Pular para o conteúdo principal

Aliyun Regras

Total de regras: 317

Regras por Severidade

Alta Severidade (100 Regras)

ID da RegraNomeTipos de IaCDescrição
ack-cluster-node-multi-zoneImplantação Multi-zona do Cluster ACKROS, TerraformOs nós do cluster ACK devem ser distribuídos em 3 ou mais zonas de disponibilidade para alta disponibilidade.
ack-cluster-public-endpoint-checkVerificação de Endpoint Público do Cluster ACKROS, TerraformClusters ACK não devem ter um endpoint público configurado, ou o listener SLB associado deve ter ACL habilitado.
acs-cluster-node-multi-zoneImplantação Multi-Zona de Nós do Cluster ACSROS, TerraformOs nós do cluster ACS devem ser distribuídos em 3 ou mais zonas de disponibilidade para alta disponibilidade.
actiontrail-enabledActionTrail HabilitadoROS, TerraformGarante que o ActionTrail está habilitado para registrar atividades da conta.
actiontrail-trail-intact-enabledTrilha ActionTrail Intacta HabilitadaROS, TerraformA trilha ActionTrail deve estar habilitada e rastrear todos os tipos de eventos (Leitura e Escrita).
alb-acl-public-access-checkA ACL ALB Não Permite Acesso PúblicoROS, TerraformGarante que as listas de controle de acesso ALB não contenham 0.0.0.0/0 (permitindo todos os IPs).
alb-all-listener-health-check-enabledVerificação de Integridade de Todos os Ouvintes ALB HabilitadaROS, TerraformGarante que todos os ouvintes ALB tenham verificações de integridade habilitadas.
alb-delete-protection-enabledProteção contra Exclusão de Instância ALB HabilitadaROS, TerraformGarante que as instâncias ALB tenham proteção contra exclusão habilitada.
alb-instance-multi-zoneImplantação Multi-zona da Instância ALBROS, TerraformInstâncias ALB devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade. Se apenas uma zona for selecionada, uma falha na zona afetará a instância ALB e a estabilidade do negócio.
alb-instance-waf-enabledA Instância ALB Tem Proteção WAFROS, TerraformGarante que as instâncias ALB tenham proteção WAF3 (Web Application Firewall) habilitada.
alb-server-group-multi-serverO Grupo de Servidores ALB Tem Múltiplos ServidoresROS, TerraformGarante que os grupos de servidores ALB contenham pelo menos dois servidores backend para alta disponibilidade.
alidns-route-53-mx-checkRegistro MX DNS Tem SPF Válido no Registro TXT AssociadoROS, TerraformGarante que os registros MX tenham registros TXT associados com valores SPF válidos para validação de e-mail.
api-gateway-group-force-httpsForçar HTTPS do Grupo de API GatewayROS, TerraformGarante que os grupos de API Gateway com domínios personalizados públicos tenham redirecionamento forçado HTTPS habilitado.
bastionhost-instance-expired-checkVerificação de Expiração de Instância BastionHostROS, TerraformAs instâncias BastionHost pré-pagas devem ter renovação automática habilitada.
cdn-domain-multiple-origin-serversMúltiplos Servidores de Origem do Domínio CDNROS, TerraformOs domínios CDN devem ser configurados com múltiplos servidores de origem para alta disponibilidade e tolerância a falhas.
cr-instance-any-ip-access-checkInstância CR Sem Acesso de Qualquer IPROS, TerraformGarante que as instâncias do Container Registry não tenham qualquer IP (0.0.0.0/0) em sua lista branca.
cr-repository-image-scanning-enabledVarredura de Imagem de Instância CR HabilitadaROS, TerraformGarante que as instâncias do Container Registry tenham varredura de imagem habilitada para detecção de vulnerabilidades de segurança.
cr-repository-type-privateTipo de Repositório CR PrivadoROS, TerraformGarante que os repositórios CR estejam definidos como PRIVADO.
dcdn-domain-multiple-origin-serversDomínio DCDN Múltiplos Servidores de OrigemROS, TerraformOs domínios DCDN devem ser configurados com múltiplos servidores de origem para alta disponibilidade e tolerância a falhas.
eci-containergroup-environment-no-specified-keysGrupo de Contêineres ECI Não Contém Variáveis de Ambiente SensíveisROS, TerraformGarante que os grupos de contêineres ECI não tenham variáveis de ambiente sensíveis como senhas ou chaves de acesso.
ecs-available-disk-encryptedCriptografia de Disco ECS HabilitadaROS, TerraformGarante que todos os discos ECS estejam criptografados.
ecs-instance-attached-security-groupInstância ECS com Grupo de Segurança AnexadoROS, TerraformSe a instância ECS estiver incluída no grupo de segurança especificado, a configuração é considerada conforme.
ecs-instance-deletion-protection-enabledProteção contra Exclusão de Instância ECS HabilitadaROS, TerraformGarante que as instâncias ECS tenham proteção contra exclusão habilitada.
ecs-instance-enabled-security-protectionProteção de Segurança de Instância ECS HabilitadaROS, TerraformGarante que as instâncias ECS tenham estratégia de aprimoramento de segurança habilitada.
ecs-instance-expired-checkVerificação de Expiração de Instância Pré-paga ECSROS, TerraformInstâncias pré-pagas devem ter renovação automática habilitada para evitar interrupção do serviço devido à expiração.
ecs-instance-no-public-ipInstância ECS Não Deve Vincular IP PúblicoROS, TerraformAs instâncias ECS não devem vincular diretamente IP público IPv4 ou IP elástico, considerado conforme.
ecs-launch-template-version-attach-security-groupVersão do Modelo de Inicialização ECS Anexa Grupos de SegurançaROS, TerraformAs versões do modelo de inicialização ECS têm grupos de segurança configurados para instâncias, considerado conforme.
ecs-running-instance-no-public-ipInstância ECS Sem IP PúblicoROS, TerraformAs instâncias ECS não devem ter um endereço IP público para reduzir a exposição direta à Internet.
ecs-security-group-egress-not-all-accessEgresso de Grupo de Segurança Não Definido como Acesso TotalROS, TerraformA direção de egresso do grupo de segurança não deve ser definida para permitir todo o acesso (todos os protocolos, todas as portas, todos os destinos).
ecs-security-group-not-internet-cidr-accessIP de Origem de Ingresso de Grupo de Segurança Não Inclui IP PúblicoROS, TerraformAs regras de ingresso do grupo de segurança com política de aceitação não devem ter IP de origem contendo IPs públicos da internet.
ecs-security-group-not-open-all-portIngress de Grupo de Segurança Não Abre Todas as PortasROS, TerraformAs regras de ingresso do grupo de segurança não devem permitir todas as portas. Quando o intervalo de portas não está definido como -1/-1, é considerado conforme.
ecs-security-group-not-open-all-protocolIngress de Grupo de Segurança Não Abre Todos os ProtocolosROS, TerraformAs regras de ingresso do grupo de segurança não devem permitir todos os protocolos. Quando o tipo de protocolo não está definido como ALL, é considerado conforme.
ecs-security-group-risky-ports-check-with-protocolVerificação de Portas de Risco do Grupo de Segurança com ProtocoloROS, TerraformQuando a origem de entrada do grupo de segurança é definida como 0.0.0.0/0, o intervalo de portas não deve incluir portas de risco (22, 3389) para protocolos especificados (TCP/UDP), para reduzir o risco de ataques de força bruta.
ecs-security-group-white-list-port-checkVerificação de Ingresso de Porta Não na Lista Branca do Grupo de SegurançaROS, TerraformExceto portas na lista branca (80), outras portas não devem ter regras de ingresso que permitam acesso de 0.0.0.0/0.
elasticsearch-instance-enabled-kibana-public-checkA Instância do Elasticsearch Kibana Não Habilita o Acesso PúblicoROS, TerraformGarante que a instância do Elasticsearch Kibana não seja acessível a partir de redes públicas.
elasticsearch-instance-enabled-public-checkA Instância Elasticsearch Não Habilita Acesso PúblicoROS, TerraformGarante que as instâncias Elasticsearch não sejam acessíveis de redes públicas.
elasticsearch-instance-node-not-use-specified-specA Instância Elasticsearch Não Usa Especificação DepreciadaROS, TerraformGarante que as instâncias Elasticsearch não usem especificações de nó depreciadas ou não suportadas.
