Pular para o conteúdo principal

Aliyun Regras

Total de regras: 317

Regras por Severidade

Alta Severidade (98 Regras)

ID da RegraNomeDescrição
ack-cluster-node-multi-zoneImplantação Multi-zona do Cluster ACKOs nós do cluster ACK devem ser distribuídos em 3 ou mais zonas de disponibilidade para alta disponibilidade.
ack-cluster-public-endpoint-checkVerificação de Endpoint Público do Cluster ACKClusters ACK não devem ter um endpoint público configurado, ou o listener SLB associado deve ter ACL habilitado.
acs-cluster-node-multi-zoneImplantação Multi-Zona de Nós do Cluster ACSOs nós do cluster ACS devem ser distribuídos em 3 ou mais zonas de disponibilidade para alta disponibilidade.
actiontrail-enabledActionTrail HabilitadoGarante que o ActionTrail está habilitado para registrar atividades da conta.
actiontrail-trail-intact-enabledTrilha ActionTrail Intacta HabilitadaA trilha ActionTrail deve estar habilitada e rastrear todos os tipos de eventos (Leitura e Escrita).
alb-acl-public-access-checkA ACL ALB Não Permite Acesso PúblicoGarante que as listas de controle de acesso ALB não contenham 0.0.0.0/0 (permitindo todos os IPs).
alb-all-listener-health-check-enabledVerificação de Integridade de Todos os Ouvintes ALB HabilitadaGarante que todos os ouvintes ALB tenham verificações de integridade habilitadas.
alb-delete-protection-enabledProteção contra Exclusão de Instância ALB HabilitadaGarante que as instâncias ALB tenham proteção contra exclusão habilitada.
alb-instance-multi-zoneImplantação Multi-zona da Instância ALBInstâncias ALB devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade. Se apenas uma zona for selecionada, uma falha na zona afetará a instância ALB e a estabilidade do negócio.
alb-instance-waf-enabledA Instância ALB Tem Proteção WAFGarante que as instâncias ALB tenham proteção WAF3 (Web Application Firewall) habilitada.
alb-server-group-multi-serverO Grupo de Servidores ALB Tem Múltiplos ServidoresGarante que os grupos de servidores ALB contenham pelo menos dois servidores backend para alta disponibilidade.
alidns-route-53-mx-checkRegistro MX DNS Tem SPF Válido no Registro TXT AssociadoGarante que os registros MX tenham registros TXT associados com valores SPF válidos para validação de e-mail.
api-gateway-group-force-httpsForçar HTTPS do Grupo de API GatewayGarante que os grupos de API Gateway com domínios personalizados públicos tenham redirecionamento forçado HTTPS habilitado.
bastionhost-instance-expired-checkVerificação de Expiração de Instância BastionHostAs instâncias BastionHost pré-pagas devem ter renovação automática habilitada.
cdn-domain-multiple-origin-serversMúltiplos Servidores de Origem do Domínio CDNOs domínios CDN devem ser configurados com múltiplos servidores de origem para alta disponibilidade e tolerância a falhas.
cr-instance-any-ip-access-checkInstância CR Sem Acesso de Qualquer IPGarante que as instâncias do Container Registry não tenham qualquer IP (0.0.0.0/0) em sua lista branca.
cr-repository-image-scanning-enabledVarredura de Imagem de Instância CR HabilitadaGarante que as instâncias do Container Registry tenham varredura de imagem habilitada para detecção de vulnerabilidades de segurança.
cr-repository-type-privateTipo de Repositório CR PrivadoGarante que os repositórios CR estejam definidos como PRIVADO.
dcdn-domain-multiple-origin-serversDomínio DCDN Múltiplos Servidores de OrigemOs domínios DCDN devem ser configurados com múltiplos servidores de origem para alta disponibilidade e tolerância a falhas.
eci-containergroup-environment-no-specified-keysGrupo de Contêineres ECI Não Contém Variáveis de Ambiente SensíveisGarante que os grupos de contêineres ECI não tenham variáveis de ambiente sensíveis como senhas ou chaves de acesso.
ecs-available-disk-encryptedCriptografia de Disco ECS HabilitadaGarante que todos os discos ECS estejam criptografados.
ecs-instance-attached-security-groupInstância ECS com Grupo de Segurança AnexadoSe a instância ECS estiver incluída no grupo de segurança especificado, a configuração é considerada conforme.
ecs-instance-deletion-protection-enabledProteção contra Exclusão de Instância ECS HabilitadaGarante que as instâncias ECS tenham proteção contra exclusão habilitada.
ecs-instance-enabled-security-protectionProteção de Segurança de Instância ECS HabilitadaGarante que as instâncias ECS tenham estratégia de aprimoramento de segurança habilitada.
ecs-instance-expired-checkVerificação de Expiração de Instância Pré-paga ECSInstâncias pré-pagas devem ter renovação automática habilitada para evitar interrupção do serviço devido à expiração.
ecs-instance-no-public-ipInstância ECS Não Deve Vincular IP PúblicoAs instâncias ECS não devem vincular diretamente IP público IPv4 ou IP elástico, considerado conforme.
ecs-launch-template-version-attach-security-groupVersão do Modelo de Inicialização ECS Anexa Grupos de SegurançaAs versões do modelo de inicialização ECS têm grupos de segurança configurados para instâncias, considerado conforme.
ecs-running-instance-no-public-ipInstância ECS Sem IP PúblicoAs instâncias ECS não devem ter um endereço IP público para reduzir a exposição direta à Internet.
ecs-security-group-egress-not-all-accessEgresso de Grupo de Segurança Não Definido como Acesso TotalA direção de egresso do grupo de segurança não deve ser definida para permitir todo o acesso (todos os protocolos, todas as portas, todos os destinos).
ecs-security-group-not-internet-cidr-accessIP de Origem de Ingresso de Grupo de Segurança Não Inclui IP PúblicoAs regras de ingresso do grupo de segurança com política de aceitação não devem ter IP de origem contendo IPs públicos da internet.
ecs-security-group-not-open-all-portIngress de Grupo de Segurança Não Abre Todas as PortasAs regras de ingresso do grupo de segurança não devem permitir todas as portas. Quando o intervalo de portas não está definido como -1/-1, é considerado conforme.
ecs-security-group-not-open-all-protocolIngress de Grupo de Segurança Não Abre Todos os ProtocolosAs regras de ingresso do grupo de segurança não devem permitir todos os protocolos. Quando o tipo de protocolo não está definido como ALL, é considerado conforme.
ecs-security-group-risky-ports-check-with-protocolVerificação de Portas de Risco do Grupo de Segurança com ProtocoloQuando a origem de entrada do grupo de segurança é definida como 0.0.0.0/0, o intervalo de portas não deve incluir portas de risco (22, 3389) para protocolos especificados (TCP/UDP), para reduzir o risco de ataques de força bruta.
ecs-security-group-white-list-port-checkVerificação de Ingresso de Porta Não na Lista Branca do Grupo de SegurançaExceto portas na lista branca (80), outras portas não devem ter regras de ingresso que permitam acesso de 0.0.0.0/0.
elasticsearch-instance-enabled-kibana-public-checkA Instância do Elasticsearch Kibana Não Habilita o Acesso PúblicoGarante que a instância do Elasticsearch Kibana não seja acessível a partir de redes públicas.
elasticsearch-instance-enabled-public-checkA Instância Elasticsearch Não Habilita Acesso PúblicoGarante que as instâncias Elasticsearch não sejam acessíveis de redes públicas.
elasticsearch-instance-node-not-use-specified-specA Instância Elasticsearch Não Usa Especificação DepreciadaGarante que as instâncias Elasticsearch não usem especificações de nó depreciadas ou não suportadas.
