新加坡金融行业的最佳实践
应用场景
新加坡金融管理局针对云计算的监管预期,制定了MAS准则,用于规范金融机构的实践,关于该指南的更多信息,请参见Technology Risk Management Guidelines。
默认规则
该示例模板中对应的合规规则的说明如下表所示:
合规规则 | 规则中文名称 | 涉及云服务 | 规则描述 |
|---|---|---|---|
access-keys-rotated | IAM用户的AccessKey在指定时间内轮换 | iam | IAM用户的访问密钥未在指定天数内轮转,视为“不合规” |
account-part-of-organizations | 账号加入组织 | organizations | 账号未加入组织中,视为“不合规” |
pca-certificate-authority-expiration-check | 检查私有CA是否过期 | pca | 私有CA在指定时间内过期,视为“不合规” |
pca-certificate-expiration-check | 检查私有证书是否过期 | pca | 私有证书在指定时间内到期,视为“不合规” |
elb-http-to-https-redirection-check | 监听器资源HTTPS重定向检查 | elb | 检查HTTP监听器是否配置了向HTTPS监听器的重定向,如果未配置,视为“不合规” |
apig-instances-execution-logging-enabled | APIG专享版实例配置访问日志 | apig | APIG专享版实例未配置访问日志,视为“不合规” |
apig-instances-ssl-enabled | APIG专享版实例域名均关联SSL证书 | apig | APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” |
as-group-elb-healthcheck-required | 弹性伸缩组使用弹性负载均衡健康检查 | as | 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” |
as-group-ipv6-disabled | 弹性伸缩组未配置IPv6带宽 | as | 弹性伸缩组绑定IPv6共享带宽,视为“不合规” |
cts-lts-enable | CTS追踪器启用事件分析 | cts | CTS追踪器未转储到LTS,视为“不合规” |
cts-tracker-exists | 创建并启用CTS追踪器 | cts | 账号未创建并启用CTS追踪器,视为“不合规” |
cts-kms-encrypted-check | CTS追踪器通过KMS进行加密 | cts | CTS追踪器未通过KMS进行加密,视为“不合规” |
cts-support-validate-check | CTS追踪器打开事件文件校验 | cts | CTS追踪器未打开事件文件校验,视为“不合规” |
cts-obs-bucket-track | CTS追踪器追踪指定的OBS桶 | cts | 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
cts-tracker-enabled-security | CTS追踪器符合安全最佳实践 | cts | 不存在满足安全最佳实践的CTS追踪器,视为“不合规” |
kms-rotation-enabled | KMS密钥启用密钥轮换 | kms | KMS密钥未启用密钥轮换,视为“不合规” |
cloudbuildserver-encryption-parameter-check | CodeArts编译构建下的项目未设置参数加密 | codeartsbuild | CodeArts编译构建下的项目,如果设置了未加密参数(除了预定义参数),视为“不合规” |
rds-instance-enable-backup | RDS实例开启备份 | rds | 未开启备份的rds资源,视为“不合规” |
drs-data-guard-job-not-public | 数据复制服务实时灾备任务不使用公网网络 | drs | 数据复制服务实时灾备任务使用公网网络,视为“不合规” |
drs-migration-job-not-public | 数据复制服务实时迁移任务不使用公网网络 | drs | 数据复制服务实时迁移任务使用公网网络,视为“不合规” |
drs-synchronization-job-not-public | 数据复制服务实时同步任务不使用公网网络 | drs | 数据复制服务实时同步任务使用公网网络,视为“不合规” |
volumes-encrypted-check-by-default | 云硬盘开启加密 | evs | 云硬盘未进行加密,视为“不合规” |
ecs-instance-no-public-ip | ECS资源不能公网访问 | ecs | ECS资源具有弹性弹性公网IP,视为“不合规” |
ecs-instance-agency-attach-iam-agency | ECS资源附加IAM委托 | ecs | ECS实例未附加IAM委托,视为“不合规” |
sfsturbo-encrypted-check | 高性能弹性文件服务通过KMS进行加密 | sfsturbo | 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” |
css-cluster-in-vpc | CSS集群绑定指定VPC资源 | css | CSS集群未与指定的vpc资源绑定,视为“不合规” |
css-cluster-disk-encryption-check | CSS集群开启磁盘加密 | css | CSS集群未开启磁盘加密,视为“不合规” |
elb-multiple-az-check | ELB资源使用多AZ部署 | elb | 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区,视为“不合规” |
elb-tls-https-listeners-only | ELB监听器配置HTTPS监听协议 | elb | 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
mrs-cluster-kerberos-enabled | MRS集群开启kerberos认证 | mrs | MRS集群未开启kerberos认证,视为“不合规” |
mrs-cluster-no-public-ip | MRS集群未绑定弹性公网IP | mrs | MRS集群绑定弹性公网IP,视为“不合规” |
volumes-encrypted-check | 已挂载的云硬盘开启加密 | ecs, evs | 已挂载的云硬盘未进行加密,视为“不合规” |