elasticsearch-instance-version-not-deprecatedA Instância do Elasticsearch Não Usa Versão ObsoletaROS, TerraformGarante que as instâncias do Elasticsearch não estejam usando versões obsoletas ou EOL.
elasticsearch-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do ElasticsearchROS, TerraformGarante que as instâncias Elasticsearch não tenham acesso público habilitado ou uma lista branca aberta.
ess-scaling-configuration-data-disk-encryptedCriptografia de Disco de Dados de Configuração de Escalonamento ESSROS, TerraformAs configurações de escalonamento ESS devem habilitar a criptografia de disco de dados para proteger dados em repouso.
ess-scaling-configuration-sg-public-accessAcesso Público do Grupo de Segurança de Configuração de Escalonamento ESSROS, TerraformOs grupos de segurança de configuração de escalonamento ESS não devem permitir acesso de 0.0.0.0/0 para prevenir acesso não autorizado.
ess-scaling-configuration-system-disk-encryptedCriptografia de Disco do Sistema da Configuração de Escalonamento ESSROS, TerraformAs configurações de escalonamento ESS devem habilitar a criptografia do disco do sistema para proteger os dados do sistema em repouso.
fc-function-runtime-checkVerificação de Runtime de Função FCROS, TerraformAs funções FC não devem usar runtimes depreciados que possam ter vulnerabilidades de segurança.
fc-trigger-http-not-anonymousVerificação de Autenticação do Gatilho HTTP FCROS, TerraformOs gatilhos HTTP FC devem exigir autenticação para prevenir acesso não autorizado.
gpdb-instance-disk-encryption-enabledCriptografia de Disco GPDB HabilitadaROS, TerraformGarante que as instâncias GPDB tenham criptografia de disco habilitada.
hbase-cluster-expired-checkVerificacao de Expiracao de Instancia Pre-paga HBaseROS, TerraformInstancias HBase pre-pagas devem ter renovacao automatica habilitada.
hbase-cluster-ha-checkVerificacao de Alta Disponibilidade do Cluster HBaseROS, TerraformO cluster HBase deve ter pelo menos 2 instancias centrais para alta disponibilidade.
kafka-instance-disk-encryptedDisco de Instância Kafka CriptografadoROS, TerraformA instância Kafka deve ter criptografia de disco habilitada durante a implantação para proteção de dados.
kafka-instance-public-access-checkVerificação de Acesso Público da Instância KafkaROS, TerraformInstâncias Kafka não devem ser implantadas com acesso público (deploy_type 5). Use implantação somente VPC (deploy_type 4) para restringir acesso a redes internas.
maxcompute-project-encryption-enabledCriptografia de Projeto MaxCompute HabilitadaROS, TerraformGarante que os projetos MaxCompute tenham criptografia habilitada para proteger dados armazenados.
maxcompute-project-ip-whitelist-enabledLista Branca de IP do Projeto MaxCompute HabilitadaROS, TerraformGarante que os projetos MaxCompute tenham uma lista branca de IP configurada para restringir o acesso.
mongodb-cluster-expired-checkVerificação de Expiração da Instância MongoDBROS, TerraformAs instâncias MongoDB pré-pagas devem ter renovação automática habilitada.
mongodb-instance-class-not-sharedInstância MongoDB Usa Classe DedicadaROS, TerraformGarante que as instâncias MongoDB usem classes de instância dedicadas ou exclusivas, não instâncias compartilhadas.
mongodb-min-maxconnections-limitMongoDB Atende aos Requisitos Mínimos de ConexãoROS, TerraformGarante que as instâncias MongoDB forneçam pelo menos o número mínimo necessário de conexões.
mongodb-min-maxiops-limitMongoDB Atende aos Requisitos Mínimos de IOPSROS, TerraformGarante que as instâncias MongoDB forneçam pelo menos o IOPS mínimo necessário.
mongodb-public-access-checkRestrição de Internet da Lista Branca MongoDBROS, TerraformGarante que as listas brancas de IP de segurança MongoDB não contenham 0.0.0.0/0.
mongodb-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do MongoDBROS, TerraformGarante que as instâncias MongoDB não tenham uma lista branca aberta (0.0.0.0/0).
mse-cluster-architecture-checkCluster MSE Tem Múltiplos NósROS, TerraformGarante que os clusters MSE (Motor de Microserviços) tenham mais de 3 nós para alta disponibilidade.
mse-cluster-internet-checkO Cluster MSE Não Tem Acesso Público à InternetROS, TerraformGarante que os clusters MSE não tenham acesso público à Internet habilitado.
mse-gateway-architecture-checkO Gateway MSE Tem Múltiplos NósROS, TerraformGarante que os gateways MSE (Motor de Microserviços) tenham mais de 1 nó para alta disponibilidade.
nas-access-group-public-access-checkRestrição de IP do Grupo de Acesso NASROS, TerraformGarante que as regras de acesso NAS não permitam 0.0.0.0/0.
nat-risk-ports-checkVerificação de Portas de Risco DNAT do Gateway NATROS, TerraformGarante que as entradas DNAT do gateway NAT não exponham portas de alto risco.
oss-bucket-anonymous-prohibitedAcesso Anônimo de Bucket OSS ProibidoROS, TerraformGarante que o acesso anônimo esteja proibido para o bucket OSS.
oss-bucket-only-https-enabledApenas HTTPS de Bucket OSS HabilitadoROS, TerraformO bucket OSS deve ter uma política que negue solicitações não HTTPS para garantir a segurança do transporte de dados.
oss-bucket-policy-no-any-anonymousA política de bucket OSS não concede permissões a usuários anônimosROS, TerraformA política de bucket OSS não concede permissões de leitura ou gravação a usuários anônimos.
oss-bucket-policy-outside-organization-checkPolítica de Bucket OSS Sem Acesso Fora da OrganizaçãoROS, TerraformGarante que as políticas de bucket OSS não concedam acesso a principais fora da organização.
oss-bucket-public-read-prohibitedLeitura Pública de Bucket OSS ProibidaROS, TerraformBuckets OSS não devem permitir acesso de leitura público, a menos que especificamente necessário. O acesso de leitura público permite que qualquer pessoa acesse e baixe objetos no bucket.
oss-bucket-public-write-prohibitedEscrita Pública de Bucket OSS ProibidaROS, TerraformBuckets OSS não devem permitir acesso de escrita público. O acesso de escrita público permite que qualquer pessoa faça upload, modifique ou exclua objetos no bucket, o que representa riscos significativos de segurança.
oss-bucket-server-side-encryption-enabledCriptografia do Lado do Servidor de Bucket OSS HabilitadaROS, TerraformBuckets OSS devem ter criptografia do lado do servidor habilitada para proteger dados em repouso. A criptografia do lado do servidor usa KMS ou AES256 para criptografar dados armazenados no OSS.
parameter-sensitive-noecho-checkParâmetros Sensíveis Devem Ter NoEchoROSParâmetros de template que contêm informações sensíveis (senhas, chaves de API, segredos) devem ser protegidos definindo NoEcho como true ou usando valores válidos de AssociationProperty para evitar que sejam exibidos em texto plano.
polardb-cluster-enabled-tdeTDE de Cluster PolarDB HabilitadoROS, TerraformGarante que os clusters PolarDB tenham Transparent Data Encryption (TDE) habilitado.
polardb-cluster-expired-checkVerificação de Expiração de Cluster PolarDBROS, TerraformClusters PolarDB pré-pagos devem ter renovação automática habilitada.
polardb-public-access-checkVerificação de Acesso Público do PolarDBROS, TerraformGarante que security_ips do PolarDB não esteja definida como 0.0.0.0/0.
polardb-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do PolarDBROS, TerraformGarante que os clusters PolarDB não tenham endpoints públicos e não estejam abertos a qualquer endereço IP (0.0.0.0/0).
ram-policy-no-statements-with-admin-access-checkPolítica RAM Sem Acesso de AdministradorROS, TerraformGarante que políticas RAM personalizadas não concedam acesso completo de administrador.
ram-user-mfa-checkMFA de Usuário RAM HabilitadoROS, TerraformUsuários RAM com acesso ao console devem ter autenticação multifator (MFA) habilitada.
