配置审计 CONFIG-适用于自动驾驶场景的合规实践
适用于自动驾驶场景的合规实践
该示例模板中对应的合规规则的说明如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
---|---|---|---|
css-cluster-disk-encryption-check |
CSS 集群开启磁盘加密 |
css |
CS S集群未开启磁盘加密,视为“不合规” |
css-cluster-https-required |
CSS集群启用HTTPS |
css |
CSS集群未启用https,视为“不合规” |
css-cluster-no-public-zone |
CSS集群不能公网访问 |
css |
CSS集群开启公网访问,视为“不合规” |
css-cluster-security-mode-enable |
CSS集群支持安全模式 |
css |
CSS集群不支持安全模式,视为“不合规” |
cts-kms-encrypted-check |
CTS 追踪器通过KMS进行加密 |
cts |
CTS追踪器未通过KMS进行加密,视为“不合规” |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
cts |
CTS追踪器未打开事件文件校验,视为“不合规” |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
账号未创建CTS追踪器,视为“不合规” |
dcs-redis-no-public-ip |
DCS Redis实例不存在弹性公网IP |
dcs |
DCS Redis资源存在弹性公网IP,视为“不合规” |
dcs-redis-password-access |
DCS Redis实例需要密码访问 |
dcs |
DCS Redis资源不需要密码访问,视为“不合规” |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
ECS资源具有弹性公网IP,视为“不合规” |
elb-loadbalancers-no-public-ip |
ELB资源不具有弹性公网IP |
elb |
ELB资源具有弹性公网IP,视为“不合规” |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
iam-password-policy |
IAM 用户密码策略符合要求 |
iam |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
IAM用户未开启MFA认证,视为“不合规” |
rds-instance-no-public-ip |
RDS实例不具有弹性公网IP |
rds |
RDS资源具有弹性公网IP,视为“不合规” |
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
根账号未开启MFA认证,视为“不合规” |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
ecs,evs |
已挂载的云硬盘未进行加密,视为“不合规” |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
vpc-sg-ports-check |
安全组端口检查 |
vpc |
当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” |