强烈建议控制策略
APIG
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_APIG_INSTANCES_AUTHORIZATION_TYPE_CONFIGURED | APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。 | 加密传输中的数据 | 中 | apig:::instance | 不涉及 |
RGC-GR_CONFIG_APIG_INSTANCES_SSL_ENABLED | APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。 | 加密传输中的数据 | 中 | apig:::instance | 不涉及 |
AS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_AS_GROUP_IN_VPC | AS弹性伸缩组绑定的VPC不在对应VPC列表,视为“不合规”。 | 限制网络访问 | 高 | as:::group |
BMS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_BMS_KEY_PAIR_SECURITY_LOGIN | 裸金属服务器未启用密钥对安全登录,视为“不合规”。 | 使用强身份验证 | 高 | bms:::instance | 不涉及 |
CBR
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CBR_BACKUP_ENCRYPTED_CHECK | CBR服务的备份未被加密,视为“不合规”。 | 加密静态数据 | 高 | cbr:::checkpoint | 不涉及 |
CCE
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CCE_ENDPOINT_PUBLIC_ACCESS | CCE集群资源具有公网IP,视为“不合规”。 | 限制网络访问 | 中 | cce:::cluster | 不涉及 |
RGC-GR_CONFIG_CCE_CLUSTER_IN_VPC | CCE集群绑定的VPC不在对应VPC列表,视为“不合规”。 | 限制网络访问 | 高 | cce:::cluster |
CCM
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_EXPIRATION_CHECK | 私有CA在指定时间内过期,视为“不合规”。 | 加密传输中的数据 | 中 | ccm:::privateCertificate | 不涉及 |
RGC-GR_CONFIG_PCA_CERTIFICATE_EXPIRATION_CHECK | 私有证书在指定时间内到期,视为“不合规”。 | 加密传输中的数据 | 中 | ccm:::privateCertificate | 不涉及 |
CDN
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CDN_ENABLE_HTTPS_CERTIFICATE | CDN未使用HTTPS,视为“不合规”。 | 加密传输中的数据 | 严重 | cdn:::domain | 不涉及 |
RGC-GR_CONFIG_CDN_ORIGIN_PROTOCOL_NO_HTTP | CDN回源方式未使用HTTPS,视为“不合规”。 | 加密传输中的数据 | 严重 | cdn:::domain | 不涉及 |
RGC-GR_CONFIG_CDN_SECURITY_POLICY_CHECK | CDN使用TLSv1.2以下的版本,视为“不合规”。 | 加密传输中的数据 | 高 | cdn:::domain | 不涉及 |
RGC-GR_CONFIG_CDN_USE_MY_CERTIFICATE | CDN使用了自有证书,视为“不合规”。 | 加密传输中的数据 | 高 | cdn:::domain | 不涉及 |
CFW
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CFW_POLICY_NOT_EMPTY | CFW防火墙未配置防护策略,视为“不合规”。 | 限制网络访问 | 中 | cfw:::eipProtection | 不涉及 |
CodeArts Build
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CLOUDBUILDSERVER_ENCRYPTION_PARAMETER_CHECK | CodeArts编译构建下的项目,如果设置了未加密参数(除了预定义参数),视为“不合规”。 | 加密静态数据 | 中 | codearts:::deployApplication | 不涉及 |