ram-user-role-no-product-admin-accessA Função de Usuário RAM Não Tem Acesso de Administrador de ProdutoROS, TerraformGarante que os anexos de políticas de função RAM não concedam permissões administrativas de produto.
ram-user-specified-permission-boundLimite de Permissão Especificada do Usuário RAMROS, TerraformGarante que os usuários RAM não tenham permissões de alto risco especificadas vinculadas.
rds-instance-enabled-disk-encryptionCriptografia de Disco de Instância RDS HabilitadaROS, TerraformGarante que as instâncias RDS tenham criptografia de disco habilitada.
rds-instance-expired-checkVerificação de Expiração de Instância Pré-paga RDSROS, TerraformInstâncias RDS pré-pagas devem ter renovação automática habilitada.
rds-public-access-checkVerificação de Acesso Público de Instância RDSROS, TerraformInstâncias RDS não devem ser configuradas com endereços de rede pública. O acesso público expõe bancos de dados a ameaças potenciais de segurança da internet.
rds-public-connection-and-any-ip-access-checkVerificação de Conexão Pública e Acesso de Qualquer IP RDSROS, TerraformGarante que instâncias RDS não tenham uma lista branca de IP de segurança completamente irrestrita.
rds-white-list-internet-ip-access-checkRestrição de Internet da Lista Branca RDSROS, TerraformGarante que as listas brancas de IP de segurança RDS não contenham 0.0.0.0/0 ou 0.0.0.0.
redis-instance-expired-checkVerificação de Expiração de Instância Pré-paga RedisROS, TerraformInstâncias Redis pré-pagas devem ter renovação automática habilitada.
redis-instance-no-public-ipInstância Redis Sem IP PúblicoROS, TerraformGarante que a instância Redis não tenha IP público atribuído.
redis-instance-open-auth-modeModo de Autenticação Redis HabilitadoROS, TerraformGarante que as instâncias Redis exijam autenticação e não estejam no modo 'sem senha'.
redis-public-and-any-ip-access-checkVerificação de Acesso Público e de Qualquer IP do RedisROS, TerraformGarante que as instâncias Redis não tenham acesso público habilitado ou uma lista branca aberta.
root-ak-checkVerificação de AccessKey do Usuário RootROSGarante que a conta root não possui AccessKeys ativos.
root-mfa-checkVerificação de MFA do Usuário RootROSGarante que a autenticação multifator (MFA) está habilitada para a conta root.
sg-public-access-checkIngress de Grupo de Segurança VálidoROS, TerraformAs regras de ingresso do grupo de segurança não devem permitir todas as portas (-1/-1) de todas as fontes (0.0.0.0/0) simultaneamente.
sg-risky-ports-checkGrupo de Segurança Não Abre Portas de Risco para 0.0.0.0/0ROS, TerraformQuando a origem da regra de entrada do grupo de segurança é definida como 0.0.0.0/0, o intervalo de portas não deve incluir portas de risco especificadas, considerado conforme. Se a origem não for 0.0.0.0/0, é conforme mesmo que portas de risco sejam incluídas.
slb-acl-public-access-checkVerificação de Acesso Público de ACL SLBROS, TerraformGarante que as ACLs SLB não contenham 0.0.0.0/0 para prevenir acesso público sem restrições.
slb-all-listener-health-check-enabledVerificação de Saúde de Todos os Listeners SLB HabilitadaROS, TerraformGarante que todos os listeners SLB tenham verificações de saúde habilitadas.
slb-all-listener-servers-multi-zoneSLB Multi-zona com Servidores Backend Multi-zonaROS, TerraformInstâncias SLB devem ser multi-zona, com master_zone_id e slave_zone_id configurados em zonas diferentes.
slb-delete-protection-enabledProteção contra Exclusão de Instância SLB HabilitadaROS, TerraformGarante que as instâncias SLB tenham proteção contra exclusão habilitada.
slb-listener-risk-ports-checkVerificação de Portas de Risco do Listener SLBROS, TerraformGarante que os listeners SLB não exponham portas de alto risco como 22 ou 3389.
transit-router-vpc-attachment-multi-zoneConfiguração Multi-Zona de Anexo VPC do Roteador de TrânsitoROS, TerraformOs anexos VPC do roteador de trânsito devem ser configurados com vSwitches em pelo menos duas zonas de disponibilidade diferentes para alta disponibilidade entre zonas.
tsdb-instance-security-ip-checkInstância TSDB Não Permite Acesso de Qualquer IPROS, TerraformGarante que as instâncias TSDB não tenham listas brancas de segurança que permitam todos os IPs.
use-waf-instance-for-security-protectionUsar WAF para Proteção de SegurançaROS, TerraformO Firewall de Aplicações Web (WAF) deve ser usado para proteger sites e aplicativos de ataques baseados na web.
vpc-network-acl-risky-ports-checkVerificação de Portas de Risco da ACL de Rede VPCROS, TerraformGarante que as ACLs de rede VPC não permitam acesso irrestrito a portas de risco (22, 3389).

Média Severidade (176 Regras)

ID da RegraNomeTipos de IaCDescrição
ack-cluster-encryption-enabledCriptografia de Secret do Cluster ACK HabilitadaROS, TerraformClusters ACK Pro devem ter criptografia de Secret em repouso habilitada usando KMS.
ack-cluster-inspect-kubelet-version-outdate-checkVerificação de Versão do Kubelet ACKROS, TerraformGarante que a versão do Kubelet no cluster ACK esteja atualizada.
ack-cluster-log-plugin-installedPlugin de Log do Cluster ACK InstaladoROS, TerraformGarante que o complemento log-service esteja instalado no cluster ACK.
ack-cluster-rrsa-enabledRRSA do Cluster ACK HabilitadoROS, TerraformGarante que o recurso RAM Roles for Service Accounts (RRSA) está habilitado para o cluster ACK.
ack-cluster-supported-versionVersão Suportada do Cluster ACKROS, TerraformGarante que o cluster ACK esteja executando uma versão suportada.
ack-cluster-upgrade-latest-versionCluster ACK Atualizado para a Versão Mais RecenteROS, TerraformGarante que o cluster ACK esteja executando a versão mais recente disponível.
adb-cluster-multi-zoneImplantação Multi-Zona do Cluster ADBROS, TerraformO cluster ADB deve ser implantado em modo multi-zona.
alb-all-listenter-has-serverO Ouvinte ALB Tem Servidor BackendROS, TerraformGarante que todos os ouvintes ALB estejam associados a um grupo de servidores não vazio.
alb-instance-bind-security-group-or-enabled-aclInstância ALB Vincular Grupo de Segurança ou Habilitar ACLROS, TerraformA instância ALB deve ter grupos de segurança associados ou ACL configurado para todos os ouvintes em execução.
alb-server-group-multi-zoneDistribuição Multi-Zona do Grupo de Servidores ALBROS, TerraformOs grupos de servidores ALB devem ter servidores backend distribuídos em múltiplas zonas de disponibilidade para alta disponibilidade. Esta regra não se aplica a grupos de servidores sem servidores anexados, nem a grupos de servidores do tipo IP/Function Compute.
alidns-domain-regex-matchOs Nomes de Domínio DNS da Alibaba Cloud Correspondem à Convenção de NomenclaturaROS, TerraformGarante que os nomes de domínio DNS da Alibaba Cloud correspondam à expressão regular de convenção de nomenclatura especificada.
api-gateway-api-auth-jwtAutenticação JWT da API do API GatewayROS, TerraformGarante que as APIs do API Gateway usem autenticação JWT.
api-gateway-api-auth-requiredAutenticação de API do Gateway de API ObrigatóriaROS, TerraformGarante que as APIs do Gateway de API tenham autenticação configurada.
api-gateway-api-internet-request-httpsHTTPS de Solicitação de Internet do Gateway de API HabilitadoROS, TerraformGarante que as APIs do Gateway de API expostas à internet usem o protocolo HTTPS.
api-gateway-api-visibility-privateVisibilidade da API do API Gateway PrivadaROS, TerraformGarante que as APIs do API Gateway estejam definidas com visibilidade PRIVADA.
api-gateway-group-bind-domainVincular Domínio do Grupo de API GatewayROS, TerraformGarante que os grupos de API Gateway tenham domínios personalizados vinculados.