iam-customer-policy-blocked-kms-actions | IAM策略中不授权KMS的禁止的action | iam, access-analyzer-verified | IAM策略中授权KMS的任一阻拦action,视为“不合规” |
iam-group-has-users-check | IAM用户组添加了IAM用户 | iam | IAM用户组未添加任意IAM用户,视为“不合规” |
iam-password-policy | IAM用户密码策略符合要求 | iam | IAM用户密码强度不满足密码强度要求,视为“不合规” |
iam-policy-no-statements-with-admin-access | IAM策略不具备Admin权限 | iam | IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” |
iam-role-has-all-permissions | IAM自定义策略具备所有权限 | iam | IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规” |
iam-root-access-key-check | 根用户存在可使用的访问密钥 | iam | 根用户存在可使用的访问密钥,视为“不合规” |
iam-user-group-membership-check | IAM用户归属指定用户组 | iam | IAM用户不属于指定IAM用户组,视为“不合规” |
iam-user-mfa-enabled | IAM用户开启MFA | iam | IAM用户未开启MFA认证,视为“不合规” |
iam-user-last-login-check | IAM用户在指定时间内有登录行为 | iam | IAM用户在指定时间范围内无登录行为,视为“不合规” |
vpc-sg-restricted-ssh | 安全组入站流量限制SSH端口 | vpc | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” |
ecs-instance-in-vpc | ECS资源属于指定虚拟私有云ID | ecs, vpc | 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
kms-not-scheduled-for-deletion | KMS密钥不处于“计划删除”状态 | kms | KMS密钥处于“计划删除“状态,视为“不合规” |
function-graph-public-access-prohibited | 函数工作流的函数不允许访问公网 | fgs | 函数工作流的函数允许访问公网,视为“不合规” |
function-graph-inside-vpc | 函数工作流使用指定VPC | fgs | 函数工作流未使用指定VPC,视为“不合规” |
mfa-enabled-for-iam-console-access | Console侧密码登录的IAM用户开启MFA认证 | iam | 通过console密码登录的IAM用户未开启MFA认证,视为“不合规” |
css-cluster-https-required | CSS集群启用HTTPS | css | CSS集群未启用https,视为“不合规” |
rds-instance-no-public-ip | RDS实例不具有弹性公网IP | rds | RDS资源具有弹性公网IP,视为“不合规” |
rds-instance-logging-enabled | RDS实例配备日志 | rds | 未配备任何日志的rds资源,视为“不合规” |
rds-instance-multi-az-support | RDS实例支持多可用区 | rds | RDS实例仅支持一个可用区,视为“不合规” |
rds-instances-enable-kms | RDS实例开启存储加密 | rds | 未开启存储加密的rds资源,视为“不合规” |
dws-enable-snapshot | DWS集群启用自动快照 | dws | DWS集群未启用自动快照,视为“不合规” |
gaussdb-instance-enable-backup | GaussDB实例开启自动备份 | gaussdb | 未开启资源备份的gaussdb资源,视为“不合规” |
gaussdb-mysql-instance-enable-backup | TaurusDB实例开启备份 | taurusdb | 未开启备份的TaurusDB资源,视为“不合规” |
gaussdb-nosql-enable-backup | GeminiDB开启备份 | gemini db | GeminiDB未开启备份,视为“不合规” |
dws-enable-kms | DWS集群启用KMS加密 | dws | DWS集群未启用KMS加密,视为“不合规” |
gaussdb-nosql-enable-disk-encryption | GeminiDB使用磁盘加密 | gemini db | GeminiDB未使用磁盘加密,视为“不合规” |
dws-maintain-window-check | DWS集群运维时间窗检查 | dws | DWS集群运维时间窗不满足配置,视为“不合规” |
dws-clusters-no-public-ip | DWS集群未绑定弹性公网IP | dws | DWS集群绑定弹性公网IP,视为“不合规” |
dws-enable-ssl | DWS集群启用SSL加密连接 | dws | DWS集群未启用SSL加密连接,视为“不合规” |
vpc-sg-restricted-common-ports | 安全组入站流量限制指定端口 | vpc | 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” |
root-account-mfa-enabled | 根用户开启MFA认证 | iam | 根用户未开启MFA认证,视为“不合规” |
csms-secrets-rotation-success-check | 检查CSMS凭据轮转成功 | csms | CSMS凭据轮转失败,视为“不合规” |
vpc-default-sg-closed | 默认安全组关闭出、入方向流量 | vpc | 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” |
vpc-flow-logs-enabled | VPC启用流日志 | vpc | 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
vpc-sg-ports-check | 安全组端口检查 | vpc | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规” |
vpn-connections-active | VPN连接状态为“正常” | vpnaas | VPN连接状态不为“正常”,视为“不合规” |
