应保证网络设备的业务处理能力满足业务高峰期需要。
安全通信网络 - 网络架构
是
您可以通过VPC控制台,定期查看当前资源配额使用情况。
应保证网络各个部分的带宽满足业务高峰期需要。
安全通信网络 - 网络架构
否
您可以根据业务实际情况在创建实例是申请带宽,云监控支持通过监控弹性公网IP支持网络带宽监控。另可以配置 DDoS 原生防护能力,保障业务高可用性
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
安全通信网络 - 网络架构
是
您可以基于业务需求划分不同的安全域,配置IP地址范围、配置路由表和网关等。
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
安全通信网络 - 网络架构
否
您需要配置ACL访问控制策略,可配置云防火墙实现VPC内部东西流量隔离,提升VPC安全性。
应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。
安全通信网络 - 网络架构
是
您需要配置负载均衡产品,保障在流量波动情况下不中断对外服务。
应采用密码技术保证通信过程中数据的完整性。
安全通信网络 - 通信传输
是
您需要设置TLS,保障互联网通信的安全性和数据完整性。
应采用密码技术保证通信过程中数据的保密性。
安全通信网络 - 通信传输
是
您需要设置TLS,保障互联网通信的安全性和数据完整性。
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
安全通信网络 - 可信验证
是
您可以通过IPSEC VPN远程访问,使业务数据可以在公网上通过IP加密信道进行传输,同时访问使用SSL VPN,保障通信链路中数据的保密性。
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
安全区域边界 - 边界防护
否
因该指标只要求“可”,不是强制要求项。
应能够对非授权设备私自联到内部网络的行为进行限制或检查。
安全区域边界 - 边界防护
否
您需要配置ACL访问控制策略,访问控制粒度为端口级。可以通过云防火墙对VPC间的访问流量进行检测和控制。
应能够对内部用户非授权联到外部网络的行为进行限制或检查。
安全区域边界 - 边界防护
否
您需要部署第三方网络接入控制系统,限制运维终端等设备非法接入到内部网络,云防火墙支持云服务器从内对外访问控制策略配置。
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
安全区域边界 - 边界防护
是
部署云防火墙实现南北向和东西向访问的网络流量分析,全网流量可视化,对主动外联行为的分析和阻断,配置开通、变更白名单策略。
部署云安全中心实现非授权联到外部恶意域名、IP地址的行为进行检查和拦截。
如果是IDC环境,您需要根据云下资产对象,独立部署第三方网络接入控制系统。
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
安全区域边界 - 访问控制
否
您可以根据云下无线网络环境,部署第三方网络接入控制系统,配置禁用无线网卡的策略,无线网络的使用按照客户需求和具体应用场景而定应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
安全区域边界 - 访问控制
否
云服务客户配置ACL访问控制策略,访问控制粒度为端口级。
部署云防火墙实现统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,达到端口级访问控制粒度。
应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
安全区域边界 - 访问控制
否
您需要根据业务需求优化访问控制列表。
部署云防火墙实现策略命中计数功能,确保没有无效的冗余策略,云防火墙访问控制策略可配置优先级,优化访问控制列表。
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
安全区域边界 - 访问控制
否
您需要根据业务需求配置恰当的访问控制策略表。
部署云防火墙实现对进出访问控制策略进行严格设置,访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。
应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
安全区域边界 - 访问控制
否
部署云防火墙实现跨VPC数据流的应用协议、内容的访问控制。
部署WEB应用防火墙实现应用级协议和内容访问控制。
部署DDoS高防实现所有业务流量进行清洗,支持网络四层和七层防护。
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
安全区域边界 - 入侵防范
否
部署云安全中心实现网络流量和主机中的入侵行为和文件样本进行实时检测和防御。
部署云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。
部署Web应用防火墙实现流量检测、过滤、清洗后再代理转发到应用服务器。
部署DDoS高防实现抵御各类基于网络层、传输层及应用层的DDoS攻击,秒级启动流量清洗,过滤掉攻击流量支持全自动检测和攻击策略匹配,实时防护,清洗服务可用性99.95%,可定制99.99%。
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
安全区域边界 - 入侵防范
否
部署云安全中心实现主机系统层和应用层的主动外联和恶意攻击行为,对进程、网络异常行为进行预警。