api-gateway-group-enabled-sslSSL do Grupo de API Gateway HabilitadoROS, TerraformGarante que SSL esteja habilitado para grupos de API Gateway.
api-gateway-group-https-policy-checkVerificação de Política HTTPS do Grupo API GatewayROS, TerraformGarante que os grupos do API Gateway tenham a política de segurança HTTPS configurada corretamente.
api-gateway-group-log-enabledLog do Grupo API Gateway HabilitadoROS, TerraformGarante que os grupos do API Gateway tenham registro configurado.
apigateway-instance-multi-zoneImplantação Multi-Zona de Instância API GatewayROS, TerraformAs instâncias do API Gateway devem ser implantadas em configuração multi-zona para alta disponibilidade.
bastionhost-instance-spec-checkVerificação de Especificação Multi-Zona de Instância BastionHostROS, TerraformA instância BastionHost deve usar a versão Enterprise que suporta implantação multi-zona.
cen-cross-region-bandwidth-checkVerificação de Largura de Banda Inter-Região CENROS, TerraformAs conexões inter-região da instância CEN devem ter alocação de largura de banda suficiente para atender aos requisitos de desempenho.
clickhouse-dbcluster-multi-zoneImplantações Multi-Zona do ClickHouse DBClusterROS, TerraformOs clusters ClickHouse devem usar a edição HighAvailability (Double-replica) para implantação multi-zona. Nota: Isso se aplica apenas à edição da comunidade.
cr-instance-multi-zoneInstância CR com Bucket OSS Redundante de ZonaROS, TerraformAs instâncias do Container Registry devem estar associadas a buckets OSS redundantes de zona para alta disponibilidade.
ecs-disk-all-encrypted-by-kmsDisco ECS com Criptografia KMS HabilitadaROS, TerraformOs discos ECS (incluindo disco do sistema e discos de dados) estão criptografados com KMS, considerado conforme.
ecs-disk-encryptedCriptografia de disco de dados ECS habilitadaROS, TerraformO disco de dados ECS tem criptografia habilitada, considerado conforme.
ecs-disk-in-useO Disco ECS Está em UsoROS, TerraformOs discos ECS estão anexados a uma instância ou em estado de uso, considerado conforme. Discos disponíveis ou não anexados podem ser recursos ociosos.
ecs-disk-retain-auto-snapshotReter Instantâneo Automático quando o Disco ECS é LiberadoROS, TerraformConfigure os discos ECS para reter instantâneos automáticos quando liberados, considerado conforme. Isso ajuda a proteger os dados contra exclusão acidental.
ecs-in-use-disk-encryptedCriptografia de Disco em Uso ECSROS, TerraformDiscos de dados ECS devem ter criptografia habilitada para proteger dados em repouso. Discos criptografados usam chaves KMS para criptografar dados, garantindo segurança de dados e conformidade com requisitos regulatórios.
ecs-instance-auto-renewal-enabledInstância de assinatura ECS tem renovação automática habilitadaROS, TerraformInstâncias de assinatura ECS (pré-pagas) têm renovação automática habilitada, consideradas conformes. Instâncias pay-as-you-go não são aplicáveis.
ecs-instance-image-expired-checkVerificação de Expiração de Imagem de Instância ECSROS, TerraformGarante que a imagem usada pela instância ECS não tenha expirado.
ecs-instance-image-type-checkVerificação de Tipo de Imagem de Instância ECSROS, TerraformGarante que as instâncias ECS usem imagens de fontes autorizadas.
ecs-instance-login-use-keypairLogin de Instância ECS Usando Par de ChavesROS, TerraformGarante que as instâncias ECS usem pares de chaves para login em vez de senhas.
ecs-instance-meta-data-mode-checkAcesso a metadados de instância ECS usa modo de segurança aprimorado (IMDSv2)ROS, TerraformAo acessar metadados de instância ECS, o modo de segurança aprimorado (IMDSv2) é aplicado, considerado conforme. Instâncias associadas a clusters ACK não são aplicáveis.
ecs-instance-no-public-and-anyipInstância ECS Não Deve Vincular IP Público ou Permitir Acesso de Qualquer IPROS, TerraformInstâncias ECS não devem vincular diretamente IPs públicos IPv4 ou IPs elásticos, e os grupos de segurança associados não devem expor 0.0.0.0/0. Conforme quando nenhum IP público está vinculado.
ecs-instance-not-bind-key-pairInstância ECS Não Vinculada a Par de ChavesROS, TerraformGarante que as instâncias ECS usem pares de chaves para autenticação em vez de senhas.
ecs-instance-type-family-not-deprecatedTipo de Instância ECS Não DepreciadoROS, TerraformGarante que as instâncias ECS não usem tipos de instância depreciados ou legados.
ecs-instances-in-vpcInstâncias ECS em VPCROS, TerraformInstâncias ECS devem ser implantadas em redes VPC (Virtual Private Cloud) em vez de redes clássicas. O VPC fornece melhor isolamento de rede, segurança e flexibilidade.
ecs-internetmaxbandwidth-checkVerificação de Largura de Banda Máxima da Internet ECSROS, TerraformGarante que a largura de banda de saída da Internet ECS não exceda os limites especificados.
ecs-launch-template-network-type-checkO modelo de inicialização do ECS usa tipo de rede VPCROS, TerraformAs versões do modelo de inicialização do ECS têm o tipo de rede definido como VPC, considerado em conformidade. O tipo de rede clássica não é recomendado para ambientes de produção.
ecs-launch-template-version-data-disk-encryptedA Versão do Modelo de Inicialização ECS Habilita a Criptografia de Disco de DadosROS, TerraformTodos os discos de dados configurados nas versões do modelo de inicialização ECS estão criptografados, considerado conforme.
ecs-launch-template-version-image-type-checkVerificação de Tipo de Imagem do Modelo de InicializaçãoROS, TerraformGarante que os modelos de inicialização ECS usem tipos de imagem autorizados.
ecs-running-instances-in-vpcInstâncias ECS em execução estão em VPCROS, TerraformInstâncias ECS em execução são implantadas em Virtual Private Cloud (VPC), consideradas conformes. Isso fornece isolamento de rede e segurança aprimorada.
ecs-snapshot-policy-timepoints-checkPontos de Tempo da Política de Instantâneo Automático ECS Configurados RazoavelmenteROS, TerraformOs pontos de tempo de criação de instantâneos na política de instantâneos automáticos estão dentro do intervalo de tempo especificado, considerado conforme. Criar instantâneos reduz temporariamente o desempenho de E/S do armazenamento em bloco, com diferenças de desempenho geralmente dentro de 10%, causando lentidões breves. Recomenda-se selecionar pontos de tempo que evitem horários de pico de negócios.
eip-delete-protection-enabledProteção de Exclusão de EIP HabilitadaROS, TerraformGarante que as instâncias EIP tenham proteção de exclusão habilitada.
elasticsearch-instance-enabled-data-node-encryptionCriptografia de Nó de Dados do Elasticsearch HabilitadaROS, TerraformGarante que os nós de dados na instância do Elasticsearch tenham criptografia de disco habilitada.
elasticsearch-instance-enabled-node-config-disk-encryptionCriptografia de Disco de Configuração de Nó ESROS, TerraformGarante que as configurações de nós elásticos do Elasticsearch tenham criptografia de disco habilitada.
elasticsearch-instance-multi-zoneImplantação Multi-Zona de Instância ElasticsearchROS, TerraformAs instâncias Elasticsearch devem ser implantadas em múltiplas zonas de disponibilidade.
emr-cluster-master-public-access-checkVerificação de Acesso Público do Nó Mestre do Cluster EMRROS, TerraformOs nós mestres do cluster EMR no ECS não devem ter IP público habilitado.
ess-group-health-checkVerificação de Saúde do Grupo de Escalonamento ESSROS, TerraformOs grupos de escalonamento ESS devem habilitar a verificação de saúde da instância ECS para garantir que apenas instâncias saudáveis estejam em serviço.
ess-scaling-configuration-attach-security-groupGrupo de Segurança de Configuração de Escalonamento ESSROS, TerraformAs configurações de escalonamento ESS devem anexar grupos de segurança às instâncias para isolamento de rede e controle de acesso adequados.