CSS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CSS_CLUSTER_AUTHORITY_ENABLE | CSS集群未启用认证,视为“不合规”。 | 使用强身份验证 | 严重 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_DISK_ENCRYPTION_CHECK | CSS集群未开启磁盘加密,视为“不合规”。 | 加密静态数据 | 高 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_KIBANA_NOT_ENABLE_WHITE_LIST | CSS集群kibana白名单设置为对所有IP开放,视为“不合规”。 | 限制网络访问 | 严重 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_NO_PUBLIC_ZONE | CSS集群开启公网访问,视为“不合规”。 | 加密静态数据 | 高 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_NOT_ENABLE_WHITE_LIST | CSS集群白名单设置为对所有IP开放,视为“不合规”。 | 限制网络访问 | 严重 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_SECURITY_MODE_ENABLE | CSS集群未开启安全模式,视为“不合规”。 | 强制执行最低权限 | 高 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_HTTPS_REQUIRED | CSS集群未启用https,视为“不合规”。 | 加密传输中的数据 | 中 | css:::cluster | 不涉及 |
CTS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CTS_KMS_ENCRYPTED_CHECK | CTS追踪器未通过KMS进行加密,视为“不合规”。 | 加密静态数据 | 中 | cts:::tracker | 不涉及 |
RGC-GR_CONFIG_CTS_SUPPORT_VALIDATE_CHECK | CTS追踪器未打开事件文件校验,视为“不合规”。 | 保护数据完整性 | 中 | cts:::tracker | 不涉及 |
DCS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_DCS_MEMCACHED_ENABLE_SSL | dcs memcached资源可以公网访问,但不支持SSL时,视为“不合规”。 | 加密传输中的数据 | 高 | dcs:::instance | 不涉及 |
RGC-GR_CONFIG_DCS_MEMCACHED_NO_PUBLIC_IP | dcs memcached资源存在公网IP,视为“不合规”。 | 限制网络访问 | 高 | dcs:::instance | 不涉及 |
RGC-GR_CONFIG_DCS_MEMCACHED_PASSWORD_ACCESS | dcs memcached资源不需要密码访问,视为“不合规”。 | 使用强身份验证 | 中 | dcs:::instance | 不涉及 |
RGC-GR_CONFIG_DCS_REDIS_ENABLE_SSL | dcs redis资源可以公网访问,但不支持SSL时,视为“不合规”。 | 限制网络访问 | 高 | dcs:::instance | 不涉及 |
RGC-GR_CONFIG_DCS_REDIS_HIGH_TOLERANCE | dcs redis资源不是高可用时,视为“不合规”。 | 提高可用性 | 低 | dcs:::instance | 不涉及 |
RGC-GR_CONFIG_DCS_REDIS_NO_PUBLIC_IP | dcs redis资源存在公网IP,视为“不合规”。 | 限制网络访问 | 高 | dcs:::instance | 不涉及 |
RGC-GR_CONFIG_DCS_REDIS_PASSWORD_ACCESS | dcs redis资源不需要密码访问,视为“不合规”。 | 使用强身份验证 | 中 | dcs:::instance | 不涉及 |
RGC-GR_CONFIG_DCS_MEMCACHED_IN_VPC | 指定虚拟私有云ID,不属于此VPC的dcs memcached资源,视为“不合规”。 | 限制网络访问 | 中 | dcs:::instance | |
RGC-GR_CONFIG_DCS_REDIS_IN_VPC | 指定虚拟私有云ID,不属于此VPC的dcs redis资源,视为“不合规”。 | 限制网络访问 | 中 | dcs:::instance |
DDS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_DDS_INSTANCE_ENABLE_SSL | DDS实例未开启SSL,视为“不合规”。 | 加密传输中的数据 | 高 | dds:::instance | 不涉及 |
RGC-GR_CONFIG_DDS_INSTANCE_HAS_EIP | DDS实例绑定了公网IP,视为“不合规”。 | 限制网络访问 | 高 | dds:::instance | 不涉及 |
RGC-GR_CONFIG_DDS_INSTANCE_PORT_CHECK | DDS实例的端口包含被禁止的端口,视为“不合规”。 | 限制网络访问 | 高 | dds:::instance | 不涉及 |
DEW
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CSMS_SECRETS_ROTATION_SUCCESS_CHECK | CSMS凭据轮转失败,视为“不合规”。 | 强制执行最低权限 | 高 | csms:::secret | 不涉及 |
RGC-GR_CONFIG_KMS_NOT_SCHEDULED_FOR_DELETION | KMS密钥处于“计划删除”状态,视为“不合规”。 | 保护数据完整性 | 严重 | kms:::key | 不涉及 |
RGC-GR_CONFIG_KMS_ROTATION_ENABLED | KMS密钥未启用密钥轮换,视为“不合规”。 | 加密静态数据 | 中 | kms:::key | 不涉及 |
