文档首页/ 资源治理中心 RGC/ 用户指南/ 控制策略管理/ 控制策略参考/ 强烈建议控制策略
更新时间:2024-10-26 GMT+08:00
查看PDF
分享

强烈建议控制策略

APIG

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_APIG_INSTANCES_AUTHORIZATION_TYPE_CONFIGURED

APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。

加密传输中的数据

apig:::instance

RGC-GR_CONFIG_APIG_INSTANCES_SSL_ENABLED

APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。

加密传输中的数据

apig:::instance

CCE

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_CCE_ENDPOINT_PUBLIC_ACCESS

CCE集群资源具有公网IP,视为“不合规”。

限制网络访问

cce:::cluster

CDN

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_CDN_ENABLE_HTTPS_CERTIFICATE

CDN未使用HTTPS,视为“不合规”。

加密传输中的数据

严重

cdn:::domain

RGC-GR_CONFIG_CDN_ORIGIN_PROTOCOL_NO_HTTP

CDN回源方式未使用HTTPS,视为“不合规”。

加密传输中的数据

严重

cdn:::domain

RGC-GR_CONFIG_CDN_SECURITY_POLICY_CHECK

CDN使用TLSv1.2以下的版本,视为“不合规”。

加密传输中的数据

cdn:::domain

RGC-GR_CONFIG_CDN_USE_MY_CERTIFICATE

CDN使用了自有证书,视为“不合规”。

加密传输中的数据

cdn:::domain

CFW

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_CFW_POLICY_NOT_EMPTY

CFW防火墙未配置防护策略,视为“不合规”。

限制网络访问

cfw:::eipProtection

CodeArts Build

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_CLOUDBUILDSERVER_ENCRYPTION_PARAMETER_CHECK

CodeArts编译构建下的项目,如果设置了未加密参数(除了预定义参数),视为“不合规”。

加密静态数据

codearts:::deployApplication

CSMS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_CSMS_SECRETS_ROTATION_SUCCESS_CHECK

CSMS凭据轮转失败,视为“不合规”。

强制执行最低权限

csms:::secret

CSS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_CSS_CLUSTER_AUTHORITY_ENABLE

CSS集群未启用认证,视为“不合规”。

使用强身份验证

严重

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_DISK_ENCRYPTION_CHECK

CSS集群未开启磁盘加密,视为“不合规”。

加密静态数据

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_KIBANA_NOT_ENABLE_WHITE_LIST

CSS集群kibana白名单设置为对所有IP开放,视为“不合规”。

限制网络访问

严重

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_NO_PUBLIC_ZONE

CSS集群开启公网访问,视为“不合规”。

加密静态数据

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_NOT_ENABLE_WHITE_LIST

CSS集群白名单设置为对所有IP开放,视为“不合规”。

限制网络访问

严重

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_SECURITY_MODE_ENABLE

CSS集群未开启安全模式,视为“不合规”。

强制执行最低权限

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_HTTPS_REQUIRED

CSS集群未启用https,视为“不合规”。

加密传输中的数据

css:::cluster

CTS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_CTS_KMS_ENCRYPTED_CHECK

CTS追踪器未通过KMS进行加密,视为“不合规”。

加密静态数据

cts:::tracker

RGC-GR_CONFIG_CTS_SUPPORT_VALIDATE_CHECK

CTS追踪器未打开事件文件校验,视为“不合规”。

保护数据完整性

cts:::tracker

RGC-GR_CONFIG_CTS_TRACKER_EXISTS

账号未创建CTS追踪器,视为“不合规”。

建立日志记录和监控

cts:::tracker

DCS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_DCS_MEMCACHED_ENABLE_SSL