ess-scaling-configuration-enabled-internet-checkVerificação de Acesso à Internet da Configuração de Escalonamento ESSROS, TerraformGarante que as configurações de escalonamento ESS não habilitem endereços IP públicos para instâncias, a menos que seja necessário.
ess-scaling-configuration-image-checkVerificação de Imagem da Configuração de Escalonamento ESSROS, TerraformAs configurações de escalonamento ESS devem usar imagens mantidas para garantir segurança e estabilidade.
ess-scaling-configuration-image-type-checkVerificação de Tipo de Imagem de Configuração de Escalonamento ESSROS, TerraformAs configurações de escalonamento ESS devem usar imagens de fontes especificadas para melhor segurança e gerenciamento.
ess-scaling-group-attach-multi-switchGrupo de Escalonamento ESS Multi-VSwitchROS, TerraformOs grupos de escalonamento ESS devem estar associados a pelo menos dois VSwitches para alta disponibilidade em múltiplas zonas.
ess-scaling-group-attach-slbGrupo de Escalonamento ESS Anexar SLBROS, TerraformOs grupos de escalonamento ESS devem ser anexados ao Balanceador de Carga Clássico (SLB) para distribuição adequada de tráfego.
ess-scaling-group-loadbalancer-checkVerificação de Existência do Balanceador de Carga do Grupo de Escalonamento ESSROS, TerraformOs grupos de escalonamento ESS devem estar anexados a instâncias de balanceador de carga existentes e ativas para distribuição adequada de tráfego.
fc-function-custom-domain-and-cert-enableVerificação de Certificado de Domínio Personalizado de Função FCROS, TerraformOs domínios personalizados FC devem ter certificados SSL configurados para comunicação segura.
fc-function-custom-domain-and-https-enableVerificação HTTPS de Domínio Personalizado de Função FCROS, TerraformOs domínios personalizados FC devem ter HTTPS habilitado para comunicação segura.
fc-function-custom-domain-and-tls-enableDomínio Personalizado e TLS de Função FC HabilitadoROS, TerraformGarante que os domínios personalizados para funções Function Compute tenham TLS habilitado.
fc-function-internet-and-custom-domain-enableAcesso à Internet do Serviço FC com Domínio PersonalizadoROS, TerraformOs serviços FC com acesso à Internet devem estar vinculados a domínios personalizados para controle de acesso adequado.
fc-function-settings-checkVerificação de Configurações de Função FCROS, TerraformAs configurações de função FC devem atender aos requisitos especificados para desempenho e segurança ideais.
fc-service-bind-roleServiço FC Vinculado à Função RAMROS, TerraformGarante que o serviço Function Compute tenha uma função RAM vinculada.
fc-service-internet-access-disableAcesso à Internet do Serviço FC DesabilitadoROS, TerraformGarante que o serviço Function Compute tenha acesso à Internet desabilitado quando deve acessar apenas recursos internos.
fc-service-log-enableHabilitar Log do Serviço FCROS, TerraformOs serviços FC devem ter registro habilitado para monitoramento e solução de problemas.
fc-service-tracing-enableHabilitar Rastreamento de Serviço FCROS, TerraformOs serviços FC devem ter rastreamento habilitado para monitoramento de desempenho e depuração.
fc-service-vpc-bindingVinculação VPC do Serviço FC HabilitadaROS, TerraformGarante que o serviço Function Compute esteja configurado para acessar recursos dentro de um VPC.
firewall-asset-open-protectProteção de Ativos do Firewall em Nuvem HabilitadaROS, TerraformGarante que os ativos estejam protegidos pelo Firewall em Nuvem.
gpdb-instance-multi-zoneImplantações Multi-Zona de Instância GPDBROS, TerraformAs instâncias GPDB devem ser implantadas com uma zona de espera para alta disponibilidade.
gwlb-loadbalancer-multi-zoneImplantação Multi-Zona do Balanceador de Carga GWLBROS, TerraformAs instâncias do Balanceador de Carga GWLB devem ser implantadas em pelo menos duas zonas de disponibilidade para alta disponibilidade.
hbase-cluster-deletion-protectionProtecao contra Exclusao do Cluster HBase HabilitadaROS, TerraformGarante que as instancias HBase tenham protecao contra exclusao habilitada.
hbase-cluster-in-vpcCluster HBase Implantado em VPCROS, TerraformGarante que as instancias HBase estejam implantadas dentro de uma VPC.
hbase-cluster-multi-zoneImplantação Multi-Zona do Cluster HBaseROS, TerraformOs clusters HBase devem ser implantados em modo cluster com pelo menos 2 nós para alta disponibilidade.
internet-nat-gateway-in-specified-vpcGateway NAT da Internet em VPC EspecificadoROS, TerraformGateways NAT voltados para a Internet devem ser criados em VPCs especificados de acordo com os requisitos de segurança de rede.
intranet-nat-gateway-in-specified-vpcGateway NAT de Intranet em VPC EspecificadoROS, TerraformOs gateways NAT voltados para intranet devem ser criados em VPCs especificados de acordo com os requisitos de segurança de rede.
kafka-instance-multi-zoneImplantação Multi-Zona da Instância KafkaROS, TerraformAs instâncias Kafka devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade.
kms-instance-multi-zoneImplantação Multi-Zona da Instância KMSROS, TerraformAs instâncias KMS devem ser implantadas em pelo menos duas zonas de disponibilidade para alta disponibilidade e recuperação de desastres.
kms-key-delete-protection-enabledProteção de Exclusão de Chave KMS HabilitadaROS, TerraformA chave mestra KMS tem proteção de exclusão habilitada, considerada em conformidade. Chaves que não estão em status habilitado e chaves de serviço (que não podem ser excluídas) não são aplicáveis.
kms-key-rotation-enabledRotação automática de chave KMS habilitadaROS, TerraformChave mestra de usuário KMS tem rotação automática habilitada, considerada conforme. Chaves de serviço e chaves importadas externamente não são aplicáveis.
kms-secret-rotation-enabledRotação automática de segredo KMS habilitadaROS, TerraformSegredo KMS tem rotação automática habilitada, considerado conforme. Segredos genéricos não são aplicáveis.
lindorm-instance-in-vpcVerificação de Lindorm em VPCROS, TerraformGarante que as instâncias Lindorm sejam implantadas dentro de uma VPC.
lindorm-instance-multi-zoneImplantação Multi-zona de Instância LindormROS, TerraformA instância Lindorm deve ter pelo menos 4 nós de motor de tabela para implantação multi-zona.
mongodb-instance-enabled-sslSSL de Instância MongoDB HabilitadoROS, TerraformGarante que as instâncias MongoDB tenham criptografia SSL habilitada.
mongodb-instance-encryption-byok-checkA Instância MongoDB Usa Chave Personalizada para TDEROS, TerraformGarante que as instâncias MongoDB usem chaves KMS personalizadas para Criptografia Transparente de Dados (TDE).
mongodb-instance-in-vpcA Instância MongoDB Usa Rede VPCROS, TerraformGarante que as instâncias MongoDB sejam implantadas em uma rede de Nuvem Privada Virtual (VPC).
mongodb-instance-log-auditAuditoria de Log de Instância MongoDB HabilitadaROS, TerraformGarante que as instâncias MongoDB tenham auditoria de registro habilitada.
mongodb-instance-multi-nodeA Instância MongoDB Usa Múltiplos NósROS, TerraformGarante que as instâncias MongoDB sejam implantadas com múltiplos nós para alta disponibilidade.
mongodb-instance-multi-zoneImplantações Multi-Zona de Instância MongoDBROS, TerraformAs instâncias MongoDB devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade.
mongodb-instance-release-protectionProteção contra Liberação de Instância MongoDB HabilitadaROS, TerraformGarante que as instâncias MongoDB tenham proteção contra liberação habilitada.
mse-cluster-config-auth-enabledAutenticação de Configuração de Cluster MSE HabilitadaROS, TerraformGarante que o centro de configuração do cluster do Motor de Microserviços (MSE) tenha autenticação habilitada.
mse-cluster-multi-availability-area-architecture-checkConfiguração de Alta Disponibilidade do Cluster MSEROS, TerraformOs clusters MSE devem usar a Edição Profissional com pelo menos 3 instâncias (número ímpar) para alta disponibilidade.