DMS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PRIVATE_SSL | DMS kafkas队列未打开内网SSL加密访问,视为“不合规”。 | 加密传输中的数据 | 中 | dms:::kafkaInstance | 不涉及 |
RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PUBLIC_SSL | DMS kafkas队列未打开公网SSL加密访问,视为“不合规”。 | 加密传输中的数据 | 中 | dms:::kafkaInstance | 不涉及 |
RGC-GR_CONFIG_DMS_KAFKA_PUBLIC_ACCESS_ENABLED_CHECK | DMS kafkas队列开启公网访问,视为“不合规”。 | 限制网络访问 | 高 | dms:::kafkaIZnstance | 不涉及 |
RGC-GR_CONFIG_DMS_RABBITMQ_NOT_ENABLE_SSL | DMS rabbitmqs队列未打开SSL加密访问,视为“不合规”。 | 加密静态数据 | 高 | dms:::rabbitmqInstance | 不涉及 |
RGC-GR_CONFIG_DMS_ROCKETMQ_NOT_ENABLE_SSL | DMS reliabilitys队列未打开SSL加密访问,视为“不合规”。 | 加密静态数据 | 高 | dms:::rocketmqInstance | 不涉及 |
RGC-GR_CONFIG_DMS_RABBITMQ_PUBLIC_ACCESS_ENABLED_CHECK | DMS RabbitMQ实例开启公网访问,视为“不合规”。 | 限制网络访问 | 中 | dms:::rabbitmqInstance | 不涉及 |
RGC-GR_CONFIG_DMS_RELIABILITY_PUBLIC_ACCESS_ENABLED_CHECK | DMS RocketMQ实例开启公网访问,视为“不合规”。 | 限制网络访问 | 中 | dms:::rocketmqInstance | 不涉及 |
DRS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_DRS_DATA_GUARD_JOB_NOT_PUBLIC | 数据复制服务实时灾备任务使用公网网络,视为“不合规”。 | 限制网络访问 | 高 | drs:::job | 不涉及 |
RGC-GR_CONFIG_DRS_MIGRATION_JOB_NOT_PUBLIC | 数据复制服务实时迁移任务使用公网网络,视为“不合规”。 | 限制网络访问 | 高 | drs:::job | 不涉及 |
RGC-GR_CONFIG_DRS_SYNCHRONIZATION_JOB_NOT_PUBLIC | 数据复制服务实时同步任务使用公网网络,视为“不合规”。 | 限制网络访问 | 高 | drs:::job | 不涉及 |
DWS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_DWS_ENABLE_KMS | DWS集群未启用KMS加密,视为“不合规”。 | 加密静态数据 | 中 | dws:::cluster | 不涉及 |
RGC-GR_CONFIG_DWS_ENABLE_SSL | DWS集群未启用SSL加密连接,视为“不合规”。 | 加密传输中的数据 | 中 | dws:::cluster | 不涉及 |
RGC-GR_CONFIG_DWS_CLUSTERS_NO_PUBLIC_IP | DWS集群绑定公网IP,视为“不合规”。 | 限制网络访问 | 高 | dws:::cluster | 不涉及 |
RGC-GR_CONFIG_DWS_CLUSTERS_IN_VPC | DWS集群绑定的VPC不在对应VPC列表,视为“不合规”。 | 限制网络访问 | 高 | dws:::cluster |
ECS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ECS_INSTANCE_KEY_PAIR_LOGIN | ECS未配置密钥对,视为“不合规”。 | 限制网络访问 | 高 | ecs:::instanceV1 | 不涉及 |
RGC-GR_CONFIG_ECS_INSTANCE_NO_PUBLIC_IP | ECS资源具有公网IP,视为“不合规”。 | 限制网络访问 | 中 | compute:::instance | 不涉及 |
RGC-GR_CONFIG_ECS_MULTIPLE_PUBLIC_IP_CHECK | ECS资源具有多个公网IP,视为“不合规”。 | 限制网络访问 | 低 | compute:::instance | 不涉及 |
RGC-GR_CONFIG_ECS_INSTANCE_AGENCY_ATTACH_IAM_AGENCY | ECS实例未附加IAM委托,视为“不合规”。 | 强制执行最低权限 | 低 | ecs:::instanceV1 | 不涉及 |
RGC-GR_CONFIG_ECS_IN_ALLOWED_SECURITY_GROUPS | 指定高危安全组ID列表,未绑定指定标签的ECS关联其中任意安全组,视为“不合规”。 | 限制网络访问 | 高 | ecs:::instanceV1 |
ECS、VPC
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ECS_INSTANCE_IN_VPC | 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规”。 | 限制网络访问 | 中 | ecs:::instanceV1 |