dcs memcached资源可以公网访问,但不支持SSL时,视为“不合规”。

加密传输中的数据

dcs:::instance

RGC-GR_CONFIG_DCS_MEMCACHED_NO_PUBLIC_IP

dcs memcached资源存在公网IP,视为“不合规”。

限制网络访问

dcs:::instance

RGC-GR_CONFIG_DCS_MEMCACHED_PASSWORD_ACCESS

dcs memcached资源不需要密码访问,视为“不合规”。

使用强身份验证

dcs:::instance

RGC-GR_CONFIG_DCS_REDIS_ENABLE_SSL

dcs redis资源可以公网访问,但不支持SSL时,视为“不合规”。

限制网络访问

dcs:::instance

RGC-GR_CONFIG_DCS_REDIS_HIGH_TOLERANCE

dcs redis资源不是高可用时,视为“不合规”。

提高可用性

dcs:::instance

RGC-GR_CONFIG_DCS_REDIS_NO_PUBLIC_IP

dcs redis资源存在公网IP,视为“不合规”。

限制网络访问

dcs:::instance

RGC-GR_CONFIG_DCS_REDIS_PASSWORD_ACCESS

dcs redis资源不需要密码访问,视为“不合规”。

使用强身份验证

dcs:::instance

DDS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_DDS_INSTANCE_ENABLE_SSL

DDS实例未开启SSL,视为“不合规”。

加密传输中的数据

dds:::instance

RGC-GR_CONFIG_DDS_INSTANCE_HAS_EIP

DDS实例绑定了公网IP,视为“不合规”。

限制网络访问

dds:::instance

DMS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PRIVATE_SSL

DMS kafkas队列未打开内网SSL加密访问,视为“不合规”。

加密传输中的数据

dms:::kafkaInstance

RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PUBLIC_SSL

DMS kafkas队列未打开公网SSL加密访问,视为“不合规”。

加密传输中的数据

dms:::kafkaInstance

RGC-GR_CONFIG_DMS_KAFKA_PUBLIC_ACCESS_ENABLED_CHECK

DMS kafkas队列开启公网访问,视为“不合规”。

限制网络访问

dms:::kafkaIZnstance

RGC-GR_CONFIG_DMS_RABBITMQ_NOT_ENABLE_SSL

DMS rabbitmqs队列未打开SSL加密访问,视为“不合规”。

加密静态数据

dms:::rabbitmqInstance

RGC-GR_CONFIG_DMS_ROCKETMQ_NOT_ENABLE_SSL

DMS reliabilitys队列未打开SSL加密访问,视为“不合规”。

加密静态数据

dms:::rocketmqInstance

DRS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_DRS_DATA_GUARD_JOB_NOT_PUBLIC

数据复制服务实时灾备任务使用公网网络,视为“不合规”。

限制网络访问

drs:::job

RGC-GR_CONFIG_DRS_MIGRATION_JOB_NOT_PUBLIC

数据复制服务实时迁移任务使用公网网络,视为“不合规”。

限制网络访问

drs:::job

RGC-GR_CONFIG_DRS_SYNCHRONIZATION_JOB_NOT_PUBLIC

数据复制服务实时同步任务使用公网网络,视为“不合规”。

限制网络访问

drs:::job

DWS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_DWS_ENABLE_KMS

DWS集群未启用KMS加密,视为“不合规”。

加密静态数据

dws:::cluster

RGC-GR_CONFIG_DWS_ENABLE_SSL

DWS集群未启用SSL加密连接,视为“不合规”。

加密传输中的数据

dws:::cluster

RGC-GR_CONFIG_DWS_CLUSTERS_NO_PUBLIC_IP

DWS集群绑定公网IP,视为“不合规”。

限制网络访问

dws:::cluster

ECS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_ECS_INSTANCE_KEY_PAIR_LOGIN

ECS未配置密钥对,视为“不合规”。

限制网络访问

ecs:::instanceV1

RGC-GR_CONFIG_ECS_INSTANCE_NO_PUBLIC_IP

ECS资源具有公网IP,视为“不合规”。

限制网络访问

compute:::instance

RGC-GR_CONFIG_ECS_MULTIPLE_PUBLIC_IP_CHECK

ECS资源具有多个公网IP,视为“不合规”。

限制网络访问

compute:::instance

RGC-GR_CONFIG_ECS_INSTANCE_AGENCY_ATTACH_IAM_AGENCY

ECS实例未附加IAM委托,视为“不合规”。

强制执行最低权限

ecs:::instanceV1

ELB

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_ELB_LOADBALANCERS_NO_PUBLIC_IP

ELB资源具有公网IP,视为“不合规”。

限制网络访问

elb:::loadBalancer

RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY

负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。

加密传输中的数据

elb:::listener

RGC-GR_CONFIG_ELB_PREDEFINED_SECURITY_POLICY_HTTPS_CHECK

独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规”。

限制网络访问

elb:::loadBalancer

RGC-GR_CONFIG_ELB_HTTP_TO_HTTPS_REDIRECTION_CHECK

检查HTTP监听器是否配置了向HTTPS监听器的重定向,如果未配置,视为“不合规”。

限制网络访问

elb:::listener

EVS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK

已挂载的云硬盘未进行加密,视为“不合规”。

加密静态数据

evs:::volume

RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK_BY_DEFAULT

云硬盘未进行加密,视为“不合规”。

加密静态数据

evs:::volume

Functiongraph

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_FUNCTION_GRAPH_PUBLIC_ACCESS_PROHIBITED

