑客攻击。 | |
RDS实例开启历史事件日志,视为“合规”。 | |
RDS实例为多可用区实例,视为“合规”。 | |
RDS实例的数据安全性设置开启TDE加密,视为“合规”。 | |
OSS存储空间的日志管理中开启日志转存,视为“合规”。 | |
为读写权限公开的OSS存储空间设置授权策略,并且授权策略中不能为匿名账号授予任何读写的操作权限,视为“合规”。读写权限为私有的OSS存储空间视为“不适用”。 | |
OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 | |
OSS存储空间开启服务端KMS加密,视为“合规”。 | |
如果没有开启版本控制,会导致数据被覆盖或删除时无法恢复。如果开启版本控制则视为"合规"。 | |
VPC已开启流日志(Flowlog)记录功能,视为“合规”。 | |
IPsec VPN连接状态为“已建立”,视为“合规”。 | |
已接入WAF2.0进行防护的域名均开启日志采集,视为“合规”。 | |
OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间视为“不适用”。 | |
安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 | |
对密钥管理服务中的用户主密钥设置自动轮转,视为“合规”。 | |
如果指定参数,则检查Elasticsearch实例关联的专有网络在指定参数范围内视为“合规”;如果未指定参数,则检查Easticsearch实例的网络类型为专有网络,视为“合规”。 |