ELB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ELB_LOADBALANCERS_NO_PUBLIC_IP | ELB资源具有公网IP,视为“不合规”。 | 限制网络访问 | 中 | elb:::loadBalancer | 不涉及 |
RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY | 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。 | 加密传输中的数据 | 中 | elb:::listener | 不涉及 |
RGC-GR_CONFIG_ELB_PREDEFINED_SECURITY_POLICY_HTTPS_CHECK | 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规”。 | 限制网络访问 | 中 | elb:::loadBalancer | 不涉及 |
RGC-GR_CONFIG_ELB_HTTP_TO_HTTPS_REDIRECTION_CHECK | 检查HTTP监听器是否配置了向HTTPS监听器的重定向,如果未配置,视为“不合规”。 | 限制网络访问 | 中 | elb:::listener | 不涉及 |
EVS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK_BY_DEFAULT | 云硬盘未进行加密,视为“不合规”。 | 加密静态数据 | 高 | evs:::volume | 不涉及 |
EVS、ECS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK | 已挂载的云硬盘未进行加密,视为“不合规”。 | 加密静态数据 | 低 | evs:::volume | 不涉及 |
Functiongraph
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_FUNCTION_GRAPH_PUBLIC_ACCESS_PROHIBITED | 函数工作流的函数允许访问公网,视为“不合规”。 | 限制网络访问 | 严重 | fgs:::function | 不涉及 |
GaussDB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_INSTANCE_IN_VPC | 指定虚拟私有云ID,不属于此VPC的gaussdb资源,视为“不合规”。 | 限制网络访问 | 中 | gaussdb:::opengaussInstance | |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_NO_PUBLIC_IP_CHECK | gaussdb实例如绑定EIP,视为“不合规”。 | 限制网络访问 | 高 | gaussdb:::opengaussInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_SSL_ENABLE | gaussdb实例未启用SSL数据传输加密,视为“不合规”。 | 加密传输中的数据 | 高 | gaussdb:::opengaussInstance | 不涉及 |
GeminiDB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_DISK_ENCRYPTION | GeminiDB未使用磁盘加密,视为“不合规”。 | 加密静态数据 | 中 | gaussdb:::mongoInstance | 不涉及 |
IAM
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_IAM_ROOT_ACCESS_KEY_CHECK | 账号存在可使用的访问密钥,视为“不合规”。 | 强制执行最低权限 | 严重 | identity:::accessKey | 不涉及 |
RGC-GR_CONFIG_ROOT_ACCOUNT_MFA_ENABLED | 根账号未开启MFA认证,视为“不合规”。 | 强制执行最低权限 | 高 | identity:::acl | 不涉及 |
RGC-GR_CONFIG_IAM_GROUP_HAS_USERS_CHECK | IAM用户组未添加任意IAM用户,视为“不合规”。 | 强制执行最低权限 | 中 | identity:::group | 不涉及 |
RGC-GR_CONFIG_IAM_USER_ACCESS_MODE | IAM用户同时开启控制台访问和API访问,视为“不合规”。 | 强制执行最低权限 | 中 | identity:::user | 不涉及 |
RGC-GR_CONFIG_IAM_USER_CONSOLE_AND_API_ACCESS_AT_CREATION | 对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”。 | 管理机密 | 中 | identity:::user | 不涉及 |
RGC-GR_CONFIG_IAM_USER_SINGLE_ACCESS_KEY | IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 | 管理机密 | 高 | identity:::user | 不涉及 |
RGC-GR_CONFIG_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | 通过console密码登录的IAM用户未开启MFA认证,视为“不合规”。 | 强制执行最低权限 | 中 | identity:::user | 不涉及 |