部署云防火墙实现检测东西向流量,配置相应的安全策略,阻断防止从内部发起的网络攻击行为。
应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
安全区域边界 - 入侵防范
否
部署云安全中心实现挖矿、勒索、蠕虫、DDoS木马等基于新型网络攻击的攻击预警。
云防火墙对云上进出网络的恶意流量进行实时检测与阻断,支持防御挖矿蠕虫等新型网络攻击,并通过积累大量恶意攻击样本,形成精准防御规则;云防火墙入侵检测功能支持发现挖矿蠕虫感染事件。
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
安全区域边界 - 入侵防范
否
部署云安全中心实现检测到威胁时,记录事件账号/源地址、攻击类型、攻击时间、事件级别以及处置建议,同时支持自动化攻击溯源,展示攻击过程。
部署云防火墙实现检测攻击行为,提供网络阻断功能,记录风险级别、事件名称、防御状态、源IP、目的IP、方向、判断来源、发生时间和动作。
部署Web应用防火墙实现HTTP和HTTPS流量攻击,记录攻击事件类型、攻击URL、来源IP、目的Host、时间、Get请求内容和拦截动作。
部署DDoS高防实现DDoS攻击时,记录攻击类型、攻击目标、攻击时间、攻击流量峰值和清洗防护结果。
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
安全区域边界 - 恶意代码和垃圾邮件防范
否
部署云安全中心实现蠕虫病毒、勒索病毒、木马、网站后门等恶意代码的检测和隔离清除,定期升级相关恶意代码规则库。
部署云防火墙实现入侵防护和恶意代码防范。
部署Web应用防火墙实现流量恶意代码检测提供恶意代码检测功能,恶意代码规则库定期更新。
应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
安全区域边界 - 恶意代码和垃圾邮件防范
是
您需求加固自身邮件服务器具备防垃圾邮件功能或部署第三方邮件防护系统。
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
安全区域边界 - 安全审计
否
部署云安全中心实现主机登录日志、进程启动、网络连接、端口快照、账户快照、暴力破解、网络会话、DNS解析、WEB会话、安全告警、漏洞和基线日志进行审计。
部署云防火墙实现日志审计模块记录所有流量日志、事件日志和操作日志。
部署Web应用防火墙对攻击日志支持日志实时查询分析。
部署堡垒机实现对云端虚拟主机ECS资产进行运维权限管控及运维审计。
部署数据库审计实现对云上数据库访问行为进行监控,分析危险操作及可疑行为。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
安全区域边界 - 安全审计
否
部署云安全中心实现检测到威胁时,记录事件账号/源地址、攻击类型、攻击时间、事件级别以及处置建议。
部署云防火墙实现日志记录事件被扫描到的时间、威胁类型、出/入方向、源IP和目的IP、应用类型、严重性等级以及动作状态等信息;
部署Web应用防火墙实现记录攻击事件类型、攻击URL、来源IP、目的Host、时间、Get请求内容和拦截动作。
部署DDoS高防实现检测到DDoS攻击时,记录攻击类型、攻击目标、攻击时间、攻击流量峰值和清洗防护结果。
部署堡垒机实现日志记录,包括重要性、时间、日志类型、日志内容、用户、源IP地址和结果。
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
安全区域边界 - 安全审计
否
部署云安全中心、云防火墙、Web应用防火墙、DDoS高防、堡垒机和数据库审计等安全产品实现日志分析功能,依托日志服务产品,可存储6个月内的日志数据提供实时日志分析能力。
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
安全区域边界 - 安全审计
否
部署云安全中心、云防火墙、Web应用防火墙、DDoS高防、堡垒机和数据库审计等安全产品实现日志分析功能,依托日志服务产品,可存储6个月内的日志数据提供实时日志分析能力。
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
安全区域边界 - 可信验证
是
部署云安全中心实现云上所有资产安全事件的综合分析。
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
安全计算环境 - 身份鉴别
否
因该指标只要求“可”,不是强制要求项。
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
安全计算环境 - 身份鉴别
否
部署云安全中心实现对云服务客户登录的配置和密码复杂度进行定期安全检查,并提供安全建议并进行预警。
部署堡垒机实现口令策略支持8个字符以上,必须包含大写字母、小写字母、数字及特殊符号,用户身份有唯一标识,口令90天定期跟换,新用户强制更改口令。
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
安全计算环境 - 身份鉴别
否
部署堡垒机实现登录失败处理功能配置,建议配置云服务客户最大登录失败5次,临时锁定30分钟,登录连接超时时间为30分钟。
部署云安全中心实现登录失败防御配置,支持云服务客户配置最大登录失败10次数,临时阻断连接1天、3天和7天。
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
安全计算环境 - 身份鉴别
否
部署堡垒机实现远程连接至云服务器时,采用安全的SSH方式进行远程登录。
部署云安全中心实现对远程管理的配置进行检查,防止不安全的配置导致传输被窃听。