mse-cluster-stable-version-checkO Cluster MSE Usa Versão EstávelROS, TerraformGarante que a versão do motor do cluster MSE seja maior que a versão estável mínima.
mse-gateway-multi-availability-area-architecture-checkImplantação Multi-Zona de Disponibilidade do Gateway MSEROS, TerraformOs gateways MSE devem ser implantados em múltiplas zonas de disponibilidade configurando um VSwitch de backup.
nas-filesystem-mount-target-access-group-checkVerificação de Grupo de Acesso do Alvo de Montagem NASROS, TerraformGarante que os alvos de montagem NAS não usem 'DEFAULT_VPC_GROUP_NAME'.
natgateway-delete-protection-enabledProteção contra Exclusão do Gateway NAT HabilitadaROS, TerraformGarante que as instâncias do gateway NAT tenham proteção contra exclusão habilitada.
natgateway-eip-used-checkVerificação de Uso de EIP do Gateway NATROS, TerraformSNAT e DNAT não devem usar o mesmo EIP para evitar conflitos potenciais e melhorar a segmentação de rede.
natgateway-snat-eip-bandwidth-checkConsistência de Largura de Banda EIP SNAT do Gateway NATROS, TerraformA especificação do gateway NAT não deve ser Small para garantir capacidade adequada de largura de banda EIP SNAT.
nlb-loadbalancer-multi-zoneImplantação Multi-Zona do Balanceador de Carga NLBROS, TerraformAs instâncias do balanceador de carga NLB devem ser implantadas em pelo menos duas zonas de disponibilidade para alta disponibilidade.
nlb-server-group-multi-zoneDistribuição Multi-Zona do Grupo de Servidores NLBROS, TerraformOs grupos de servidores NLB devem ter servidores backend distribuídos em múltiplas zonas de disponibilidade para alta disponibilidade. Esta regra não se aplica a grupos de servidores sem servidores anexados ou a grupos de servidores do tipo IP.
oss-bucket-authorize-specified-ipBucket OSS Autoriza IP EspecificadaROS, TerraformGarante que as políticas de bucket OSS restrinjam o acesso a intervalos de IP especificados.
oss-bucket-backup-enableBackup OSS HabilitadoROS, TerraformGarante que os buckets OSS tenham backup ou controle de versão habilitado.
oss-bucket-logging-enabledRegistro de Logs de Bucket OSS HabilitadoROS, TerraformBuckets OSS devem ter registro de logs habilitado para rastrear acesso e operações. O registro de logs ajuda na auditoria de segurança, solução de problemas e requisitos de conformidade.
oss-bucket-remote-replicationReplicação Remota de Bucket OSS HabilitadaROS, TerraformGarante que a replicação entre regiões esteja habilitada para o bucket OSS para recuperação de desastres.
oss-bucket-tls-version-checkVerificação de Versão TLS de Bucket OSSROS, TerraformGarante que o bucket OSS esteja configurado para usar uma versão segura de TLS (TLS 1.2 ou superior).
oss-bucket-versioning-enabledVersionamento de Bucket OSS HabilitadoROS, TerraformBucket OSS deve ter versionamento habilitado para proteger contra exclusão ou sobrescrita acidental.
oss-default-encryption-kmsCriptografia KMS do lado do servidor de bucket OSS habilitadaROS, TerraformO bucket OSS tem criptografia KMS do lado do servidor habilitada, considerado conforme.
oss-encryption-byok-checkVerificação de Criptografia BYOK de Bucket OSSROS, TerraformBuckets OSS devem usar chaves KMS gerenciadas pelo cliente (BYOK - Bring Your Own Key) para criptografia. Isso fornece melhor controle sobre chaves de criptografia e atende aos requisitos de conformidade.
oss-zrs-enabledArmazenamento com Redundância de Zona de Bucket OSS HabilitadoROS, TerraformBuckets OSS devem usar armazenamento com redundância de zona (ZRS) para alta disponibilidade e durabilidade de dados.
ots-instance-multi-zoneArmazenamento Redundante por Zona de Instância OTSROS, TerraformAs instâncias OTS devem usar o modo de acesso redundante por zona (ConsoleOrVpc) para alta disponibilidade.
ots-instance-network-not-normalTipo de Rede Restrito OTSROS, TerraformAs instâncias OTS não devem usar acesso de rede irrestrito (Any). Use Vpc ou ConsoleOrVpc em vez disso.
pai-eas-instances-multi-zoneImplantação Multi-Zona de Instância PAI EASROS, TerraformGarante que as instâncias PAI EAS sejam implantadas em múltiplas zonas para alta disponibilidade.
polardb-cluster-delete-protection-enabledProteção contra Exclusão de Cluster PolarDB HabilitadaROS, TerraformGarante que os clusters PolarDB tenham proteção contra exclusão habilitada.
polardb-cluster-enabled-sslSSL de Cluster PolarDB HabilitadoROS, TerraformGarante que os clusters PolarDB tenham criptografia SSL habilitada.
polardb-cluster-multi-zoneImplantação Multi-zona de Cluster PolarDBROS, TerraformClusters PolarDB devem ser implantados em múltiplas zonas de disponibilidade para alta disponibilidade.
polardb-dbcluster-in-vpcCluster PolarDB em VPCROS, TerraformGarante que o cluster PolarDB seja implantado em uma VPC definindo vswitch_id.
polardb-revision-version-used-checkVerificação de Versão de Revisão PolarDB UtilizadaROS, TerraformGarante que o cluster PolarDB esteja usando uma versão de revisão de kernel estável.
polardb-x2-instance-multi-zoneImplantação Multi-Zona da Instância PolarDB-X 2.0ROS, TerraformAs instâncias PolarDB-X 2.0 devem ser implantadas em 3 zonas de disponibilidade.
privatelink-server-endpoint-multi-zoneImplantação Multi-Zona do Serviço de Endpoint VPC PrivateLinkROS, TerraformOs serviços de endpoint VPC PrivateLink devem ter recursos implantados em múltiplas zonas de disponibilidade para alta disponibilidade.
privatelink-servier-endpoint-multi-zoneImplantações Multi-Zona do Ponto de Extremidade de Serviço PrivateLinkROS, TerraformGarante que os pontos de extremidade de serviço PrivateLink estejam implantados em múltiplas zonas para alta disponibilidade.
ram-password-policy-checkVerificação de Política de Senha RAMROS, TerraformGarante que a política de senha RAM atenda aos requisitos de segurança especificados.
ram-policy-no-has-specified-documentPolítica RAM Sem Documento EspecificadoROS, TerraformGarante que as políticas RAM personalizadas não contenham a configuração de permissões especificada.
ram-role-has-specified-policyFunção RAM Tem Política EspecificadaROS, TerraformGarante que as funções RAM tenham as políticas especificadas anexadas.
ram-role-no-product-admin-accessA Função RAM Não Tem Acesso de Administrador de ProdutoROS, TerraformGarante que as funções RAM não tenham acesso administrativo completo ou permissões de administrador de produto.
ram-user-activated-ak-quantity-checkVerificação de Quantidade de AK Ativo de Usuário RAMROS, TerraformGarante que usuários RAM não tenham mais de uma AccessKey ativa.
ram-user-ak-create-date-expired-checkVerificação de Expiração de Data de Criação de AccessKey de Usuário RAMROS, TerraformGarante que as AccessKeys de usuário RAM sejam gerenciadas adequadamente com armazenamento seguro.
ram-user-ak-used-expired-checkVerificação de Data de Último Uso de AccessKey de Usuário RAMROS, TerraformGarante que as AccessKeys de usuário RAM estejam em status Ativo.
ram-user-has-specified-policyO Usuário RAM Tem Política EspecificadaROS, TerraformGarante que os usuários RAM tenham as políticas necessárias anexadas, incluindo as herdadas de grupos.
ram-user-login-checkVerificação de Login de Usuário RAM HabilitadoROS, TerraformGarante que usuários RAM que não precisam de acesso ao console tenham login desabilitado.
ram-user-no-has-specified-policyUsuário RAM Sem Política EspecificadaROS, TerraformGarante que os usuários RAM não tenham políticas arriscadas especificadas anexadas.
ram-user-no-product-admin-accessUsuário RAM Sem Acesso Administrativo ao ProdutoROS, TerraformGarante que os usuários RAM não tenham acesso administrativo completo aos produtos em nuvem, a menos que seja necessário.
