适用于金融行业的合规实践
该示例模板中对应的合规规则的说明如下表所示:
合规规则 | 规则中文名称 | 涉及云服务 | 规则描述 |
|---|---|---|---|
access-keys-rotated | IAM用户的AccessKey在指定时间内轮换 | iam | IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. |
as-group-elb-healthcheck-required | 弹性伸缩组使用弹性负载均衡健康检查 | as | 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” |
css-cluster-https-required | CSS集群启用HTTPS | css | CSS集群未启用https,视为“不合规” |
css-cluster-in-vpc | CSS集群绑定指定VPC资源 | css | CSS集群未与指定的vpc资源绑定,视为“不合规” |
cts-kms-encrypted-check | CTS追踪器通过KMS进行加密 | cts | CTS追踪器未通过KMS进行加密,视为“不合规” |
cts-lts-enable | CTS追踪器启用事件分析 | cts | CTS追踪器未启用事件分析,视为“不合规” |
cts-obs-bucket-track | CTS追踪器追踪指定的OBS桶 | cts | 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
cts-support-validate-check | CTS追踪器打开事件文件校验 | cts | CTS追踪器未打开事件文件校验,视为“不合规” |
cts-tracker-exists | 创建并启用CTS追踪器 | cts | 账号未创建CTS追踪器,视为“不合规” |
ecs-instance-in-vpc | ECS资源属于指定虚拟私有云ID | ecs,vpc | 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
ecs-instance-no-public-ip | ECS资源不能公网访问 | ecs | ECS资源具有公网IP,视为“不合规” |
eip-unbound-check | 弹性公网IP未进行任何绑定 | vpc | 弹性公网IP未进行任何绑定,视为“不合规” |
elb-tls-https-listeners-only | ELB监听器配置HTTPS监听协议 | elb | 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
function-graph-concurrency-check | 函数工作流的函数并发数在指定范围内 | fgs | FunctionGraph函数并发数不在指定的范围内,视为“不合规” |
iam-group-has-users-check | IAM用户组添加了IAM用户 | iam | IAM用户组未添加任意IAM用户,视为“不合规” |
iam-password-policy | IAM用户密码策略符合要求 | iam | IAM用户密码强度不满足密码强度要求,视为“不合规” |
iam-root-access-key-check | IAM账号存在可使用的访问密钥 | iam | 账号存在可使用的访问密钥,视为“不合规” |
iam-user-group-membership-check | IAM用户归属指定用户组 | iam | IAM用户不属于指定IAM用户组,视为“不合规” |
iam-user-last-login-check | IAM用户在指定时间内有登录行为 | iam | IAM用户在指定时间范围内无登录行为,视为“不合规” |
iam-user-mfa-enabled | IAM用户开启MFA | iam | IAM用户未开启MFA认证,视为“不合规” |
kms-rotation-enabled | KMS密钥启用密钥轮换 | kms | KMS密钥未启用密钥轮换,视为“不合规” |
mfa-enabled-for-iam-console-access | Console侧密码登录的IAM用户开启MFA认证 | iam | 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” |
mrs-cluster-in-vpc | MRS集群属于指定VPC | mrs | 指定虚拟私有云ID,不属于此VPC的MRS集群,视为“不合规” |
mrs-cluster-kerberos-enabled | MRS集群开启kerberos认证 | mrs | MRS集群未开启kerberos认证,视为“不合规” |
mrs-cluster-no-public-ip | MRS集群未绑定弹性公网IP | mrs | MRS集群绑定弹性公网IP,视为“不合规” |
private-nat-gateway-authorized-vpc-only | NAT私网网关绑定指定VPC资源 | nat | NAT私网网关未与指定的VPC资源绑定,视为“不合规” |
rds-instance-multi-az-support | RDS实例支持多可用区 | rds | RDS实例仅支持一个可用区,视为“不合规” |
rds-instance-no-public-ip | RDS实例不具有弹性公网IP | rds | RDS资源具有弹性公网IP,视为“不合规” |
root-account-mfa-enabled | 根账号开启MFA认证 | iam | 根账号未开启MFA认证,视为“不合规” |
stopped-ecs-date-diff | 关机状态的ECS未进行任意操作的时间检查 | ecs | 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” |
volume-unused-check | 云硬盘闲置检测 | evs | 云硬盘未挂载给任何云服务器,视为“不合规” |
volumes-encrypted-check | 已挂载的云硬盘开启加密 | ecs,evs | 已挂载的云硬盘未进行加密,视为“不合规” |
vpc-acl-unused-check | 未与子网关联的网络ACL | vpc | 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” |
vpc-flow-logs-enabled | VPC启用流日志 | vpc | 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
vpc-sg-ports-check | 安全组端口检查 | vpc | 当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” |
vpn-connections-active | VPN连接状态为“正常” | vpnaas | VPN连接状态不为“正常”,视为“不合规” |
waf-instance-policy-not-empty | WAF防护域名配置防护策略 | waf | WAF防护域名未配置防护策略,视为“不合规” |
