配置审计 CONFIG-网络及数据安全最佳实践:默认规则
默认规则
此表中的建议项编号对应“CIS Control v8”中参考文档的章节编号,供您查阅参考。
建议项编号 |
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
---|---|---|---|---|
1.1 |
ecs-in-allowed-security-groups |
绑定指定标签的E CS 关联在指定安全组ID列表内 |
ecs |
指定高危安全组ID列表,未绑定指定标签的ECS资源关联其中任意安全组,视为“不合规” |
1.1 |
eip-unbound-check |
弹性公网IP未进行任何绑定 |
vpc |
弹性公网IP未进行任何绑定,视为“不合规” |
1.1 |
eip-use-in-specified-days |
EIP在指定天数内绑定到资源实例 |
eip |
EIP创建后在指定天数内未使用,视为“不合规” |
1.1 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
ecs |
关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规” |
1.1 |
vpc-acl-unused-check |
未与子网关联的网络ACL |
vpc |
检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” |
2.2 |
cce-cluster-oldest-supported-version |
CCE集群运行的非受支持的最旧版本 |
cce |
如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规” |
3.3 |
css-cluster-in-vpc |
CSS 集群绑定指定VPC资源 |
css |
CSS集群未与指定的虚拟私有云资源绑定,视为“不合规” |
3.3 |
drs-data-guard-job-not-public |
数据复制服务 实时灾备任务不使用公网网络 |
drs |
数据复制服务实时灾备任务使用公网网络,视为“不合规” |
3.3 |
drs-migration-job-not-public |
数据复制服务实时迁移任务不使用公网网络 |
drs |
数据复制服务实时迁移任务使用公网网络,视为“不合规” |
3.3 |
drs-synchronization-job-not-public |
数据复制服务实时同步任务不使用公网网络 |
drs |
数据复制服务实时同步任务使用公网网络,视为“不合规” |
3.3 |
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
ecs、vpc |
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
3.3 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
ECS资源具有弹性公网IP,视为“不合规” |
3.3 |
function-graph-inside-vpc |
函数工作流 使用指定VPC |
fgs |
函数工作流未使用指定VPC,视为“不合规” |
3.3 |
function-graph-public-access-prohibited |
函数工作流的函数不允许访问公网 |
fgs |
函数工作流的函数允许访问公网,视为“不合规” |
3.3 |
iam-customer-policy-blocked-kms-actions |
IAM 策略中不存在KMS的任一阻拦action |
iam、access-analyzer-verified |
IAM策略中授权KMS的任一阻拦action,视为“不合规” |
3.3 |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
iam |
IAM用户组未添加任意IAM用户,视为“不合规” |
3.3 |
iam-policy-no-statements-with-admin-access |
IAM策略不具备Admin权限 |
iam |
IAM策略中存在admin权限(Action为*:*:*或*:*或*),视为“不合规” |
3.3 |
iam-role-has-all-permissions |
IAM自定义策略具备所有权限 |
iam |
IAM自定义策略具有allow的云服务的全部权限,视为“不合规” |
3.3 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
iam |
账号有可使用的AK/SK访问密钥,视为“不合规” |
3.3 |
iam-user-group-membership-check |
IAM用户归属指定用户组 |
iam |
IAM用户不属于指定IAM用户组,视为“不合规” |
3.3 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
3.3 |
mrs-cluster-kerberos-enabled |
MRS 集群开启kerberos认证 |
mrs |
MRS集群未开启kerberos认证,视为“不合规” |
3.3 |
mrs-cluster-no-public-ip |
MRS集群未绑定弹性公网IP |
mrs |
MRS集群绑定弹性公网IP,视为“不合规” |
3.3 |
rds-instance-no-public-ip |
RDS实例不具有弹性公网IP |
rds |
RDS资源具有弹性公网IP,视为“不合规” |
3.1 |
apig-instances-ssl-enabled |
APIG专享版实例 域名 均关联SSL证书 |
apig |
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” |
3.1 |
css-cluster-disk-encryption-check |
CSS集群开启磁盘加密 |
css |
CSS集群未开启磁盘加密,视为“不合规” |
3.1 |
css-cluster-https-required |
CSS集群启用HTTPS |
css |
CSS集群未启用HTTPS,视为“不合规” |
3.1 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
dws |
DWS集群未启用SSL加密连接,视为“不合规” |
3.1 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
3.11 |
cts-kms-encrypted-check |
CTS 追踪器通过KMS进行加密 |
cts |
CTS追踪器未通过KMS进行加密,视为“不合规” |
3.11 |
dws-enable-kms |
DWS集群启用KMS加密 |
dws |
DWS集群未启用KMS加密,视为“不合规” |
3.11 |
gaussdb-nosql-enable-disk-encryption |
GeminiDB使用磁盘加密 |
gemini db |
GeminiDB未使用磁盘加密,视为“不合规” |
3.11 |
rds-instances-enable-kms |
RDS实例开启存储加密 |
rds |
未开启存储加密的RDS资源,视为“不合规” |
3.11 |
sfsturbo-encrypted-check |
高性能弹性文件服务通过KMS进行加密 |
sfsturbo |
高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” |
3.11 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
evs、ecs |
已挂载的云硬盘未进行加密,视为“不合规” |
3.14 |
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