RGC-GR_CONFIG_IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS | IAM策略admin权限(*:*:*或*:*或*),视为“不合规”。 | 强制执行最低权限 | 高 | identity:::protectionPolicy | 不涉及 |
RGC-GR_CONFIG_IAM_ROLE_HAS_ALL_PERMISSIONS | IAM自定义策略具有allow的*:*权限,视为“不合规”。 | 强制执行最低权限 | 低 | identity:::role | 不涉及 |
RGC-GR_CONFIG_IAM_USER_MFA_ENABLED | IAM用户未开启MFA认证,视为“不合规”。 | 强制执行最低权限 | 中 | identity:::user | 不涉及 |
RGC-GR_CONFIG_ACCESS_KEYS_ROTATED | IAM用户的访问密钥未在指定天数内轮转,视为“不合规”。 | 强制执行最低权限 | 高 | identity:::accessKey | 不涉及 |
RGC-GR_CONFIG_IAM_PASSWORD_POLICY | IAM用户密码强度不满足密码强度要求,视为“不合规”。 | 使用强身份验证 | 高 | identity:::user | 不涉及 |
RGC-GR_CONFIG_IAM_USER_LAST_LOGIN_CHECK | IAM用户在指定时间范围内无登录行为,视为“不合规”。 | 强制执行最低权限 | 低 | identity:::user | 不涉及 |
RGC-GR_CONFIG_IAM_POLICY_IN_USE | IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。 | 强制执行最低权限 | 低 | identity:::protectionPolicy | 不涉及 |
RGC-GR_CONFIG_IAM_ROLE_IN_USE | IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 | 强制执行最低权限 | 低 | identity:::role | 不涉及 |
RGC-GR_CONFIG_IAM_USER_LOGIN_PROTECTION_ENABLED | IAM用户未开启登录保护,视为“不合规”。 | 使用强力身份验证 | 中 | identity:::user | 不涉及 |
RGC-GR_CONFIG_IAM_POLICY_BLACKLISTED_CHECK | IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。 | 强制执行最低权限 | 高 |
| |
RGC-GR_CONFIG_IAM_USER_GROUP_MEMBERSHIP_CHECK | IAM用户不属于指定IAM用户组,视为“不合规”。 | 强制执行最低权限 | 中 | identity:::user | |
RGC-GR_CONFIG_IAM_AGENCIES_MANAGED_POLICY_CHECK | IAM委托未绑定指定的IAM策略和权限,视为“不合规”。 | 强制执行最低权限 | 高 | identity:::agency |
IMS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_IMS_IMAGES_ENABLE_ENCRYPTION | 私有镜像未开启加密,视为“不合规”。 | 加密静态数据 | 高 | images:::image | 不涉及 |
MRS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_MRS_CLUSTER_KERBEROS_ENABLED | MRS集群未开启kerberos认证,视为“不合规”。 | 使用强身份验证 | 中 | mrs:::cluster | 不涉及 |
RGC-GR_CONFIG_MRS_CLUSTER_NO_PUBLIC_IP | MRS集群绑定公网IP,视为“不合规”。 | 限制网络访问 | 中 | mrs:::cluster | 不涉及 |
RGC-GR_CONFIG_MRS_CLUSTER_IN_ALLOWED_SECURITY_GROUPS | 指定安全组ID,不属于此安全组的mrs资源,视为“不合规”。 | 限制网络访问 | 中 | mrs:::cluster | |
RGC-GR_CONFIG_MRS_CLUSTER_IN_VPC | 指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规”。 | 限制网络访问 | 中 | mrs:::cluster |
NAT
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_PRIVATE_NAT_GATEWAY_AUTHORIZED_VPC_ONLY | NAT私网网关未与指定的VPC资源绑定,视为“不合规”。 | 限制网络访问 | 高 | nat:::privateGateway |
OBS
