阿裡雲配置審計 - 規則篇

阿裡雲配置審計是一款面向資源的審計服務類産品。它可以主動發現使用者資源，持續監控并記錄資源配置變更，能夠提供有效的資源管控服務。并基于“合規即代碼”的理念，将資源審計邏輯實作放置于阿裡雲函數計算運作環境之上，使得持續性的合規審計、安全評估分析成為可能。

更多的阿裡雲Config介紹請參考

阿裡雲配置審計 - 全解析

阿裡雲配置審計(以下簡稱Config)提供了持續的合規審計功能，以審計規則作為落地合規審計的具體政策，基于自動化的手段幫助企業使用者完善資源合規審計制度，確定“等級2.0”具體實施的快速落地。它一方面提供了豐富的托管審計規則，提供基礎的合規審計功能，開箱即用，可以滿足絕大部分使用者需求；另外使用者可以開發自定義的審計規則，完善内部最佳實踐和指南。

為支援後續合規審計規則的持續建設，結合“等保2.0”的具體要求和阿裡雲Config已具備的能力，通過對現有的審計規則進行總結，分類劃分，以友善使用者的了解。

1. 網絡安全

網絡安全是一個比較大的範疇，涉及網際網路時代工作、生活的方方面面。“等保2.0”對身份鑒别、通路控制、資料完整性和保密性等方面都提出了要求；從阿裡集團層面也出台了《阿裡雲安全白皮書》，通過《阿裡雲企業上雲安全指引》助力企業使用者更好的上雲。

以下從阿裡雲Config審計規則的角度，将涉及安全審計的規則劃分為：公網通路控制、使用者資料安全、賬号和權限安全、高可用支援等幾個層面：

1.1 公網通路安全

要求最大限度的限制公網通路，篩選有效使用者，減少風險來源，保證流量入口的安全，進而達到保護雲産品服務網絡環境的目的；

舉例：

• 雲産品如：ECS/SLB/EIP等是否具有公網位址；

  相關規則：ecs-instance-no-public-ip（檢查ECS執行個體是否綁定公網Ip），eip-attached（檢查彈性公網IP是否綁定到ECS或SLB執行個體上），slb-no-public-ip（檢查slb執行個體是否綁定公網Ip）

• 雲産品如：ECS/RDS/OSS/FC等是否允許0.0.0.0/0公網通路；

  相關規則：sg-public-acces-check（檢查安全組是否配置為0.0.0.0/0），rds-public-access-check（檢查RDS執行個體是否允許公網通路）

• 雲産品如：ECS/RDS/FC等産品是否啟用VPC；

  相關規則：ecs-instances-in-vpc（檢查ECS執行個體是否已關聯到VPC執行個體），rds-instances-in-vpc（檢查RDS執行個體是否已關聯到VPC執行個體）

• 雲産品如：ECS/RDS是否附加到安全組；

  相關規則：ecs-instance-attached-security-group（檢查ECS執行個體是否已關聯到安全組）

• VPC中是否啟用了可直接路由到網際網路的路由表；

• ECS是否開啟3389、22等風險端口；

  相關規則：sg-risky-ports-check（檢查安全組是否開啟指定端口）

• RDS是否啟用IP通路白名單；

  相關規則：rds-instance-enabled-security-ip-list（檢查RDS執行個體是否啟用安全白名單功能）

• 是否允許OSS Bucket公網讀寫；

  相關規則：oss-bucket-public-read-prohibited（檢測 OSS Bucket是否公開讀取通路權限），oss-bucket-public-write-prohibited（檢測 OSS Bucket是否公開寫入通路權限）

1.2 使用者資料安全

對于産生使用者資料的雲産品，要求對核心資料采用加密計算、雙向強身份認證、備援備份等技術方案，保證使用者資料的完整性，可用性和機密性；其中備援備份方案主要有：資料庫備份，Binlog備份，OSS跨域備份，系統快照備份等。

同時需要保證對涉及核心服務的資源執行個體如：ECS執行個體/SLB監聽器/OSS Bucket等啟用必要的删除保護，防止使用者誤操作；

涉及雲産品：

彈性計算類産品：

雲伺服器ECS

，

專有主控端DDH

等；

資料庫類産品：

雲資料庫RDS MySQL版 雲資料庫MongoDB版 雲資料庫POLARDB版 雲資料庫Redis版

存儲類産品：

對象存儲OSS 檔案存儲NAS

網絡類産品：

負載均衡SLB

應用服務類産品：

日志服務SLS

• 彈性計算類産品：是否對ECS磁盤是否啟用了加密；

  相關規則：ecs-disk-encrypted（檢查處于連接配接狀态的ECS磁盤是否已加密）

• 是否對存儲類産品如：OSS Bucket中使用者資料啟用服務端加密；

  相關規則：oss-bucket-server-side-encryption-enabled（檢查OSS Bucket是否啟用服務端加密）

• 是否SLB監聽器面向公網是否啟用SSL加密協定；

  相關規則：slb-listener-https-enabled（檢查負載均衡是否開通HTTPS監聽）

• 彈性計算類産品：ECS執行個體是否啟用快照執行個體備份；
• 資料庫類産品是否啟用資料備份，Binlog備份政策；
• 存儲類産品如：OSS Bucket是否啟用跨區域複制；

• 特定資源類型如：ECS/SLB等是否啟用删除保護；

  相關規則：ecs-instance-deletion-protection-enabled（檢查ECS執行個體是否開啟釋放保護開關），slb-delete-protection-enabled（檢查SLB執行個體是否開啟釋放保護開關）

