阿里云安全合规检查清单，七个必须守住的防线

引言：安全不是事后补救，而是日常习惯

在云端，安全是共同责任。阿里云负责基础设施的安全，而你负责云上资产的安全-3-10。很多用户以为上了云就万事大吉，结果账号被盗、数据泄露、服务器被植入挖矿程序，教训惨痛。

本文基于阿里云平台安全最佳实践，整理了一份安全合规检查清单，帮你守住云端资产的七道防线-3-10。

二、防线一：账号安全

2.1 主账号开启多因素认证

阿里云主账号开启MFA，视为“合规”。建议为阿里云主账号开启多因素认证，降低账号被盗风险-3-10。

2.2 主账号不存在AccessKey

阿里云主账号不存在任何状态的AccessKey，视为“合规”。阿里云主账号AccessKey权限过大且不可缩小，一旦泄漏会造成灾难后果，建议使用RAM用户AccessKey并做好权限控制-3-10。

2.3 RAM用户安全配置

开启控制台访问功能的RAM用户登录设置中开启多因素认证设置或者已启用多因素认证，视为“合规”-3-10。

RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数，视为“合规”。默认值90天，若确认闲置请及时禁用-3-10。

RAM用户、RAM用户组、RAM角色均未赋予Resource为且Action为的Admin权限，视为“合规”-3-10。

三、防线二：网络安全

3.1 使用专有网络

如果未指定参数，则检查ECS实例的网络类型为专有网络；如果指定参数，则检查ECS实例的专有网络实例在指定参数范围内，视为“合规”。建议使用专有网络类型的ECS实例，实现最基本的网络隔离，保障云环境的网络安全-3-10。

3.2 安全组端口控制

当安全组入网网段设置为0.0.0.0/0时，指定协议的端口范围不包含指定风险端口，降低服务器登录密码被暴力破解风险，视为“合规”。默认检测风险端口为22、3389-3-10。

专有网络22/3389端口TCP/UDP协议的入方向规则目的地址未设置为0.0.0.0/0，降低服务器登录密码被暴力破解风险，视为“合规”-3-10。

3.3 CLB访问控制

CLB访问控制列表中不包含0.0.0.0/0条目，视为“合规”。建议非http/https服务启用访问控制，设置白名单-3-10。

CLB实例监听的端口不包含指定的风险端口，视为“合规”。不建议将22、3389等端口转发至公网-3-10。

四、防线三：数据安全

4.1 OSS访问控制

OSS存储空间的ACL不开启公共读写，视为“合规”。OSS存储空间开启公共读写权限后，任何访问者均可写入，将面临恶意注入的数据风险-3-10。

OSS存储空间的ACL不开启公共读，视为“合规”。OSS存储空间的公共读权限会增加存储数据在公网泄露的风险-3-10。

4.2 数据库访问控制

RDS实例不配置公网地址，视为“合规”。生产环境的RDS实例不推荐配置公网直接访问，容易被攻击或暴力破解-3-10。

MongoDB实例不开启公网或安全白名单不设置为允许任意来源访问，视为“合规”-3-10。

Redis实例不开启公网或安全白名单不设置为允许任意来源访问，视为“合规”-3-10。

五、防线四：数据加密

为API网关中开启公网访问的API请求开启HTTPS，对数据传输进行加密，视为“合规”-3-10。

CDN域名开启HTTPS协议，对数据传输进行加密，视为“合规”-3-10。

为PolarDB集群设置SSL，对数据传输进行加密，视为“合规”-3-10。

RDS实例开启SSL同时使用的TLS版本在参数指定的版本范围内，对数据传输进行加密，视为“合规”-3-10。

为Redis实例设置SSL，对数据传输进行加密，视为“合规”-3-10。

六、防线五：备份恢复

ECS磁盘设置了自动快照策略，视为“合规”。开启自动快照策略后，阿里云会自动按照预设的时间点和周期为云盘创建快照，遭遇病毒入侵或勒索后能够快速从安全事件中恢复-3-10。

MongoDB实例开启日志备份，视为“合规”。基于日志备份，您可以恢复数据到备份保留时间内的任意时间点-3-10。

PolarDB集群日志备份保留周期大于等于指定天数，视为“合规”。参数默认值30天-3-10。

RDS实例开启日志备份视为"合规"。建议开启日志备份-3-10。

Redis实例开启增量备份，视为“合规”。本规则只适用于类型为Tair或企业版的实例-3-10。

七、防线六：主机安全

通过在主机上安装云安全中心插件，为主机提供安全防护服务，视为“合规”。非运行中状态的实例不适用本规则-3-10。

使用密钥对登录Linux主机，视为“合规”。建议使用密钥对登录Linux主机，SSH密钥对是一种安全便捷的登录认证方式，不易被暴力破解-3-10。

八、防线七：持续合规

配置审计（Cloud Config）基于阿里云平台安全治理经验，覆盖了云平台基础的关键安全配置检查项，持续进行风险配置检测-3-10。

建议定期查看配置审计的合规报告，及时发现和修复不合规配置，让安全成为持续的过程，而非一次性的检查。

如果需要更深入咨询了解可以联系全球代理上TG:jinniuge  他们在云平台领域有更专业的知识和建议，他们有国际阿里云，国际腾讯云，国际华为云，aws亚马逊，谷歌云一级代理的渠道，客服1V1服务，支持免实名、免备案、免绑卡。开通即享专属VIP优惠、充值秒到账、官网下单享双重售后支持。不懂找他们就对了。