elasticsearch-instance-version-not-deprecatedA Instância do Elasticsearch Não Usa Versão ObsoletaGarante que as instâncias do Elasticsearch não estejam usando versões obsoletas ou EOL.
elasticsearch-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do ElasticsearchGarante que as instâncias Elasticsearch não tenham acesso público habilitado ou uma lista branca aberta.
ess-scaling-configuration-data-disk-encryptedCriptografia de Disco de Dados de Configuração de Escalonamento ESSAs configurações de escalonamento ESS devem habilitar a criptografia de disco de dados para proteger dados em repouso.
ess-scaling-configuration-sg-public-accessAcesso Público do Grupo de Segurança de Configuração de Escalonamento ESSOs grupos de segurança de configuração de escalonamento ESS não devem permitir acesso de 0.0.0.0/0 para prevenir acesso não autorizado.
ess-scaling-configuration-system-disk-encryptedCriptografia de Disco do Sistema da Configuração de Escalonamento ESSAs configurações de escalonamento ESS devem habilitar a criptografia do disco do sistema para proteger os dados do sistema em repouso.
fc-function-runtime-checkVerificação de Runtime de Função FCAs funções FC não devem usar runtimes depreciados que possam ter vulnerabilidades de segurança.
fc-trigger-http-not-anonymousVerificação de Autenticação do Gatilho HTTP FCOs gatilhos HTTP FC devem exigir autenticação para prevenir acesso não autorizado.
gpdb-instance-disk-encryption-enabledCriptografia de Disco GPDB HabilitadaGarante que as instâncias GPDB tenham criptografia de disco habilitada.
hbase-cluster-expired-checkVerificação de Expiração do Cluster HBaseOs clusters HBase pré-pagos devem ter renovação automática habilitada.
hbase-cluster-ha-checkHA do Cluster HBase HabilitadoGarante que os clusters HBase estejam configurados para Alta Disponibilidade (HA).
kafka-instance-disk-encryptedDisco de Instância Kafka CriptografadoA instância Kafka deve ter criptografia de disco habilitada durante a implantação para proteção de dados.
kafka-instance-public-access-checkAcesso Público do Kafka DesabilitadoGarante que as instâncias Kafka não tenham acesso à rede pública.
maxcompute-project-encryption-enabledCriptografia de Projeto MaxCompute HabilitadaGarante que os projetos MaxCompute tenham criptografia habilitada para proteger dados armazenados.
maxcompute-project-ip-whitelist-enabledLista Branca de IP do Projeto MaxCompute HabilitadaGarante que os projetos MaxCompute tenham uma lista branca de IP configurada para restringir o acesso.
mongodb-cluster-expired-checkVerificação de Expiração da Instância MongoDBAs instâncias MongoDB pré-pagas devem ter renovação automática habilitada.
mongodb-instance-class-not-sharedInstância MongoDB Usa Classe DedicadaGarante que as instâncias MongoDB usem classes de instância dedicadas ou exclusivas, não instâncias compartilhadas.
mongodb-min-maxconnections-limitMongoDB Atende aos Requisitos Mínimos de ConexãoGarante que as instâncias MongoDB forneçam pelo menos o número mínimo necessário de conexões.
mongodb-min-maxiops-limitMongoDB Atende aos Requisitos Mínimos de IOPSGarante que as instâncias MongoDB forneçam pelo menos o IOPS mínimo necessário.
mongodb-public-access-checkRestrição de Internet da Lista Branca MongoDBGarante que as listas brancas de IP de segurança MongoDB não contenham 0.0.0.0/0.
mongodb-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do MongoDBGarante que as instâncias MongoDB não tenham uma lista branca aberta (0.0.0.0/0).
mse-cluster-architecture-checkCluster MSE Tem Múltiplos NósGarante que os clusters MSE (Motor de Microserviços) tenham mais de 3 nós para alta disponibilidade.
mse-cluster-internet-checkO Cluster MSE Não Tem Acesso Público à InternetGarante que os clusters MSE não tenham acesso público à Internet habilitado.
mse-gateway-architecture-checkO Gateway MSE Tem Múltiplos NósGarante que os gateways MSE (Motor de Microserviços) tenham mais de 1 nó para alta disponibilidade.
nas-access-group-public-access-checkRestrição de IP do Grupo de Acesso NASGarante que as regras de acesso NAS não permitam 0.0.0.0/0.
nat-risk-ports-checkVerificação de Portas de Risco do Gateway NATOs mapeamentos DNAT do gateway NAT não devem expor portas arriscadas à internet para prevenir vulnerabilidades de segurança.
oss-bucket-anonymous-prohibitedAcesso Anônimo de Bucket OSS ProibidoGarante que o acesso anônimo esteja proibido para o bucket OSS.
oss-bucket-only-https-enabledApenas HTTPS de Bucket OSS HabilitadoO bucket OSS deve ter uma política que negue solicitações não HTTPS para garantir a segurança do transporte de dados.
oss-bucket-policy-no-any-anonymousA política de bucket OSS não concede permissões a usuários anônimosA política de bucket OSS não concede permissões de leitura ou gravação a usuários anônimos.
oss-bucket-policy-outside-organization-checkPolítica de Bucket OSS Sem Acesso Fora da OrganizaçãoGarante que as políticas de bucket OSS não concedam acesso a principais fora da organização.
oss-bucket-public-read-prohibitedLeitura Pública de Bucket OSS ProibidaBuckets OSS não devem permitir acesso de leitura público, a menos que especificamente necessário. O acesso de leitura público permite que qualquer pessoa acesse e baixe objetos no bucket.
oss-bucket-public-write-prohibitedEscrita Pública de Bucket OSS ProibidaBuckets OSS não devem permitir acesso de escrita público. O acesso de escrita público permite que qualquer pessoa faça upload, modifique ou exclua objetos no bucket, o que representa riscos significativos de segurança.
oss-bucket-server-side-encryption-enabledCriptografia do Lado do Servidor de Bucket OSS HabilitadaBuckets OSS devem ter criptografia do lado do servidor habilitada para proteger dados em repouso. A criptografia do lado do servidor usa KMS ou AES256 para criptografar dados armazenados no OSS.
parameter-sensitive-noecho-checkParâmetros Sensíveis Devem Ter NoEchoParâmetros de template que contêm informações sensíveis (senhas, chaves de API, segredos) devem ser protegidos definindo NoEcho como true ou usando valores válidos de AssociationProperty para evitar que sejam exibidos em texto plano.
polardb-cluster-enabled-tdeTDE de Cluster PolarDB HabilitadoGarante que os clusters PolarDB tenham Transparent Data Encryption (TDE) habilitado.
polardb-cluster-expired-checkVerificação de Expiração de Cluster PolarDBClusters PolarDB pré-pagos devem ter renovação automática habilitada.
polardb-public-access-checkVerificação de Acesso Público do PolarDBGarante que a lista branca de IP do PolarDB não esteja definida como 0.0.0.0/0.
polardb-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do PolarDBGarante que os clusters PolarDB não tenham endpoints públicos e não estejam abertos a qualquer endereço IP (0.0.0.0/0).
ram-policy-no-statements-with-admin-access-checkPolítica RAM Sem Acesso de AdministradorGarante que políticas RAM personalizadas não concedam acesso completo de administrador.
ram-user-mfa-checkMFA de Usuário RAM HabilitadoUsuários RAM com acesso ao console devem ter autenticação multifator (MFA) habilitada.
rds-instance-enabled-disk-encryptionCriptografia de Disco de Instância RDS HabilitadaGarante que as instâncias RDS tenham criptografia de disco habilitada.