rds-instacne-delete-protection-enabledProteção contra Exclusão de Instância RDS HabilitadaROS, TerraformGarante que as instâncias RDS tenham proteção contra exclusão habilitada.
rds-instance-enabled-auditingAuditoria de Instância RDS HabilitadaROS, TerraformGarante que as instâncias RDS tenham auditoria SQL habilitada.
rds-instance-enabled-log-backupBackup de Log de Instância RDS HabilitadoROS, TerraformGarante que as instâncias RDS tenham backup de log habilitado.
rds-instance-enabled-sslSSL de Instância RDS HabilitadoROS, TerraformGarante que as instâncias RDS tenham criptografia SSL habilitada.
rds-instance-enabled-tde-disk-encryptionInstância RDS TDE ou Criptografia de Disco HabilitadaROS, TerraformA instância RDS deve ter TDE (Criptografia Transparente de Dados) ou criptografia de disco habilitada.
rds-instance-has-guard-instanceA Instância RDS Tem Instância de GuardaROS, TerraformGarante que as instâncias RDS de produção tenham uma instância de guarda (recuperação de desastres) correspondente.
rds-instances-in-vpcInstância RDS em VPCROS, TerraformGarante que a instância RDS seja implantada dentro de um VPC.
rds-multi-az-supportImplantação Multi-AZ de Instância RDSROS, TerraformInstâncias RDS devem ser implantadas em configuração multi-AZ para alta disponibilidade e failover automático.
redis-architecturetype-cluster-checkVerificação de Tipo de Arquitetura de Cluster RedisROS, TerraformGarante que a instância Redis use o tipo de arquitetura de cluster.
redis-instance-backup-log-enabledBackup de Log de Instância Redis HabilitadoROS, TerraformGarante que o backup esteja configurado para a instância Redis.
redis-instance-double-node-typeTipo de Nó Duplo de Instância RedisROS, TerraformGarante que a instância Redis use tipo de nó duplo para alta disponibilidade.
redis-instance-enabled-byok-tdeTDE BYOK de Instância Redis HabilitadoROS, TerraformGarante que as instâncias Redis tenham Transparent Data Encryption (TDE) habilitado usando Bring Your Own Key (BYOK).
redis-instance-enabled-sslSSL de Instância Redis HabilitadoROS, TerraformGarante que as instâncias Redis tenham criptografia SSL habilitada.
redis-instance-in-vpcInstância Redis em VPCROS, TerraformGarante que a instância Redis seja implantada em uma VPC.
redis-instance-multi-zoneImplantação Multi-zona de Instância RedisROS, TerraformInstâncias Redis devem ser implantadas em múltiplas zonas de disponibilidade para alta disponibilidade.
redis-instance-release-protectionProteção contra Liberação de Instância Redis HabilitadaROS, TerraformGarante que as instâncias Redis tenham proteção contra liberação habilitada.
redis-instance-tls-version-checkVerificação de Versão TLS de Instância RedisROS, TerraformGarante que a instância Redis tenha SSL habilitado com uma versão TLS aceitável.
redis-min-capacity-limitLimite de Capacidade Mínima do RedisROS, TerraformGarante que a instância Redis tenha capacidade de memória que atenda ao requisito mínimo.
rocketmq-v5-instance-multi-zoneImplantações Multi-Zona de Instância RocketMQ 5.0ROS, TerraformAs instâncias RocketMQ 5.0 devem ser implantadas no modo Cluster HA que suporta disponibilidade multi-zona.
security-center-version-checkVerificação de Versão do Centro de SegurançaROSO Centro de Segurança deve estar em uma versão que forneça recursos de proteção suficientes.
slb-all-listener-enabled-aclTodos os Ouvintes SLB Têm Controle de AcessoROS, TerraformTodos os ouvintes em execução das instâncias SLB devem ter listas de controle de acesso (ACL) configuradas para segurança.
slb-all-listener-http-disabledHTTP de Todos os Ouvintes SLB DesabilitadoROS, TerraformGarante que nenhum ouvinte SLB use o protocolo HTTP inseguro.
slb-all-listener-http-redirect-httpsRedirecionamento HTTP para HTTPS do SLB HabilitadoROS, TerraformGarante que os ouvintes HTTP do SLB estejam configurados para redirecionar o tráfego para HTTPS.
slb-all-listenter-has-serverTodos os Ouvintes SLB Têm Servidores BackendROS, TerraformTodos os ouvintes das instâncias SLB devem ter pelo menos o número especificado de servidores backend anexados.
slb-all-listenter-tls-policy-checkVerificação de Política TLS do Listener SLBROS, TerraformGarante que os listeners HTTPS SLB usem políticas de criptografia TLS seguras.
slb-default-server-group-multi-serverO Grupo de Servidores Padrão do SLB Tem Múltiplos ServidoresROS, TerraformO grupo de servidores padrão das instâncias SLB deve ter pelo menos dois servidores para evitar um ponto único de falha.
slb-instance-autorenewal-checkVerificação de Renovação Automática de Instância SLBROS, TerraformInstâncias SLB pré-pagas devem ter renovação automática habilitada para evitar interrupção do serviço.
slb-instance-default-server-group-multi-zoneGrupo de Servidores Padrão SLB Multi-ZonaROS, TerraformO grupo de servidores padrão das instâncias SLB deve ter recursos distribuídos em múltiplas zonas de disponibilidade.
slb-instance-log-enabledRegistro de Instância SLB HabilitadoROS, TerraformGarante que o registro de acesso esteja habilitado para a instância SLB.
slb-instance-multi-zoneImplantação Multi-zona da Instância SLBROS, TerraformInstâncias SLB devem ser implantadas em múltiplas zonas configurando zonas mestre e escrava para alta disponibilidade.
slb-instance-spec-checkVerificação de Especificação de Instância SLBROS, TerraformAs especificações da instância SLB devem atender aos critérios de desempenho necessários com base na lista especificada.
slb-listener-https-enabledHTTPS de Listener SLB HabilitadoROS, TerraformGarante que os listeners SLB usem o protocolo HTTPS para comunicação segura.
slb-loadbalancer-in-vpcVerificação SLB em VPCROS, TerraformGarante que as instâncias SLB estejam implantadas dentro de uma Virtual Private Cloud (VPC).
slb-master-slave-server-group-multi-zoneGrupo de Servidores Mestre-Escravo SLB Multi-ZonaROS, TerraformO grupo de servidores mestre-escravo das instâncias SLB deve ter recursos distribuídos em múltiplas zonas de disponibilidade.
slb-no-public-ipInstância SLB Sem IP PúblicoROS, TerraformAs instâncias SLB não devem ter endereços IP públicos para reduzir a superfície de ataque.
slb-vserver-group-multi-zoneImplantação Multi-Zona do Grupo de Servidor Virtual SLBROS, TerraformGarante que os grupos de servidor virtual SLB contenham instâncias de múltiplas zonas de disponibilidade.
sls-logstore-enabled-encryptCriptografia do Logstore SLS HabilitadaROS, TerraformGarante que os Logstores SLS tenham criptografia do lado do servidor habilitada.
sls-logstore-encrypt-key-origin-checkVerificação de Origem da Chave de Criptografia do Logstore SLSROS, TerraformGarante que os Logstores SLS usem material de chave importado externamente (BYOK) para criptografia, o que fornece melhor controle sobre as chaves de criptografia.
sls-project-multi-zoneArmazenamento Redundante de Zona do Projeto SLSROS, TerraformOs projetos SLS devem usar armazenamento redundante de zona (ZRS) para alta disponibilidade e durabilidade dos dados.
vpc-flow-logs-enabledLogs de Fluxo VPC HabilitadosROS, TerraformGarante que os logs de fluxo VPC estejam habilitados para monitorar tráfego de rede.
vpc-network-acl-not-emptyACL de Rede VPC Não VazioROS, TerraformGarante que as ACLs de rede VPC tenham pelo menos uma regra configurada.
vpn-connection-master-slave-establishedConexão VPN Túnel Duplo EstabelecidoROS, TerraformUse um gateway VPN de túnel duplo e ambos os túneis mestre e escravo estão estabelecidos com o par.
vpn-gateway-multi-zoneImplantação Multi-Zona do Gateway VPNROS, TerraformOs gateways VPN devem ser configurados com um VSwitch de recuperação de desastres para suportar disponibilidade multi-zona.
vswitch-available-ip-countVerificação de Contagem de IP Disponível do VSwitchROS, TerraformGarante que o VSwitch tenha um número suficiente de endereços IP disponíveis.
waf-instance-logging-enabledRegistro de Instância WAF HabilitadoROS, TerraformGarante que o registro esteja habilitado para a instância WAF para auditoria e análise de segurança.
waf3-defense-resource-logging-enabledRegistro do WAF 3.0 HabilitadoROS, TerraformGarante que o registro esteja habilitado para recursos protegidos pelo WAF 3.0.