apig |
APIG专享版实例未配置访问日志,视为“不合规” |
3.14 |
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
CTS追踪器未启用事件分析,视为“不合规” |
3.14 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
3.14 |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
账号未创建CTS追踪器,视为“不合规” |
3.14 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
cts |
账号未在指定Region列表创建CTS追踪器,视为“不合规” |
3.14 |
rds-instance-logging-enabled |
RDS实例配备日志 |
rds |
未配备任何日志的RDS资源,视为“不合规” |
3.14 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” |
4.1 |
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
iam |
IAM用户的AK/SK访问密钥未在指定天数内更换,视为“不合规” |
4.1 |
evs-use-in-specified-days |
云硬盘创建后在指定天数内绑定资源实例 |
evs |
云硬盘创建后在指定天数内未使用,视为“不合规” |
4.1 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
ecs |
关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规” |
4.1 |
volume-unused-check |
云硬盘闲置检测 |
evs |
云硬盘未挂载给任何云服务器,视为“不合规” |
4.6 |
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
apig |
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” |
4.6 |
css-cluster-https-required |
CSS集群启用HTTPS |
css |
CSS集群未启用HTTPS,视为“不合规” |
4.6 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
dws |
DWS集群未启用SSL加密连接,视为“不合规” |
4.6 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
4.7 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
iam |
账号有可使用的AK/SK访问密钥,视为“不合规” |
5.2 |
iam-password-policy |
IAM用户密码策略符合要求 |
iam |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
5.2 |
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
IAM用户未开启MFA认证,视为“不合规” |
5.2 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
iam |
通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” |
5.2 |
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
账号未开启MFA认证,视为“不合规” |
5.3 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
5.4 |
iam-policy-no-statements-with-admin-access |
IAM策略不具备Admin权限 |
iam |
IAM策略中存在admin权限(Action为*:*:*或*:*或*),视为“不合规” |
5.4 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
iam |
账号有可使用的AK/SK访问密钥,视为“不合规” |
6.4 |
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
IAM用户未开启MFA认证,视为“不合规” |
6.4 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
iam |
通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” |
6.4 |
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
账号未开启MFA认证,视为“不合规” |
8.2 |
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
apig |
APIG专享版实例未配置访问日志,视为“不合规” |
8.2 |
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
CTS追踪器未启用事件分析,视为“不合规” |
8.2 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
8.2 |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
账号未创建CTS追踪器,视为“不合规” |
8.2 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
cts |
账号未在指定Region列表创建CTS追踪器,视为“不合规” |
8.2 |
rds-instance-logging-enabled |
RDS实例配备日志 |
rds |
未配备任何日志的RDS资源,视为“不合规” |
8.2 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” |
8.5 |
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
apig |
APIG专享版实例未配置访问日志,视为“不合规” |
8.5 |
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
CTS追踪器未启用事件分析,视为“不合规” |
8.5 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
8.5 |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
账号未创建CTS追踪器,视为“不合规” |
8.5 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
cts |
账号未在指定Region列表创建CTS追踪器,视为“不合规” |
8.5 |
rds-instance-logging-enabled |
RDS实例配备日志 |
rds |
未配备任何日志的RDS资源,视为“不合规” |
8.5 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” |
8.9 |
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
CTS追踪器未启用事件分析,视为“不合规” |
11.2 |
dws-enable-snapshot |