rds-instance-expired-checkVerificação de Expiração de Instância Pré-paga RDSInstâncias RDS pré-pagas devem ter renovação automática habilitada.
rds-public-access-checkVerificação de Acesso Público de Instância RDSInstâncias RDS não devem ser configuradas com endereços de rede pública. O acesso público expõe bancos de dados a ameaças potenciais de segurança da internet.
rds-public-connection-and-any-ip-access-checkVerificação de Conexão Pública e Acesso de Qualquer IP RDSGarante que instâncias RDS com conexões públicas não tenham uma lista branca aberta para todos os IPs.
rds-white-list-internet-ip-access-checkRestrição de Internet da Lista Branca RDSGarante que as listas brancas de IP de segurança RDS não contenham 0.0.0.0/0.
redis-instance-expired-checkVerificação de Expiração de Instância Pré-paga RedisInstâncias Redis pré-pagas devem ter renovação automática habilitada.
redis-instance-no-public-ipInstância Redis Sem IP PúblicoGarante que a instância Redis não tenha IP público atribuído.
redis-instance-open-auth-modeModo de Autenticação Redis HabilitadoGarante que as instâncias Redis exijam autenticação e não estejam no modo 'sem senha'.
redis-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do RedisGarante que as instâncias Redis não tenham acesso público habilitado ou uma lista branca aberta.
root-ak-checkVerificação de AccessKey do Usuário RootGarante que a conta root não possui AccessKeys ativos.
root-mfa-checkVerificação de MFA do Usuário RootGarante que a autenticação multifator (MFA) está habilitada para a conta root.
sg-public-access-checkIngress de Grupo de Segurança VálidoAs regras de ingresso do grupo de segurança não devem permitir todas as portas (-1/-1) de todas as fontes (0.0.0.0/0) simultaneamente.
sg-risky-ports-checkGrupo de Segurança Não Abre Portas de Risco para 0.0.0.0/0Quando a origem da regra de entrada do grupo de segurança é definida como 0.0.0.0/0, o intervalo de portas não deve incluir portas de risco especificadas, considerado conforme. Se a origem não for 0.0.0.0/0, é conforme mesmo que portas de risco sejam incluídas.
slb-acl-public-access-checkVerificação de Acesso Público de ACL SLBGarante que as ACLs SLB não contenham 0.0.0.0/0 para prevenir acesso público sem restrições.
slb-all-listener-health-check-enabledVerificação de Saúde de Todos os Listeners SLB HabilitadaGarante que todos os listeners SLB tenham verificações de saúde habilitadas.
slb-all-listener-servers-multi-zoneSLB Multi-zona com Servidores Backend Multi-zonaInstâncias SLB devem ser multi-zona, e todos os grupos de servidores usados pelos listeners devem ter recursos adicionados de múltiplas zonas.
slb-delete-protection-enabledProteção contra Exclusão de Instância SLB HabilitadaGarante que as instâncias SLB tenham proteção contra exclusão habilitada.
slb-listener-risk-ports-checkVerificação de Portas de Risco do Listener SLBGarante que os listeners SLB não exponham portas de alto risco como 22 ou 3389.
transit-router-vpc-attachment-multi-zoneConfiguração Multi-Zona de Anexo VPC do Roteador de TrânsitoOs anexos VPC do roteador de trânsito devem ser configurados com vSwitches em pelo menos duas zonas de disponibilidade diferentes para alta disponibilidade entre zonas.
tsdb-instance-security-ip-checkInstância TSDB Não Permite Acesso de Qualquer IPGarante que as instâncias TSDB não tenham listas brancas de segurança que permitam todos os IPs.
use-waf-instance-for-security-protectionUsar WAF para Proteção de SegurançaO Firewall de Aplicações Web (WAF) deve ser usado para proteger sites e aplicativos de ataques baseados na web.
vpc-network-acl-risky-ports-checkVerificação de Portas de Risco da ACL de Rede VPCGarante que as ACLs de rede VPC não permitam acesso irrestrito a portas de risco (22, 3389).

Média Severidade (179 Regras)

ID da RegraNomeDescrição
ack-cluster-encryption-enabledCriptografia de Secret do Cluster ACK HabilitadaClusters ACK Pro devem ter criptografia de Secret em repouso habilitada usando KMS.
ack-cluster-inspect-kubelet-version-outdate-checkVerificação de Versão do Kubelet ACKGarante que a versão do Kubelet no cluster ACK esteja atualizada.
ack-cluster-log-plugin-installedPlugin de Log do Cluster ACK InstaladoGarante que o complemento log-service esteja instalado no cluster ACK.
ack-cluster-rrsa-enabledRRSA do Cluster ACK HabilitadoGarante que o recurso RAM Roles for Service Accounts (RRSA) está habilitado para o cluster ACK.
ack-cluster-supported-versionVersão Suportada do Cluster ACKGarante que o cluster ACK esteja executando uma versão suportada.
ack-cluster-upgrade-latest-versionCluster ACK Atualizado para a Versão Mais RecenteGarante que o cluster ACK esteja executando a versão mais recente disponível.
adb-cluster-multi-zoneImplantação Multi-Zona do Cluster ADBO cluster ADB deve ser implantado em modo multi-zona.
alb-all-listenter-has-serverO Ouvinte ALB Tem Servidor BackendGarante que todos os ouvintes ALB estejam associados a um grupo de servidores não vazio.
alb-instance-bind-security-group-or-enabled-aclInstância ALB Vincular Grupo de Segurança ou Habilitar ACLA instância ALB deve ter grupos de segurança associados ou ACL configurado para todos os ouvintes em execução.
alb-server-group-multi-zoneDistribuição Multi-Zona do Grupo de Servidores ALBOs grupos de servidores ALB devem ter servidores backend distribuídos em múltiplas zonas de disponibilidade para alta disponibilidade. Esta regra não se aplica a grupos de servidores sem servidores anexados, nem a grupos de servidores do tipo IP/Function Compute.
alidns-domain-regex-matchOs Nomes de Domínio DNS da Alibaba Cloud Correspondem à Convenção de NomenclaturaGarante que os nomes de domínio DNS da Alibaba Cloud correspondam à expressão regular de convenção de nomenclatura especificada.
api-gateway-api-auth-jwtAutenticação JWT da API do API GatewayGarante que as APIs do API Gateway usem autenticação JWT.
api-gateway-api-auth-requiredAutenticação de API do Gateway de API ObrigatóriaGarante que as APIs do Gateway de API tenham autenticação configurada.
api-gateway-api-internet-request-httpsHTTPS de Solicitação de Internet do Gateway de API HabilitadoGarante que as APIs do Gateway de API expostas à internet usem o protocolo HTTPS.
api-gateway-api-visibility-privateVisibilidade da API do API Gateway PrivadaGarante que as APIs do API Gateway estejam definidas com visibilidade PRIVADA.
api-gateway-group-bind-domainVincular Domínio do Grupo de API GatewayGarante que os grupos de API Gateway tenham domínios personalizados vinculados.
api-gateway-group-enabled-sslSSL do Grupo de API Gateway HabilitadoGarante que SSL esteja habilitado para grupos de API Gateway.
api-gateway-group-https-policy-checkVerificação de Política HTTPS do Grupo API GatewayGarante que os grupos do API Gateway tenham a política de segurança HTTPS configurada corretamente.
api-gateway-group-log-enabledLog do Grupo API Gateway HabilitadoGarante que os grupos do API Gateway tenham registro configurado.
apigateway-instance-multi-zoneImplantação Multi-Zona de Instância API GatewayAs instâncias do API Gateway devem ser implantadas em configuração multi-zona para alta disponibilidade.