应对登录的用户分配账户和权限。
安全计算环境 - 访问控制
否
部署堡垒机实现作为唯一入口管理服务器,支持包括虚拟MFA、短信验证码在内的多因子认证。
部署云安全中心实现对云平台配置提供基线核查,能够实时发现主账号双因素认证风险。
应重命名或删除默认账户,修改默认账户的默认口令。
安全计算环境 - 访问控制
否
您需求根据业务应用系统进行安全配置。需基于RAM对云服务进行合理授权。
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
安全计算环境 - 访问控制
否
您需要根据自身安全基线重命名或删除多余过期账户,或增强其口令。
部署云安全中心实现安全基线的持续检查,告警
应授予管理用户所需的最小权限,实现管理用户的权限分离。
安全计算环境 - 访问控制
否
部署堡垒机实现云服务客户对无用、多余账户会锁定或删除管理。
部署云安全中心实现对平台账户进行安全配置检查。
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
安全计算环境 - 访问控制
否
部署堡垒机实现基于用户角色分配权限,实现三权分立,角色分为超级管理员、审计员和运维员。
部署云安全中心实现对账户权限配置的安全检查,云服务客户权限分离的检查。
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
安全计算环境 - 访问控制
是
您需要基于云产品配置指南和业务应用系统需求合理配置。
应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问。
安全计算环境 - 访问控制
是
您需要基于云产品配置指南和业务应用系统需求合理配置。
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
安全计算环境 - 安全审计
否
因现使用的操作系统安全级别无法达到B类强制保护级,操作系统侧自身暂无法实现强制访问控制。
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
安全计算环境 - 安全审计
否
部署堡垒机实现对所有云服务客户的虚拟主机操作进行审计,系统自身日志本地保存。
部署数据库审计实现对数据库风险操作行为进行记录,提供细粒度审计数据库访问行为。
部署云安全中心实现对账户9登录进行记录,提供细粒度审计登录时间、登录账户、登录结果的记录,并通过报表进行实时监控预警。
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
安全计算环境 - 安全审计
否
部署堡垒机实现日志记录,包括重要性、时间、日志类型、日志内容、用户、源IP地址和结果。
部署数据库审计实现多维度线索分析,包括会话行为、SQL行为、风险行为和政策性报表。
部署云安全中心实现日志记录,包括主机登录日志、进程启动、网络连接、账户快照、端口快照、DNS、Web访问、网站会话、云平台操作等日志结果。
应对审计进程进行保护,防止未经授权的中断。
安全计算环境 - 安全审计
否
部署堡垒机、数据库审计实现日志实时推送至日志服务,审计记录可按需调整存储空间,支持6个月以上保存期。
部署云安全中心实现日志记录保存期为6个月,同时支持对操作审计日志配置进行基线核查。
应遵循最小安装的原则,仅安装需要的组件和应用程序。
安全计算环境 - 入侵防范
否
部署堡垒机、数据库审计实现日志实时推送至日志服务。
部署云安全中心实现对操作审计日志配置进行基线核查。
应关闭不需要的系统服务、默认共享和高危端口。
安全计算环境 - 入侵防范
否
云安全中心客户端在上线前,均经过内部的安全审核,并进行安全加固,遵循最小化安装原则。
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
安全计算环境 - 入侵防范
否
部署云安全中心实现对主机、SLB、RDS、OSS等云产品进行高危配置、端口的基线检查。
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
安全计算环境 - 入侵防范
是
部署云安全中心实现联动云平台IP白名单、安全组的能力,对网络IP、端口、协议进行管理和限制。
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
安全计算环境 - 入侵防范
否
您需对业务系统对输入数据的有效性进行验证,过滤特殊字符。
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
安全计算环境 - 入侵防范
否
部署云安全中心实现漏洞修复,组件支持Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞和应急漏洞的一键修复功能,支持安全基线检测策略,支持平台安全配置等检查,能够实时检测已知漏洞。
部署漏洞扫描实现资产威胁检测,发现云服务客户业务系统关联资产,实现自动化漏洞渗透测试和敏感内容监测。
进行渗透测试服务实现模拟黑客对云服务客户业务系统进行安全测试,发现安全缺陷和漏洞,并提出修复建议。
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
安全计算环境 - 恶意代码和垃圾邮件防范
否
部署云安全中心实现检测到对重要节点入侵行为并进行告警,主要包括异常登录检测、网站后门查杀(Webshell)、主机异常行为检测(进程异常行为和异常网络连接检测)、主机系统及应用的关键文件篡改检测和异常账号检测等。
部署Web应用防火墙实现将Web流量引流到WAF上,由WAF将流量进行检测、过滤、清洗后再代理转发到应用服务器。