函数工作流的函数允许访问公网,视为“不合规”。

限制网络访问

严重

fgs:::function

GaussDB NoSQL

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_DISK_ENCRYPTION

GaussDB NoSQL未使用磁盘加密,视为“不合规”。

加密静态数据

gaussdb:::mongoInstance

IAM

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_IAM_ROOT_ACCESS_KEY_CHECK

账号存在可使用的访问密钥,视为“不合规”。

强制执行最低权限

严重

identity:::accessKey

RGC-GR_CONFIG_ROOT_ACCOUNT_MFA_ENABLED

根账号未开启MFA认证,视为“不合规”。

强制执行最低权限

identity:::acl

RGC-GR_CONFIG_IAM_GROUP_HAS_USERS_CHECK

IAM用户组未添加任意IAM用户,视为“不合规”。

强制执行最低权限

identity:::group

RGC-GR_CONFIG_IAM_USER_ACCESS_MODE

IAM用户同时开启控制台访问和API访问,视为“不合规”。

强制执行最低权限

identity:::user

RGC-GR_CONFIG_IAM_USER_CONSOLE_AND_API_ACCESS_AT_CREATION

对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”。

管理机密

identity:::user

RGC-GR_CONFIG_IAM_USER_SINGLE_ACCESS_KEY

IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。

管理机密

identity:::user

RGC-GR_CONFIG_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

通过console密码登录的IAM用户未开启MFA认证,视为“不合规”。

强制执行最低权限

identity:::user

RGC-GR_CONFIG_IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS

IAM策略admin权限(*:*:*或*:*或*),视为“不合规”。

强制执行最低权限

identity:::protectionPolicy

RGC-GR_CONFIG_IAM_ROLE_HAS_ALL_PERMISSIONS

IAM自定义策略具有allow的*:*权限,视为“不合规”。

强制执行最低权限

identity:::role

RGC-GR_CONFIG_IAM_USER_MFA_ENABLED

IAM用户未开启MFA认证,视为“不合规”。

强制执行最低权限

identity:::user

RGC-GR_CONFIG_ACCESS_KEYS_ROTATED

IAM用户的访问密钥未在指定天数内轮转,视为“不合规”。

强制执行最低权限

identity:::accessKey

RGC-GR_CONFIG_IAM_PASSWORD_POLICY

IAM用户密码强度不满足密码强度要求,视为“不合规”。

使用强身份验证

identity:::user

RGC-GR_CONFIG_IAM_USER_LAST_LOGIN_CHECK

IAM用户在指定时间范围内无登录行为,视为“不合规”。

强制执行最低权限

identity:::user

RGC-GR_CONFIG_IAM_POLICY_IN_USE

IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。

强制执行最低权限

identity:::protectionPolicy

RGC-GR_CONFIG_IAM_ROLE_IN_USE

IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。

强制执行最低权限

identity:::role

RGC-GR_CONFIG_IAM_USER_LOGIN_PROTECTION_ENABLED

IAM用户未开启登录保护,视为“不合规”。

使用强力身份验证

identity:::user

KMS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_KMS_NOT_SCHEDULED_FOR_DELETION

KMS密钥处于“计划删除“状态,视为“不合规”。

保护数据完整性

严重

kms:::key

RGC-GR_CONFIG_KMS_ROTATION_ENABLED

KMS密钥未启用密钥轮换,视为“不合规”。

加密静态数据

kms:::key

MRS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_MRS_CLUSTER_KERBEROS_ENABLED

MRS集群未开启kerberos认证,视为“不合规”。

使用强身份验证

mrs:::cluster

RGC-GR_CONFIG_MRS_CLUSTER_NO_PUBLIC_IP

MRS集群绑定公网IP,视为“不合规”。

限制网络访问

mrs:::cluster

PCA

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_EXPIRATION_CHECK

私有CA在指定时间内过期,视为“不合规”。

加密传输中的数据

ccm:::privateCertificate

RGC-GR_CONFIG_PCA_CERTIFICATE_EXPIRATION_CHECK

私有证书在指定时间内到期,视为“不合规”。

加密传输中的数据

ccm:::privateCertificate

RDS

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_RDS_INSTANCE_NO_PUBLIC_IP

RDS资源具有公网IP,视为“不合规”。

限制网络访问

rds:::instance

RGC-GR_CONFIG_RDS_INSTANCES_ENABLE_KMS

未开启存储加密的rds资源,视为“不合规”。

加密静态数据

rds:::instance

SFS Turbo

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_SFSTURBO_ENCRYPTED_CHECK

弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规”。

加密静态数据

sfsturbo:::dir

VPC

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_VPC_SG_PORTS_CHECK

当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规”。

限制网络访问

networking:::secgroup

RGC-GR_CONFIG_VPC_ACL_UNUSED_CHECK

检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”。

保护配置

vpc:::networkAcl

RGC-GR_CONFIG_VPC_DEFAULT_SG_CLOSED

虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。

限制网络访问

networking:::secgroup

RGC-GR_CONFIG_VPC_SG_RESTRICTED_SSH

当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规”。

限制网络访问

networking:::secgroup

RGC-GR_CONFIG_VPC_SG_ATTACHED_PORTS

检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”

限制网络访问

vpc:::eip

WAF

控制策略名称

功能

场景

严重程度

资源

RGC-GR_CONFIG_WAF_INSTANCE_POLICY_NOT_EMPTY

WAF防护域名未配置防护策略,视为“不合规”。

限制网络访问

waf:::cloudInstance

RGC-GR_CONFIG_WAF_POLICY_NOT_EMPTY

WAF防护策略未配置防护规则,视为“不合规”。

限制网络访问

waf:::policy
父主题: 控制策略参考

相关文档