bastionhost-instance-spec-checkVerificação de Especificação Multi-Zona de Instância BastionHostA instância BastionHost deve usar a versão Enterprise que suporta implantação multi-zona.
cen-cross-region-bandwidth-checkVerificação de Largura de Banda Inter-Região CENAs conexões inter-região da instância CEN devem ter alocação de largura de banda suficiente para atender aos requisitos de desempenho.
clickhouse-dbcluster-multi-zoneImplantações Multi-Zona do ClickHouse DBClusterOs clusters ClickHouse devem usar a edição HighAvailability (Double-replica) para implantação multi-zona. Nota: Isso se aplica apenas à edição da comunidade.
cr-instance-multi-zoneInstância CR com Bucket OSS Redundante de ZonaAs instâncias do Container Registry devem estar associadas a buckets OSS redundantes de zona para alta disponibilidade.
ecs-disk-all-encrypted-by-kmsDisco ECS com Criptografia KMS HabilitadaOs discos ECS (incluindo disco do sistema e discos de dados) estão criptografados com KMS, considerado conforme.
ecs-disk-encryptedCriptografia de disco de dados ECS habilitadaO disco de dados ECS tem criptografia habilitada, considerado conforme.
ecs-disk-in-useO Disco ECS Está em UsoOs discos ECS estão anexados a uma instância ou em estado de uso, considerado conforme. Discos disponíveis ou não anexados podem ser recursos ociosos.
ecs-disk-retain-auto-snapshotReter Instantâneo Automático quando o Disco ECS é LiberadoConfigure os discos ECS para reter instantâneos automáticos quando liberados, considerado conforme. Isso ajuda a proteger os dados contra exclusão acidental.
ecs-in-use-disk-encryptedCriptografia de Disco em Uso ECSDiscos de dados ECS devem ter criptografia habilitada para proteger dados em repouso. Discos criptografados usam chaves KMS para criptografar dados, garantindo segurança de dados e conformidade com requisitos regulatórios.
ecs-instance-auto-renewal-enabledInstância de assinatura ECS tem renovação automática habilitadaInstâncias de assinatura ECS (pré-pagas) têm renovação automática habilitada, consideradas conformes. Instâncias pay-as-you-go não são aplicáveis.
ecs-instance-image-expired-checkVerificação de Expiração de Imagem de Instância ECSGarante que a imagem usada pela instância ECS não tenha expirado.
ecs-instance-image-type-checkVerificação de Tipo de Imagem de Instância ECSGarante que as instâncias ECS usem imagens de fontes autorizadas.
ecs-instance-login-use-keypairLogin de Instância ECS Usando Par de ChavesGarante que as instâncias ECS usem pares de chaves para login em vez de senhas.
ecs-instance-meta-data-mode-checkAcesso a metadados de instância ECS usa modo de segurança aprimorado (IMDSv2)Ao acessar metadados de instância ECS, o modo de segurança aprimorado (IMDSv2) é aplicado, considerado conforme. Instâncias associadas a clusters ACK não são aplicáveis.
ecs-instance-no-public-and-anyipInstância ECS Não Deve Vincular IP Público ou Permitir Acesso de Qualquer IPInstâncias ECS não devem vincular diretamente IPs públicos IPv4 ou IPs elásticos, e os grupos de segurança associados não devem expor 0.0.0.0/0. Conforme quando nenhum IP público está vinculado.
ecs-instance-not-bind-key-pairInstância ECS Não Vinculada a Par de ChavesGarante que as instâncias ECS usem pares de chaves para autenticação em vez de senhas.
ecs-instance-type-family-not-deprecatedTipo de Instância ECS Não DepreciadoGarante que as instâncias ECS não usem tipos de instância depreciados ou legados.
ecs-instances-in-vpcInstâncias ECS em VPCInstâncias ECS devem ser implantadas em redes VPC (Virtual Private Cloud) em vez de redes clássicas. O VPC fornece melhor isolamento de rede, segurança e flexibilidade.
ecs-internetmaxbandwidth-checkVerificação de Largura de Banda Máxima da Internet ECSGarante que a largura de banda de saída da Internet ECS não exceda os limites especificados.
ecs-launch-template-network-type-checkO modelo de inicialização do ECS usa tipo de rede VPCAs versões do modelo de inicialização do ECS têm o tipo de rede definido como VPC, considerado em conformidade. O tipo de rede clássica não é recomendado para ambientes de produção.
ecs-launch-template-version-data-disk-encryptedA Versão do Modelo de Inicialização ECS Habilita a Criptografia de Disco de DadosTodos os discos de dados configurados nas versões do modelo de inicialização ECS estão criptografados, considerado conforme.
ecs-launch-template-version-image-type-checkVerificação de Tipo de Imagem do Modelo de InicializaçãoGarante que os modelos de inicialização ECS usem tipos de imagem autorizados.
ecs-running-instances-in-vpcInstâncias ECS em execução estão em VPCInstâncias ECS em execução são implantadas em Virtual Private Cloud (VPC), consideradas conformes. Isso fornece isolamento de rede e segurança aprimorada.
ecs-snapshot-policy-timepoints-checkPontos de Tempo da Política de Instantâneo Automático ECS Configurados RazoavelmenteOs pontos de tempo de criação de instantâneos na política de instantâneos automáticos estão dentro do intervalo de tempo especificado, considerado conforme. Criar instantâneos reduz temporariamente o desempenho de E/S do armazenamento em bloco, com diferenças de desempenho geralmente dentro de 10%, causando lentidões breves. Recomenda-se selecionar pontos de tempo que evitem horários de pico de negócios.
eip-delete-protection-enabledProteção de Exclusão de EIP HabilitadaGarante que as instâncias EIP tenham proteção de exclusão habilitada.
elasticsearch-instance-enabled-data-node-encryptionCriptografia de Nó de Dados do Elasticsearch HabilitadaGarante que os nós de dados na instância do Elasticsearch tenham criptografia de disco habilitada.
elasticsearch-instance-enabled-node-config-disk-encryptionCriptografia de Disco de Configuração de Nó ESGarante que as configurações de nós elásticos do Elasticsearch tenham criptografia de disco habilitada.
elasticsearch-instance-multi-zoneImplantação Multi-Zona de Instância ElasticsearchAs instâncias Elasticsearch devem ser implantadas em múltiplas zonas de disponibilidade.
emr-cluster-master-public-access-checkVerificação de Acesso Público do Nó Mestre do Cluster EMROs nós mestres do cluster EMR no ECS não devem ter IP público habilitado.
ess-group-health-checkVerificação de Saúde do Grupo de Escalonamento ESSOs grupos de escalonamento ESS devem habilitar a verificação de saúde da instância ECS para garantir que apenas instâncias saudáveis estejam em serviço.
ess-scaling-configuration-attach-security-groupGrupo de Segurança de Configuração de Escalonamento ESSAs configurações de escalonamento ESS devem anexar grupos de segurança às instâncias para isolamento de rede e controle de acesso adequados.
ess-scaling-configuration-enabled-internet-checkVerificação de Acesso à Internet da Configuração de Escalonamento ESSGarante que as configurações de escalonamento ESS não habilitem endereços IP públicos para instâncias, a menos que seja necessário.
ess-scaling-configuration-image-checkVerificação de Imagem da Configuração de Escalonamento ESSAs configurações de escalonamento ESS devem usar imagens mantidas para garantir segurança e estabilidade.
ess-scaling-configuration-image-type-checkVerificação de Tipo de Imagem de Configuração de Escalonamento ESSAs configurações de escalonamento ESS devem usar imagens de fontes especificadas para melhor segurança e gerenciamento.
ess-scaling-group-attach-multi-switchGrupo de Escalonamento ESS Multi-VSwitchOs grupos de escalonamento ESS devem estar associados a pelo menos dois VSwitches para alta disponibilidade em múltiplas zonas.