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
安全计算环境 - 可信验证
是
部署云安全中心通过安全加固镜像部署代理,实现对恶意的代码实时拦截功能,在系统内核层面,识别恶意代码,并进行主动拦截。
应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
安全计算环境 - 数据完整性
是
您需要在使用云产品支持常用产品开启加密链路功能。
应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
安全计算环境 - 数据完整性
是
您需要在使用阿里云产品时,启用各云产品自带的完整性校验功能。
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
安全计算环境 - 数据保密性
是
您需要在使用阿里云产品时,如SLB、CDN、OSS、RDS等常用产品时开启加密链路功能。
证书服务支持云上签发第三方CA证书颁发机构的SSL证书,实现Https。
应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
安全计算环境 - 数据保密性
是
您需选择、配置恰当的存储加密方式。
应提供重要数据的本地数据备份与恢复功能。
安全计算环境 - 数据备份恢复
是
您需对重要的数据进行本地备份。
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
安全计算环境 - 数据备份恢复
是
您需根据自身重要数据和业务数据配置恰当备份策略,实现实时备份。
应提供重要数据处理系统的热冗余,保证系统的高可用性。
安全计算环境 - 数据备份恢复
是
云产品基于飞天分布式操作系统高可用架构,存储产品支持高可用性,支持用于基于业务处理能力,按照需求动态调整资源,保证系统高可用。
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
安全计算环境 - 剩余信息保护
是
阿里云对存储过云服务客户数据的内存和磁盘,一旦释放和回收,其上的残留信息将被自动进行零值覆盖,对于重用或报废的物理设备,对存储介质进行覆写、消磁或折弯等数据清除处理。
应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
安全计算环境 - 剩余信息保护
是
阿里云支持不同云服务客户内存和持久化存储空间相对独立,当资源释放时,云服务客户空间会被释放和清除。
应仅采集和保存业务必需的用户个人信息。
安全计算环境 - 个人信息保护
否
您需根据部署的应用系统功能建设相应的个人信息清除机制。
部署敏感数据保护实现对个人信息进行发现、分类和保护。
应禁止未授权访问和非法使用用户个人信息。
安全计算环境 - 个人信息保护
是
由您根据部署的应用系统功能建设相应的个人信息保护机制。
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
安全管理中心 - 系统管理
否
您需基于用户角色进行配置,实现用户三权分立。
应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
安全管理中心 - 系统管理
否
您需基于云产品配置指南根据业务需求合理配置系统资源。
部署云安全中心实现对系统异常进行处理。
应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。
安全管理中心 - 审计管理
否
您需基于用户角色进行配置,实现用户三权分立。
部署堡垒机实现对审计管理操作进行审计。
部署数据库,实现对数据库操作进行审计。
应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
安全管理中心 - 审计管理
否
您需基于云产品配置指南根据业务需求合理配置。
部署堡垒机实现对审计记录进行查询、分析和管理,审计记录支持转存到日志服务中。
部署数据库实现对审计记录进行查询、分析和管理,审计记录存储在日志服务中。
应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。
安全管理中心 - 安全管理
是
您需基于用户角色,实现用户三权分立。安全管理员基于安全控制台通过安全产品对云资源进行安全管理操作。
应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
安全管理中心 - 安全管理
否
您需基于用户角色,实现用户三权分立。
部署云安全中心实现基线核查、安全策略、访问控制策略统一配置。
应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控。
安全管理中心 - 集中管控
是
您需制定安全策略,划分特定的管理区域。
应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
安全管理中心 - 集中管控
是
您需基于云产品配置指南根据业务需求合理配置。阿里云支持全链路通信进行SSL/TLS安全加密处理,通过Https进行管理。
应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。
安全管理中心 - 集中管控
是
您需基于云产品配置指南根据业务需求合理配置。云监控支持针对负载均衡、弹性IP地址、DDoS高防、云服务器等运行状态创建监测规则,并进行集中监测和报警。
应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
安全管理中心 - 集中管控
是