RDS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_RDS_INSTANCE_NO_PUBLIC_IP | RDS资源具有公网IP,视为“不合规”。 | 限制网络访问 | 高 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCES_ENABLE_KMS | 未开启存储加密的rds资源,视为“不合规”。 | 加密静态数据 | 低 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_PORT_CHECK | RDS实例的端口包含被禁止的端口,视为“不合规”。 | 限制网络访问 | 高 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_SSL_ENABLE | RDS实例未启用SSL加密通讯,视为“不合规”。 | 加密静态数据 | 高 | rds:::instance | 不涉及 |
SFS Turbo
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_SFSTURBO_ENCRYPTED_CHECK | 弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规”。 | 加密静态数据 | 低 | sfsturbo:::dir | 不涉及 |
TaurusDB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_IN_VPC | TaurusDB实例绑定的VPC不在对应VPC列表,视为“不合规”。 | 限制网络访问 | 高 | gaussdb:::mysqlInstance | |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_NO_PUBLIC_IP_CHECK | TaurusDB实例如绑定弹性公网IP,视为“不合规”。 | 限制网络访问 | 高 | gaussdb:::mysqlInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_SSL_ENABLE | TaurusDB实例未启用SSL数据传输加密,视为“不合规”。 | 加密传输中的数据 | 高 | gaussdb:::mysqlInstance | 不涉及 |
VPC
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_VPC_SG_PORTS_CHECK | 当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规”。 | 限制网络访问 | 高 | networking:::secgroup | 不涉及 |
RGC-GR_CONFIG_VPC_ACL_UNUSED_CHECK | 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”。 | 保护配置 | 低 | vpc:::networkAcl | 不涉及 |
RGC-GR_CONFIG_VPC_DEFAULT_SG_CLOSED | 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。 | 限制网络访问 | 高 | networking:::secgroup | 不涉及 |
RGC-GR_CONFIG_VPC_SG_RESTRICTED_SSH | 当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规”。 | 限制网络访问 | 高 | networking:::secgroup | 不涉及 |
RGC-GR_CONFIG_VPC_SG_ATTACHED_PORTS | 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规” | 限制网络访问 | 中 | vpc:::eip | 不涉及 |
RGC-GR_CONFIG_VPC_SG_BY_WHITE_LIST_PORTS_CHECK | 除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规”。 | 限制网络访问 | 高 | vpc:::eip | |
RGC-GR_CONFIG_VPC_SG_RESTRICTED_COMMON_PORTS | 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6端口(::/0),视为“不合规”。 | 限制网络访问 | 高 | vpc:::eip | 不涉及 |
WAF
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_WAF_INSTANCE_POLICY_NOT_EMPTY | WAF防护域名未配置防护策略,视为“不合规”。 | 限制网络访问 | 中 | waf:::cloudInstance | 不涉及 |
RGC-GR_CONFIG_WAF_POLICY_NOT_EMPTY | WAF防护策略未配置防护规则,视为“不合规”。 | 限制网络访问 | 中 | waf:::policy | 不涉及 |
RGC-GR_CONFIG_WAF_INSTANCE_ENABLE_BLOCK_POLICY | WAF实例未启用拦截模式防护策略,视为“不合规”。 | 限制网络访问 | 中 | waf:::cloudInstance | 不涉及 |
RGC-GR_CONFIG_WAF_INSTANCE_ENABLE_PROTECT | 如果账号未配置并启用WAF防护策略的域名防护,视为“不合规”。 | 限制网络访问 | 中 | waf:::cloudInstance | 不涉及 |
RGC-GR_CONFIG_WAF_POLICY_ENABLE_GEOIP | 如果账号不存在启用地理位置访问控制规则的waf服务防护策略,视为“不合规”。 | 限制网络访问 | 中 | waf:::policy | 不涉及 |