ess-scaling-group-attach-slbGrupo de Escalonamento ESS Anexar SLBOs grupos de escalonamento ESS devem ser anexados ao Balanceador de Carga Clássico (SLB) para distribuição adequada de tráfego.
ess-scaling-group-loadbalancer-checkVerificação de Existência do Balanceador de Carga do Grupo de Escalonamento ESSOs grupos de escalonamento ESS devem estar anexados a instâncias de balanceador de carga existentes e ativas para distribuição adequada de tráfego.
fc-function-custom-domain-and-cert-enableVerificação de Certificado de Domínio Personalizado de Função FCOs domínios personalizados FC devem ter certificados SSL configurados para comunicação segura.
fc-function-custom-domain-and-https-enableVerificação HTTPS de Domínio Personalizado de Função FCOs domínios personalizados FC devem ter HTTPS habilitado para comunicação segura.
fc-function-custom-domain-and-tls-enableDomínio Personalizado e TLS de Função FC HabilitadoGarante que os domínios personalizados para funções Function Compute tenham TLS habilitado.
fc-function-internet-and-custom-domain-enableAcesso à Internet do Serviço FC com Domínio PersonalizadoOs serviços FC com acesso à Internet devem estar vinculados a domínios personalizados para controle de acesso adequado.
fc-function-settings-checkVerificação de Configurações de Função FCAs configurações de função FC devem atender aos requisitos especificados para desempenho e segurança ideais.
fc-service-bind-roleServiço FC Vinculado à Função RAMGarante que o serviço Function Compute tenha uma função RAM vinculada.
fc-service-internet-access-disableAcesso à Internet do Serviço FC DesabilitadoGarante que o serviço Function Compute tenha acesso à Internet desabilitado quando deve acessar apenas recursos internos.
fc-service-log-enableHabilitar Log do Serviço FCOs serviços FC devem ter registro habilitado para monitoramento e solução de problemas.
fc-service-tracing-enableHabilitar Rastreamento de Serviço FCOs serviços FC devem ter rastreamento habilitado para monitoramento de desempenho e depuração.
fc-service-vpc-bindingVinculação VPC do Serviço FC HabilitadaGarante que o serviço Function Compute esteja configurado para acessar recursos dentro de um VPC.
firewall-asset-open-protectProteção de Ativos do Firewall em Nuvem HabilitadaGarante que os ativos estejam protegidos pelo Firewall em Nuvem.
gpdb-instance-multi-zoneImplantações Multi-Zona de Instância GPDBAs instâncias GPDB devem ser implantadas com uma zona de espera para alta disponibilidade.
gwlb-loadbalancer-multi-zoneImplantação Multi-Zona do Balanceador de Carga GWLBAs instâncias do Balanceador de Carga GWLB devem ser implantadas em pelo menos duas zonas de disponibilidade para alta disponibilidade.
hbase-cluster-deletion-protectionProteção contra Exclusão de Cluster HBase HabilitadaGarante que os clusters HBase tenham proteção contra exclusão habilitada.
hbase-cluster-in-vpcCluster HBase em VPCGarante que o cluster HBase esteja implantado dentro de um VPC.
hbase-cluster-multi-zoneImplantação Multi-Zona do Cluster HBaseOs clusters HBase devem ser implantados em modo cluster com pelo menos 2 nós para alta disponibilidade.
internet-nat-gateway-in-specified-vpcGateway NAT da Internet em VPC EspecificadoGateways NAT voltados para a Internet devem ser criados em VPCs especificados de acordo com os requisitos de segurança de rede.
intranet-nat-gateway-in-specified-vpcGateway NAT de Intranet em VPC EspecificadoOs gateways NAT voltados para intranet devem ser criados em VPCs especificados de acordo com os requisitos de segurança de rede.
kafka-instance-multi-zoneImplantação Multi-Zona da Instância KafkaAs instâncias Kafka devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade.
kms-instance-multi-zoneImplantação Multi-Zona da Instância KMSAs instâncias KMS devem ser implantadas em pelo menos duas zonas de disponibilidade para alta disponibilidade e recuperação de desastres.
kms-key-delete-protection-enabledProteção de Exclusão de Chave KMS HabilitadaA chave mestra KMS tem proteção de exclusão habilitada, considerada em conformidade. Chaves que não estão em status habilitado e chaves de serviço (que não podem ser excluídas) não são aplicáveis.
kms-key-rotation-enabledRotação automática de chave KMS habilitadaChave mestra de usuário KMS tem rotação automática habilitada, considerada conforme. Chaves de serviço e chaves importadas externamente não são aplicáveis.
kms-secret-rotation-enabledRotação automática de segredo KMS habilitadaSegredo KMS tem rotação automática habilitada, considerado conforme. Segredos genéricos não são aplicáveis.
lindorm-instance-in-vpcVerificação de Lindorm em VPCGarante que as instâncias Lindorm sejam implantadas dentro de uma VPC.
lindorm-instance-multi-zoneImplantações Multi-Zona de Instância LindormAs instâncias Lindorm devem ser configuradas para implantação multi-zona com pelo menos 4 nós LindormTable para alta disponibilidade.
mongodb-instance-enabled-sslSSL de Instância MongoDB HabilitadoGarante que as instâncias MongoDB tenham criptografia SSL habilitada.
mongodb-instance-encryption-byok-checkA Instância MongoDB Usa Chave Personalizada para TDEGarante que as instâncias MongoDB usem chaves KMS personalizadas para Criptografia Transparente de Dados (TDE).
mongodb-instance-in-vpcA Instância MongoDB Usa Rede VPCGarante que as instâncias MongoDB sejam implantadas em uma rede de Nuvem Privada Virtual (VPC).
mongodb-instance-log-auditAuditoria de Log de Instância MongoDB HabilitadaGarante que as instâncias MongoDB tenham auditoria de registro habilitada.
mongodb-instance-multi-nodeA Instância MongoDB Usa Múltiplos NósGarante que as instâncias MongoDB sejam implantadas com múltiplos nós para alta disponibilidade.
mongodb-instance-multi-zoneImplantações Multi-Zona de Instância MongoDBAs instâncias MongoDB devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade.
mongodb-instance-release-protectionProteção contra Liberação de Instância MongoDB HabilitadaGarante que as instâncias MongoDB tenham proteção contra liberação habilitada.
mse-cluster-config-auth-enabledAutenticação de Configuração de Cluster MSE HabilitadaGarante que o centro de configuração do cluster do Motor de Microserviços (MSE) tenha autenticação habilitada.
mse-cluster-multi-availability-area-architecture-checkConfiguração de Alta Disponibilidade do Cluster MSEOs clusters MSE devem usar a Edição Profissional com pelo menos 3 instâncias (número ímpar) para alta disponibilidade.
mse-cluster-stable-version-checkO Cluster MSE Usa Versão EstávelGarante que a versão do motor do cluster MSE seja maior que a versão estável mínima.
mse-gateway-multi-availability-area-architecture-checkImplantação Multi-Zona de Disponibilidade do Gateway MSEOs gateways MSE devem ser implantados em múltiplas zonas de disponibilidade configurando um VSwitch de backup.
nas-filesystem-mount-target-access-group-checkVerificação de Grupo de Acesso do Alvo de Montagem NASGarante que os alvos de montagem NAS não usem 'DEFAULT_VPC_GROUP_NAME'.
natgateway-delete-protection-enabledProteção contra Exclusão do Gateway NAT HabilitadaGarante que os gateways NAT tenham proteção contra exclusão habilitada.