1.3 賬号和權限安全

主要對阿裡雲RAM賬号權限體系提出要求，強化登入認證流程，啟用多因素認證。同時對使用者的操作權限滿足“最小權限原則”，賦予每一個合法動作最小的權限，保護資料以及功能避免受到錯誤或者惡意行為的破壞。

通路控制RAM

• 主賬号不能建立AK；

• 賬号是否啟用MFA多因素認證；

  相關規則：ram-user-mfa-check（檢查RAM使用者是否開通MFA二次驗證登入）

• 賬号密碼是否符合複雜度要求，是否設定過期政策；
• RAM授權政策是否附加到至少一個使用者/使用者組，角色上，確定及時删除無效規則；
• 是否存在指定天數内有未使用的AK，確定及時删除無效AK；
• RAM使用者組必須包含一個以上使用者；

1.4 高可用支援

此處主要強調對軟體系統服務的高可用。

高可用HA（High Availability）是分布式系統架構設計中必須考慮的因素之一，指通過設計減少系統不能提供服務的時間。在實踐中要求啟用雲産品具備的高可用、跨地域容災等特性，以消除伺服器單點故障，提升備援，保證服務的穩定性。

涉及産品：

負載均衡 SLB

；

域名類産品：

雲解析DNS

• 資料庫類産品如：RDS資料庫執行個體是否支援高可用；

  相關規則：rds-high-availability-category（檢查RDS執行個體是否具備高可用能力）

• 是否基于負載均衡SLB提供網絡服務；
• 是否啟用多SLB執行個體的高可用功能；

1.5 健康檢查

要求對部分支援健康檢測的産品啟用自身監控檢查或雲監控功能；

雲監控（CloudMonitor） 是一項針對阿裡雲資源和網際網路應用進行監控的服務。雲監控服務可用于收集擷取阿裡雲資源的監控名額或使用者自定義的監控名額，探測服務可用性，以及針對名額設定警報。使您全面了解阿裡雲上的資源使用情況、業務的運作狀況和健康度，并及時收到異常報警做出反應，保證應用程式順暢運作。

大資料類産品：

實時計算 大資料計算服務 · MaxCompute

2. 可審計

“等保2.0”中明确要求對軟體服務中的使用者行為日志和安全事件資訊進行記錄和審計。阿裡雲部分雲産品提供了操作審計功能，此部分審計規則主要用于評估操作審計的開啟狀态。

3.1 行為審計

要求啟用阿裡雲操作審計産品；

阿裡雲操作審計（ActionTrail操作審計） 是阿裡雲提供的雲賬号資源操作記錄的查詢和投遞服務，可用于安全分析、資源變更追蹤以及合規性審計等場景。

3.1 資料庫審計

要求啟用資料庫類産品執行個體的審計功能；

資料庫審計 服務是一款專業、主動、實時監控資料庫安全的審計産品，可用于審計阿裡雲平台中的RDS雲資料庫、ECS自建資料庫和NoSQL資料庫。

3.2 日志記錄

部分雲産品具備将自身運作日志投遞到阿裡雲日志服務SLS的功能，開啟此功能有助于了解雲産品内部運作機制，同時基于SLS具備的大資料聚合分析能力，可監控和分析雲産品運作狀态，提升産品性能。

雲資料庫 Redis版

3. 内部實踐

使用者可定義審計規則，從成本考慮，性能要求等方面沉澱企業自身的最佳實踐和指南。

3.1 降低成本

要求在保證産品穩定運作的同時有效的降低使用者的運作成本；

• ECS磁盤是否處在使用狀态；

  相關規則：ecs-disk-in-use（檢查ECS磁盤是否在使用中）

• ECS執行個體符合特定的執行個體要求，CPU/記憶體/GPU/存儲等要求；

  相關規則：ecs-cpu-min-count-limit（檢查ECS執行個體的CPU數量不能低于某門檻值），ecs-gpu-min-count-limit（檢查ECS執行個體的GPU數量不能低于某門檻值），ecs-memory-min-size-limit（檢查ECS執行個體的記憶體容量不小于某門檻值），rds-cpu-min-count-limit（檢查 RDS 執行個體的CPU數量不小于某門檻值），rds-instance-storage-min-size-limit（檢查RDS執行個體的存儲空間不小于某門檻值），rds-memory-min-size-limit（檢查RDS執行個體的記憶體容量不小于某門檻值）

3.2 性能優化

充分的了解和認知雲産品最佳實踐經驗能夠有效的提升雲産品的運作效能，充分發揮雲産品的潛力。

• OSS Bucket資料通路啟用全球加速；
• 如在特殊的應用場景下如：深度學習要求保證特殊的硬體配置GPU等；

4. 總結

以上我們對阿裡雲Config審計規則進行了分類，總體而言對一個資源類型的審計規則建設可以簡化為以下幾個方面：

4.1 網絡環境

• 否存在公網位址，允許公網通路；
• 是否處于VPC網絡環境中；
• 是否啟用了IP通路限制功能；

4.2 使用者資料

• 使用者資料是否啟用備份、加密政策，保證完整性；
• 存儲類産品是否加密和跨區域備份；

4.3 高可用

• 如是資料庫類産品：如RDS/Open Search等是否支援高可用；
• 是否啟用健康檢測；

4.4 可審計

• 是否啟用了日志記錄功能；
• 如是資料庫類産品：是否啟用了SQL審計功能；

伴随這阿裡雲Config可支援資源類型的持續增長，審計規則也在持續建設中；未來我們希望提供一個開放性的規則市場，能夠吸引更多的雲産品的加入以豐富審計規則，建立一個較為完整的審計生态，讓合規審計的概念深入人心。