您需基于云产品配置指南根据业务需求合理配置。云安全产品支持将自身采集安全审计记录在安全控制台上展示,并支持将审计记录统一保存到云服务客户指定的日志服务或存储空间,日志留存时间满足6个月。
应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
安全管理中心 - 集中管控
是
您需基于云产品配置指南根据业务需求合理配置。
部署云安全中心实现云平台配置核查、漏洞检测和修复、基线核查、云安全补丁修复,并对安全相关事件进行集中管理。
应能对网络中发生的各类安全事件进行识别、报警和分析。
安全管理中心 - 集中管控
否
您需基于云产品配置指南根据业务需求合理配置。
部署云安全中心实现自动采集计算、数据库、负载均衡等等多种资产,收集多种日志数据,对重点安全威胁时管控,对各类安全事件进行识别、分析和告警,告警方式包括短信、邮件、钉钉等。
部署云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。
部署Web应用防火墙实现将Web流量引流到WAF上,由WAF将流量进行检测、过滤、清洗后再代理转发到应用服务器。
部署DDoS高防实现所有业务流量进行清洗,支持网络四层和七层防护。
应在虚拟化网络边界部署访问控制机制,并设置访问控制规则。
安全区域边界 - 访问控制
否
您需配置恰当访问控制策略。
部署云防火墙互联网边界防火墙实现统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,访问控制粒度可达端口级。
应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。
安全区域边界 - 访问控制
否
您需配置恰当访问控制策略。
部署云防火墙实现对VPC边界防火墙、互联网边界防火墙以及主机边界防火墙的访问控制,用于检测和控制两个VPC间的通信流量、限制主机对内、外双向的未授权访问和ECS实例间的未授权访问。
应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启。
安全区域边界 - 安全审计
否
您需基于云产品配置指南根据业务需求合理配置。
部署堡垒机实现操作审计、职权管控、安全认证功能,记录所有运维操作记录、Linux命令审计、Windows操作录像。
部署云安全中心实现云服务客户所有资产安全事件的综合分析。
应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
安全区域边界 - 安全审计
是
您需基于云产品配置指南根据业务需求合理配置。可通过阿里云RAM授权和AccessKey,实现密钥访问阿里云API,如果双方均为合法证书则建立双向加密通道。
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。
安全计算环境 - 身份鉴别
是
您需基于云产品配置指南根据业务需求合理配置。云服务商对云服务客户系统的操作需提交工单,通过云服务客户授权后进行操作,相关操作行为通过云服务客户的管理平台进行审计。
应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定。
安全计算环境 - 数据完整性
是
您需遵守业务数据不出境的规定,若出境遵循国家相关规定。
云服务客户应在本地保存其业务数据的备份。
安全计算环境 - 数据备份恢复
是
您需进行本地备份业务数据。
应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计。
安全建设管理 - 集中管控
否
您需基于云产品配置指南根据业务需求合理配置。
部署堡垒机实现对所有云服务客户的操作进行审计,操作系统自身日志本地保存。
部署数据库审计实现对数据库风险操作行为进行记录,提供细粒度审计数据库访问行为。云客户安全能力
应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
安全建设管理 - 集中管控
是
您需基于云产品配置指南根据业务需求合理配置。云监控支持针对负载均衡、弹性IP地址、DDoS高防、云服务器等运行状态创建监测规则,并进行集中监测和报警。
应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。
安全建设管理 - 云服务商选择
是
您可以根据业务需求选择合规的云服务商。阿里云提供的公共云平台安全保护等级为第三级,并通过公安部指定测评机构等保测评。
应在服务水平协议中规定云服务的各项服务内容和具体技术指标。
安全建设管理 - 云服务商选择
是
您在选定云服务商后,需签订相关服务等级协议。阿里云各安全产品均提供服务等级协议。
应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
安全建设管理 - 云服务商选择
是
您在选定云服务商后,需签订相关服务等级协议。阿里云各安全产品均提供服务等级协议。
应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。
安全建设管理 - 云服务商选择
是
您在选定云服务商后,需签订相关服务等级协议。阿里云各安全产品均提供服务等级协议。
应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。
安全建设管理 - 云服务商选择
是
您在选定云服务商后,需签订相关服务等级协议。阿里云各安全产品均提供服务等级协议。
应确保供应商的选择符合国家有关规定。
安全建设管理 - 供应链管理
是
您在选择第三方安全产品接入时,应明确供应商是否满足国家相关规定。阿里公共云平台基础设施供应商选择均按照国家相关规定,对供应商资质、诚信以及产品情况进行审核筛选,阿里云提供云服务均按照国家相关规定对外售卖。