natgateway-eip-used-checkVerificação de Uso de EIP do Gateway NATSNAT e DNAT não devem usar o mesmo EIP para evitar conflitos potenciais e melhorar a segmentação de rede.
natgateway-snat-eip-bandwidth-checkConsistência de Largura de Banda EIP SNAT do Gateway NATQuando entradas SNAT estão vinculadas a múltiplos EIPs, as configurações de pico de largura de banda devem ser consistentes ou devem ser adicionadas a um pacote de largura de banda compartilhado.
nlb-loadbalancer-multi-zoneImplantação Multi-Zona do Balanceador de Carga NLBAs instâncias do balanceador de carga NLB devem ser implantadas em pelo menos duas zonas de disponibilidade para alta disponibilidade.
nlb-server-group-multi-zoneDistribuição Multi-Zona do Grupo de Servidores NLBOs grupos de servidores NLB devem ter servidores backend distribuídos em múltiplas zonas de disponibilidade para alta disponibilidade. Esta regra não se aplica a grupos de servidores sem servidores anexados ou a grupos de servidores do tipo IP.
oss-bucket-authorize-specified-ipBucket OSS Autoriza IP EspecificadaGarante que as políticas de bucket OSS restrinjam o acesso a intervalos de IP especificados.
oss-bucket-backup-enableBackup OSS HabilitadoGarante que os buckets OSS tenham backup ou controle de versão habilitado.
oss-bucket-logging-enabledRegistro de Logs de Bucket OSS HabilitadoBuckets OSS devem ter registro de logs habilitado para rastrear acesso e operações. O registro de logs ajuda na auditoria de segurança, solução de problemas e requisitos de conformidade.
oss-bucket-remote-replicationReplicação Remota de Bucket OSS HabilitadaGarante que a replicação entre regiões esteja habilitada para o bucket OSS para recuperação de desastres.
oss-bucket-tls-version-checkVerificação de Versão TLS de Bucket OSSGarante que o bucket OSS esteja configurado para usar uma versão segura de TLS (TLS 1.2 ou superior).
oss-bucket-versioning-enabledVersionamento de Bucket OSS HabilitadoBucket OSS deve ter versionamento habilitado para proteger contra exclusão ou sobrescrita acidental.
oss-default-encryption-kmsCriptografia KMS do lado do servidor de bucket OSS habilitadaO bucket OSS tem criptografia KMS do lado do servidor habilitada, considerado conforme.
oss-encryption-byok-checkVerificação de Criptografia BYOK de Bucket OSSBuckets OSS devem usar chaves KMS gerenciadas pelo cliente (BYOK - Bring Your Own Key) para criptografia. Isso fornece melhor controle sobre chaves de criptografia e atende aos requisitos de conformidade.
oss-zrs-enabledArmazenamento com Redundância de Zona de Bucket OSS HabilitadoBuckets OSS devem usar armazenamento com redundância de zona (ZRS) para alta disponibilidade e durabilidade de dados.
ots-instance-multi-zoneArmazenamento Redundante de Zona de Instância OTSGarante que as instâncias Tablestore (OTS) usem armazenamento redundante de zona para alta disponibilidade.
ots-instance-network-not-normalTipo de Rede Restrito OTSGarante que as instâncias do Table Store (OTS) não usem o tipo de rede 'Normal' (sem restrições).
pai-eas-instances-multi-zoneImplantação Multi-Zona de Instância PAI EASGarante que as instâncias PAI EAS sejam implantadas em múltiplas zonas para alta disponibilidade.
polardb-cluster-default-time-zone-not-systemFuso Horário Padrão do Cluster PolarDB Não é SistemaGarante que o fuso horário padrão do cluster PolarDB não esteja definido como SYSTEM.
polardb-cluster-delete-protection-enabledProteção contra Exclusão de Cluster PolarDB HabilitadaGarante que os clusters PolarDB tenham proteção contra exclusão habilitada.
polardb-cluster-enabled-sslSSL de Cluster PolarDB HabilitadoGarante que os clusters PolarDB tenham criptografia SSL habilitada.
polardb-cluster-multi-zoneImplantação Multi-zona de Cluster PolarDBClusters PolarDB devem ser implantados em múltiplas zonas de disponibilidade para alta disponibilidade.
polardb-dbcluster-in-vpcCluster PolarDB em VPCGarante que o cluster PolarDB seja implantado em uma VPC.
polardb-revision-version-used-checkVerificação de Versão de Revisão PolarDB UtilizadaGarante que o cluster PolarDB esteja usando uma versão de revisão de kernel estável.
polardb-x2-instance-multi-zoneImplantação Multi-Zona da Instância PolarDB-X 2.0As instâncias PolarDB-X 2.0 devem ser implantadas em 3 zonas de disponibilidade.
privatelink-server-endpoint-multi-zoneImplantação Multi-Zona do Serviço de Endpoint VPC PrivateLinkOs serviços de endpoint VPC PrivateLink devem ter recursos implantados em múltiplas zonas de disponibilidade para alta disponibilidade.
privatelink-servier-endpoint-multi-zoneImplantações Multi-Zona do Ponto de Extremidade de Serviço PrivateLinkGarante que os pontos de extremidade de serviço PrivateLink estejam implantados em múltiplas zonas para alta disponibilidade.
ram-password-policy-checkVerificação de Política de Senha RAMGarante que a política de senha RAM atenda aos requisitos de segurança especificados.
ram-policy-no-has-specified-documentPolítica RAM Sem Documento EspecificadoGarante que as políticas RAM personalizadas não contenham a configuração de permissões especificada.
ram-role-has-specified-policyFunção RAM Tem Política EspecificadaGarante que as funções RAM tenham as políticas especificadas anexadas.
ram-role-no-product-admin-accessA Função RAM Não Tem Acesso de Administrador de ProdutoGarante que as funções RAM não tenham acesso administrativo completo ou permissões de administrador de produto.
ram-user-activated-ak-quantity-checkVerificação de Quantidade de AK Ativo de Usuário RAMGarante que usuários RAM não tenham mais de uma AccessKey ativa.
ram-user-ak-create-date-expired-checkVerificação de Expiração de Data de Criação de AccessKey de Usuário RAMGarante que as AccessKeys de usuário RAM não sejam mais antigas que o número especificado de dias.
ram-user-ak-used-expired-checkVerificação de Data de Último Uso de AccessKey de Usuário RAMGarante que as AccessKeys de usuário RAM tenham sido usadas dentro do número especificado de dias.
ram-user-has-specified-policyO Usuário RAM Tem Política EspecificadaGarante que os usuários RAM tenham as políticas necessárias anexadas, incluindo as herdadas de grupos.
ram-user-login-checkVerificação de Login de Usuário RAM HabilitadoGarante que usuários RAM que não precisam de acesso ao console tenham login desabilitado.
ram-user-no-has-specified-policyUsuário RAM Sem Política EspecificadaGarante que os usuários RAM não tenham políticas arriscadas especificadas anexadas.
ram-user-no-product-admin-accessUsuário RAM Sem Acesso Administrativo ao ProdutoGarante que os usuários RAM não tenham acesso administrativo completo aos produtos em nuvem, a menos que seja necessário.
ram-user-role-no-product-admin-accessA Função de Usuário RAM Não Tem Acesso de Administrador de ProdutoGarante que as funções definidas pelo usuário RAM não tenham permissões administrativas de produto.
ram-user-specified-permission-boundLimite de Permissão Especificada do Usuário RAMGarante que os usuários RAM não tenham permissões de alto risco especificadas vinculadas.
rds-instacne-delete-protection-enabledProteção contra Exclusão de Instância RDS HabilitadaGarante que as instâncias RDS tenham proteção contra exclusão habilitada.