DWS集群启用自动快照 |
dws |
DWS集群未启用自动快照,视为“不合规” |
11.2 |
gaussdb-instance-enable-backup |
GaussDB 实例开启自动备份 |
gaussdb |
未开启资源备份的GaussDB实例,视为“不合规” |
11.2 |
gaussdb-mysql-instance-enable-backup |
TaurusDB实例开启备份 |
taurusdb |
未开启备份的TaurusDB实例,视为“不合规” |
11.2 |
gaussdb-nosql-enable-backup |
GeminiDB开启备份 |
gemini db |
GeminiDB未开启备份,视为“不合规” |
11.2 |
rds-instance-enable-backup |
RDS实例开启备份 |
rds |
未开启备份的RDS资源,视为“不合规” |
11.3 |
rds-instances-enable-kms |
RDS实例开启存储加密 |
rds |
未开启存储加密的RDS资源,视为“不合规” |
11.3 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
evs、ecs |
已挂载的云硬盘未进行加密,视为“不合规” |
11.4 |
dws-enable-snapshot |
DWS集群启用自动快照 |
dws |
DWS集群未启用自动快照,视为“不合规” |
11.4 |
gaussdb-instance-enable-backup |
GaussDB实例开启自动备份 |
gaussdb |
未开启资源备份的GaussDB实例,视为“不合规” |
11.4 |
gaussdb-mysql-instance-enable-backup |
TaurusDB实例开启备份 |
taurusdb |
未开启备份的TaurusDB实例,视为“不合规” |
11.4 |
gaussdb-nosql-enable-backup |
GeminiDB开启备份 |
gemini db |
GeminiDB未开启备份,视为“不合规” |
11.4 |
rds-instance-enable-backup |
RDS实例开启备份 |
rds |
未开启备份的RDS资源,视为“不合规” |
12.2 |
css-cluster-in-vpc |
CSS集群绑定指定VPC资源 |
css |
CSS集群未与指定的虚拟私有云资源绑定,视为“不合规” |
12.2 |
drs-data-guard-job-not-public |
数据复制服务实时灾备任务不使用公网网络 |
drs |
数据复制服务实时灾备任务使用公网网络,视为“不合规” |
12.2 |
drs-migration-job-not-public |
数据复制服务实时迁移任务不使用公网网络 |
drs |
数据复制服务实时迁移任务使用公网网络,视为“不合规” |
12.2 |
drs-synchronization-job-not-public |
数据复制服务实时同步任务不使用公网网络 |
drs |
数据复制服务实时同步任务使用公网网络,视为“不合规” |
12.2 |
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
ecs、vpc |
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
12.2 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
ECS资源具有弹性公网IP,视为“不合规” |
12.2 |
function-graph-inside-vpc |
函数工作流使用指定VPC |
fgs |
函数工作流未使用指定VPC,视为“不合规” |
12.2 |
function-graph-public-access-prohibited |
函数工作流的函数不允许访问公网 |
fgs |
函数工作流的函数允许访问公网,视为“不合规” |
12.2 |
mrs-cluster-no-public-ip |
MRS集群未绑定弹性公网IP |
mrs |
MRS集群绑定弹性公网IP,视为“不合规” |
12.2 |
pca-certificate-authority-expiration-check |
检查私有CA是否过期 |
pca |
私有CA在指定时间内过期,视为“不合规” |
12.2 |
pca-certificate-expiration-check |
检查私有证书是否过期 |
pca |
私有证书没有标记在指定时间内到期,视为“不合规” |
12.2 |
rds-instance-multi-az-support |
RDS实例支持多可用区 |
rds |
RDS实例仅支持一个可用区,视为“不合规” |
12.2 |
rds-instance-no-public-ip |
RDS实例不具有弹性公网IP |
rds |
RDS资源具有弹性公网IP,视为“不合规” |
12.2 |
vpc-default-sg-closed |
默认安全组关闭出、入方向流量 |
vpc |
虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” |
12.2 |
vpc-sg-ports-check |
安全组端口检查 |
vpc |
当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” |
12.2 |
vpc-sg-restricted-common-ports |
安全组入站流量限制指定端口 |
vpc |
当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0),视为“不合规” |
12.2 |
vpc-sg-restricted-ssh |
安全组入站流量限制SSH端口 |
vpc |
当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规” |
12.2 |
vpn-connections-active |
VPN连接状态为“正常” |
vpnaas |
VPN连接状态不为“正常”,视为“不合规” |
12.3 |
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
apig |
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” |
12.3 |
css-cluster-https-required |
CSS集群启用HTTPS |
css |
CSS集群未启用HTTPS,视为“不合规” |
12.3 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
dws |
DWS集群未启用SSL加密连接,视为“不合规” |
12.3 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
12.6 |
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
apig |
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” |
12.6 |
css-cluster-https-required |
CSS集群启用HTTPS |
css |
CSS集群未启用HTTPS,视为“不合规” |
12.6 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
dws |
DWS集群未启用SSL加密连接,视为“不合规” |
12.6 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
13.6 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” |