rds-instance-enabled-auditingAuditoria de Instância RDS HabilitadaGarante que as instâncias RDS tenham auditoria SQL habilitada.
rds-instance-enabled-log-backupBackup de Log de Instância RDS HabilitadoGarante que as instâncias RDS tenham backup de log habilitado.
rds-instance-enabled-sslSSL de Instância RDS HabilitadoGarante que as instâncias RDS tenham criptografia SSL habilitada.
rds-instance-enabled-tde-disk-encryptionInstância RDS TDE ou Criptografia de Disco HabilitadaA instância RDS deve ter TDE (Criptografia Transparente de Dados) ou criptografia de disco habilitada.
rds-instance-has-guard-instanceA Instância RDS Tem Instância de GuardaGarante que as instâncias RDS de produção tenham uma instância de guarda (recuperação de desastres) correspondente.
rds-instances-in-vpcInstância RDS em VPCGarante que a instância RDS seja implantada dentro de um VPC.
rds-multi-az-supportImplantação Multi-AZ de Instância RDSInstâncias RDS devem ser implantadas em configuração multi-AZ para alta disponibilidade e failover automático.
redis-architecturetype-cluster-checkVerificação de Tipo de Arquitetura de Cluster RedisGarante que a instância Redis use o tipo de arquitetura de cluster.
redis-instance-backup-log-enabledBackup de Log de Instância Redis HabilitadoGarante que o backup de log esteja habilitado para a instância Redis.
redis-instance-double-node-typeTipo de Nó Duplo de Instância RedisGarante que a instância Redis use tipo de nó duplo para alta disponibilidade.
redis-instance-enabled-byok-tdeTDE BYOK de Instância Redis HabilitadoGarante que as instâncias Redis tenham Transparent Data Encryption (TDE) habilitado usando Bring Your Own Key (BYOK).
redis-instance-enabled-sslSSL de Instância Redis HabilitadoGarante que as instâncias Redis tenham criptografia SSL habilitada.
redis-instance-in-vpcInstância Redis em VPCGarante que a instância Redis seja implantada em uma VPC.
redis-instance-multi-zoneImplantação Multi-zona de Instância RedisInstâncias Redis devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade.
redis-instance-release-protectionProteção contra Liberação de Instância Redis HabilitadaGarante que as instâncias Redis tenham proteção contra liberação habilitada.
redis-instance-tls-version-checkVerificação de Versão TLS de Instância RedisGarante que a instância Redis tenha SSL habilitado com uma versão TLS aceitável.
redis-min-capacity-limitLimite de Capacidade Mínima do RedisGarante que a instância Redis tenha capacidade de memória que atenda ao requisito mínimo.
rocketmq-v5-instance-multi-zoneImplantações Multi-Zona de Instância RocketMQ 5.0As instâncias RocketMQ 5.0 devem ser implantadas no modo Cluster HA que suporta disponibilidade multi-zona.
security-center-version-checkVerificação de Versão do Centro de SegurançaO Centro de Segurança deve estar em uma versão que forneça recursos de proteção suficientes.
slb-all-listener-enabled-aclTodos os Ouvintes SLB Têm Controle de AcessoTodos os ouvintes em execução das instâncias SLB devem ter listas de controle de acesso (ACL) configuradas para segurança.
slb-all-listener-http-disabledHTTP de Todos os Ouvintes SLB DesabilitadoGarante que nenhum ouvinte SLB use o protocolo HTTP inseguro.
slb-all-listener-http-redirect-httpsRedirecionamento HTTP para HTTPS do SLB HabilitadoGarante que os ouvintes HTTP do SLB estejam configurados para redirecionar o tráfego para HTTPS.
slb-all-listenter-has-serverTodos os Ouvintes SLB Têm Servidores BackendTodos os ouvintes das instâncias SLB devem ter pelo menos o número especificado de servidores backend anexados.
slb-all-listenter-tls-policy-checkVerificação de Política TLS do Listener SLBGarante que os listeners HTTPS SLB usem políticas de criptografia TLS seguras.
slb-default-server-group-multi-serverO Grupo de Servidores Padrão do SLB Tem Múltiplos ServidoresO grupo de servidores padrão das instâncias SLB deve ter pelo menos dois servidores para evitar um ponto único de falha.
slb-instance-autorenewal-checkVerificação de Renovação Automática de Instância SLBInstâncias SLB pré-pagas devem ter renovação automática habilitada para evitar interrupção do serviço.
slb-instance-default-server-group-multi-zoneGrupo de Servidores Padrão SLB Multi-ZonaO grupo de servidores padrão das instâncias SLB deve ter recursos distribuídos em múltiplas zonas de disponibilidade.
slb-instance-log-enabledRegistro de Instância SLB HabilitadoGarante que o registro de acesso esteja habilitado para a instância SLB.
slb-instance-multi-zoneImplantação Multi-zona da Instância SLBInstâncias SLB devem ser implantadas em múltiplas zonas configurando zonas mestre e escrava para alta disponibilidade.
slb-instance-spec-checkVerificação de Especificação de Instância SLBAs especificações da instância SLB devem atender aos critérios de desempenho necessários com base na lista especificada.
slb-listener-https-enabledHTTPS de Listener SLB HabilitadoGarante que os listeners SLB usem o protocolo HTTPS para comunicação segura.
slb-loadbalancer-in-vpcVerificação SLB em VPCGarante que as instâncias SLB estejam implantadas dentro de uma Virtual Private Cloud (VPC).
slb-master-slave-server-group-multi-zoneGrupo de Servidores Mestre-Escravo SLB Multi-ZonaO grupo de servidores mestre-escravo das instâncias SLB deve ter recursos distribuídos em múltiplas zonas de disponibilidade.
slb-no-public-ipInstância SLB Sem IP PúblicoAs instâncias SLB não devem ter endereços IP públicos para reduzir a superfície de ataque.
slb-vserver-group-multi-zoneImplantação Multi-Zona do Grupo de Servidor Virtual SLBGarante que os grupos de servidor virtual SLB contenham instâncias de múltiplas zonas de disponibilidade.
sls-logstore-enabled-encryptCriptografia do Logstore SLS HabilitadaGarante que os Logstores SLS tenham criptografia do lado do servidor habilitada.
sls-logstore-encrypt-key-origin-checkVerificação de Origem da Chave de Criptografia do Logstore SLSGarante que os Logstores SLS usem material de chave importado externamente (BYOK) para criptografia, o que fornece melhor controle sobre as chaves de criptografia.
sls-project-multi-zoneArmazenamento Redundante de Zona do Projeto SLSOs projetos SLS devem usar armazenamento redundante de zona (ZRS) para alta disponibilidade e durabilidade dos dados.
vpc-flow-logs-enabledLogs de Fluxo VPC HabilitadosGarante que os logs de fluxo VPC estejam habilitados para monitorar tráfego de rede.
vpc-network-acl-not-emptyACL de Rede VPC Não VazioGarante que as ACLs de rede VPC tenham pelo menos uma regra configurada.
vpn-connection-master-slave-establishedConexão VPN Túnel Duplo EstabelecidoUse um gateway VPN de túnel duplo e ambos os túneis mestre e escravo estão estabelecidos com o par.
vpn-gateway-multi-zoneImplantação Multi-Zona do Gateway VPNOs gateways VPN devem ser configurados com um VSwitch de recuperação de desastres para suportar disponibilidade multi-zona.
vswitch-available-ip-countVerificação de Contagem de IP Disponível do VSwitchGarante que o VSwitch tenha um número suficiente de endereços IP disponíveis.
waf-instance-logging-enabledRegistro de Instância WAF HabilitadoGarante que o registro esteja habilitado para a instância WAF para auditoria e análise de segurança.
waf3-defense-resource-logging-enabledRegistro do WAF 3.0 HabilitadoGarante que o registro esteja habilitado para recursos protegidos pelo WAF 3.0.

Baixa Severidade (40 Regras)

ID da RegraNomeDescrição
ack-cluster-spec-checkVerificação de Especificação de Cluster ACKGarante que os clusters ACK usem especificações aprovadas (por exemplo, ACK Pro).
alb-address-type-checkVerificação de Tipo de Endereço ALBGarante que as instâncias ALB usem o tipo de endereço preferido (por exemplo, Intranet).
apig-group-custom-trace-enabledRastreamento Personalizado do Grupo API Gateway HabilitadoGarante que os grupos do API Gateway tenham rastreamento personalizado habilitado.
cr-repository-immutablity-enableA Versão da Imagem do Repositório do Registro de Contêineres é ImutávelA versão da imagem do repositório do Registro de Contêineres é imutável, considerado conforme.
eci-container-group-volumn-mountsVerificação de Montagem de Volume ECIGarante que os grupos de contêineres ECI tenham volumes montados para armazenamento de dados persistente.
ecs-disk-auto-snapshot-policyDisco ECS tem política de snapshot automático configuradaDisco ECS tem política de snapshot automático configurada, considerado conforme. Discos não em uso, discos que não suportam política de snapshot automático e discos não persistentes montados por clusters ACK não são aplicáveis. Após habilitar a política de snapshot automático, o Alibaba Cloud criará automaticamente snapshots para discos em nuvem de acordo com pontos de tempo e ciclos predefinidos, permitindo recuperação rápida de invasão de vírus ou ataques de ransomware.
ecs-disk-idle-checkVerificação de Disco Inativo ECSGarante que os discos ECS estejam anexados a uma instância e não estejam em estado inativo.
ecs-disk-regional-auto-checkArmazenamento ESSD com Redundância de Zona de Disco ECSOs discos de dados ECS devem usar armazenamento ESSD com redundância de zona para alta disponibilidade. Os discos do sistema não são aplicáveis a esta regra.
ecs-instance-chargetype-checkVerificação de Tipo de Cobrança da Instância ECSGarante que as instâncias ECS usem o tipo de cobrança autorizado.
ecs-instance-multiple-eni-checkA Instância ECS Está Vinculada Apenas a Uma Interface de Rede ElásticaAs instâncias ECS estão vinculadas apenas a uma interface de rede elástica, considerado conforme. Isso ajuda a simplificar a configuração de rede e reduzir a complexidade.
ecs-instance-ram-role-attachedFunção RAM de Instância ECS AnexadaGarante que as instâncias ECS tenham uma função IAM anexada para acesso seguro a outros serviços em nuvem.
ecs-internet-charge-type-checkVerificação de Tipo de Cobrança de Internet ECSGarante que as instâncias ECS usem o tipo de cobrança de Internet preferido.
ecs-security-group-description-checkDescrição de Grupo de Segurança Não VaziaA descrição do grupo de segurança não deve estar vazia. Ter uma descrição ajuda com gerenciamento e auditoria.
ecs-security-group-type-not-normalUsar Tipo de Grupo de Segurança EmpresarialO tipo de grupo de segurança ECS não deve ser tipo normal. Usar grupo de segurança empresarial é considerado conforme.
ecs-snapshot-retention-daysDias de retenção de snapshot automático ECS atendem requisitosOs dias de retenção da política de snapshot automático ECS são maiores que o número especificado de dias, considerado conforme. Valor padrão: 7 dias.
ecs-system-disk-size-checkVerificação de Tamanho do Disco do Sistema ECSGarante que os discos do sistema ECS atendam ao tamanho mínimo necessário.
eip-attachedEIP AnexadoGarante que as instâncias EIP estejam associadas a um recurso.
eip-bandwidth-limitLimite de Largura de Banda EIPGarante que a largura de banda EIP não exceda um valor máximo especificado.
hbase-cluster-type-checkVerificação de Tipo de Cluster HBaseGarante que o cluster HBase seja de um tipo especificado ou recomendado.
metadata-ros-composer-checkVerificação de Metadados de Modelo ALIYUN::ROS::ComposerO modelo deve ter Metadata.ALIYUN::ROS::Composer configurado. O valor deve ser um dicionário (objeto).
nas-filesystem-encrypt-type-checkCriptografia do Sistema de Arquivos NAS ConfiguradaO sistema de arquivos NAS tem criptografia configurada, considerado em conformidade.
oss-bucket-referer-limitProteção contra link direto de referer de bucket OSS configuradaO bucket OSS tem proteção contra link direto de referer habilitada com uma lista branca configurada.
polardb-cluster-maintain-time-checkVerificação de Janela de Manutenção de Cluster PolarDBGarante que o cluster PolarDB tenha uma janela de manutenção configurada.
ram-group-has-member-checkO Grupo RAM Tem MembroGarante que os grupos RAM tenham pelo menos um membro.
ram-group-in-use-checkVerificação de Grupo RAM em UsoGarante que os grupos RAM não estejam ociosos - devem ter pelo menos um membro e pelo menos uma política anexada.
ram-policy-in-use-checkVerificação de Política RAM em UsoGarante que as políticas RAM estejam anexadas a pelo menos um usuário, grupo ou função RAM.
ram-user-group-membership-checkVerificação de Associação ao Grupo de Usuário RAMGarante que os usuários RAM pertençam a pelo menos um grupo para facilitar o gerenciamento de permissões.
ram-user-last-login-expired-checkVerificação de Último Login de Usuário RAMVerifica se usuários RAM não fizeram login há muito tempo.
ram-user-no-policy-checkO Usuário RAM Tem PolíticaGarante que os usuários RAM tenham pelo menos uma política anexada.
rds-instance-maintain-time-checkVerificação de Janela de Manutenção de Instância RDSGarante que a instância RDS tenha uma janela de manutenção configurada.
rds-instance-storage-autoscale-enableAutoescala de Armazenamento RDS HabilitadaGarante que as instâncias RDS tenham autoescala de armazenamento habilitada para prevenir tempo de inatividade devido a discos cheios.
redis-instance-backup-time-checkVerificação de Janela de Backup de Instância RedisGarante que a instância Redis tenha uma janela de backup configurada.
root-has-specified-roleA Conta Raiz Tem Função EspecificadaGarante que a conta raiz tenha uma função RAM especificada para governança e gerenciamento.
slb-backendserver-weight-checkVerificação de Peso do Servidor Backend SLBGarante que os servidores backend SLB tenham configurações de peso razoáveis.
slb-instance-loadbalancerspec-checkVerificação de Especificação de Instância SLBGarante que as instâncias SLB usem especificações de desempenho aprovadas.
slb-loadbalancer-bandwidth-limitLimite de Largura de Banda SLBGarante que a largura de banda da instância SLB não exceda um valor máximo especificado.
slb-modify-protection-checkProteção contra Modificação de SLB HabilitadaGarante que as instâncias SLB tenham proteção contra modificação habilitada.
sls-logstore-hot-ttl-checkArmazenamento de Camada Inteligente do Logstore SLS HabilitadoGarante que os Logstores SLS tenham armazenamento inteligente de camada quente/fria habilitado para otimização de custos.
vpn-gateway-enabled-ssl-vpnSSL-VPN do Gateway VPN HabilitadoGarante que o gateway VPN tenha SSL-VPN habilitado para acesso seguro do cliente.
vpn-ipsec-connection-health-check-openVerificação de Integridade IPsec VPN HabilitadaGarante que as conexões VPN IPsec tenham verificações de integridade habilitadas para detectar falhas do túnel.

Este documento é gerado automaticamente a partir dos metadados da política.