Baixa Severidade (41 Regras)

ID da RegraNomeTipos de IaCDescrição
ack-cluster-spec-checkVerificação de Especificação de Cluster ACKROS, TerraformGarante que os clusters ACK usem especificações aprovadas (por exemplo, ACK Pro).
alb-address-type-checkVerificação de Tipo de Endereço ALBROS, TerraformGarante que as instâncias ALB usem o tipo de endereço preferido (por exemplo, Intranet).
apig-group-custom-trace-enabledRastreamento Personalizado do Grupo API Gateway HabilitadoROS, TerraformGarante que os grupos do API Gateway tenham rastreamento personalizado habilitado.
cr-repository-immutablity-enableA Versão da Imagem do Repositório do Registro de Contêineres é ImutávelROS, TerraformA versão da imagem do repositório do Registro de Contêineres é imutável, considerado conforme.
eci-container-group-volumn-mountsVerificação de Montagem de Volume ECIROS, TerraformGarante que os grupos de contêineres ECI tenham volumes montados para armazenamento de dados persistente.
ecs-disk-auto-snapshot-policyDisco ECS tem política de snapshot automático configuradaROS, TerraformDisco ECS tem política de snapshot automático configurada, considerado conforme. Discos não em uso, discos que não suportam política de snapshot automático e discos não persistentes montados por clusters ACK não são aplicáveis. Após habilitar a política de snapshot automático, o Alibaba Cloud criará automaticamente snapshots para discos em nuvem de acordo com pontos de tempo e ciclos predefinidos, permitindo recuperação rápida de invasão de vírus ou ataques de ransomware.
ecs-disk-idle-checkVerificação de Disco Inativo ECSROS, TerraformGarante que os discos ECS estejam anexados a uma instância e não estejam em estado inativo.
ecs-disk-regional-auto-checkArmazenamento ESSD com Redundância de Zona de Disco ECSROS, TerraformOs discos de dados ECS devem usar armazenamento ESSD com redundância de zona para alta disponibilidade. Os discos do sistema não são aplicáveis a esta regra.
ecs-instance-chargetype-checkVerificação de Tipo de Cobrança da Instância ECSROS, TerraformGarante que as instâncias ECS usem o tipo de cobrança autorizado.
ecs-instance-multiple-eni-checkA Instância ECS Está Vinculada Apenas a Uma Interface de Rede ElásticaROS, TerraformAs instâncias ECS estão vinculadas apenas a uma interface de rede elástica, considerado conforme. Isso ajuda a simplificar a configuração de rede e reduzir a complexidade.
ecs-instance-ram-role-attachedFunção RAM de Instância ECS AnexadaROS, TerraformGarante que as instâncias ECS tenham uma função IAM anexada para acesso seguro a outros serviços em nuvem.
ecs-internet-charge-type-checkVerificação de Tipo de Cobrança de Internet ECSROS, TerraformGarante que as instâncias ECS usem o tipo de cobrança de Internet preferido.
ecs-security-group-description-checkDescrição de Grupo de Segurança Não VaziaROS, TerraformA descrição do grupo de segurança não deve estar vazia. Ter uma descrição ajuda com gerenciamento e auditoria.
ecs-security-group-type-not-normalUsar Tipo de Grupo de Segurança EmpresarialROS, TerraformO tipo de grupo de segurança ECS não deve ser tipo normal. Usar grupo de segurança empresarial é considerado conforme.
ecs-snapshot-retention-daysDias de retenção de snapshot automático ECS atendem requisitosROS, TerraformOs dias de retenção da política de snapshot automático ECS são maiores que o número especificado de dias, considerado conforme. Valor padrão: 7 dias.
ecs-system-disk-size-checkVerificação de Tamanho do Disco do Sistema ECSROS, TerraformGarante que os discos do sistema ECS atendam ao tamanho mínimo necessário.
eip-attachedEIP AnexadoROS, TerraformGarante que as instâncias EIP estejam associadas a um recurso.
eip-bandwidth-limitLimite de Largura de Banda EIPROS, TerraformGarante que a largura de banda EIP não exceda um valor máximo especificado.
hbase-cluster-type-checkVerificacao de Tipo de Motor do Cluster HBaseROS, TerraformO cluster HBase nao deve usar um tipo de motor obsoleto.
metadata-ros-composer-checkVerificação de Metadados de Modelo ALIYUN::ROS::ComposerROSO modelo deve ter Metadata.ALIYUN::ROS::Composer configurado. O valor deve ser um dicionário (objeto).
nas-filesystem-encrypt-type-checkCriptografia do sistema de arquivos NAS configuradaROS, TerraformGarante que os sistemas de arquivos NAS tenham a criptografia habilitada (encrypt_type definido como 1 ou 2).
oss-bucket-referer-limitProteção contra link direto de referer de bucket OSS configuradaROS, TerraformO bucket OSS tem proteção contra link direto de referer habilitada com uma lista branca configurada.
polardb-cluster-default-time-zone-not-systemFuso Horário Padrão do Cluster PolarDB Não é SistemaROS, TerraformGarante que o cluster PolarDB tenha parâmetros configurados com configurações de fuso horário explícitas.
polardb-cluster-maintain-time-checkVerificação de Janela de Manutenção de Cluster PolarDBROS, TerraformGarante que o cluster PolarDB tenha uma janela de manutenção configurada.
ram-group-has-member-checkO Grupo RAM Tem MembroROS, TerraformGarante que os grupos RAM tenham pelo menos um membro.
ram-group-in-use-checkVerificação de Grupo RAM em UsoROS, TerraformGarante que os grupos RAM não estejam ociosos - devem ter pelo menos um membro e pelo menos uma política anexada.
ram-policy-in-use-checkVerificação de Política RAM em UsoROS, TerraformGarante que as políticas RAM estejam anexadas a pelo menos um usuário, grupo ou função RAM.
ram-user-group-membership-checkVerificação de Associação ao Grupo de Usuário RAMROS, TerraformGarante que os usuários RAM pertençam a pelo menos um grupo para facilitar o gerenciamento de permissões.
ram-user-last-login-expired-checkVerificação de Último Login de Usuário RAMROS, TerraformVerifica se usuários RAM não fizeram login há muito tempo.
ram-user-no-policy-checkO Usuário RAM Tem PolíticaROS, TerraformGarante que os usuários RAM tenham pelo menos uma política anexada.
rds-instance-maintain-time-checkVerificação de Janela de Manutenção de Instância RDSROS, TerraformGarante que a instância RDS tenha uma janela de manutenção configurada.
rds-instance-storage-autoscale-enableAutoescala de Armazenamento RDS HabilitadaROS, TerraformGarante que as instâncias RDS tenham autoescala de armazenamento habilitada para prevenir tempo de inatividade devido a discos cheios.
redis-instance-backup-time-checkVerificação de Janela de Backup de Instância RedisROS, TerraformGarante que a instância Redis tenha uma janela de backup configurada.
root-has-specified-roleA Conta Raiz Tem Função EspecificadaROSGarante que a conta raiz tenha uma função RAM especificada para governança e gerenciamento.
slb-backendserver-weight-checkVerificação de Peso do Servidor Backend SLBROS, TerraformGarante que os servidores backend SLB tenham configurações de peso razoáveis.
slb-instance-loadbalancerspec-checkVerificação de Especificação de Instância SLBROS, TerraformGarante que as instâncias SLB usem especificações de desempenho aprovadas.
slb-loadbalancer-bandwidth-limitLimite de Largura de Banda SLBROS, TerraformGarante que a largura de banda da instância SLB não exceda um valor máximo especificado.
slb-modify-protection-checkProteção contra Modificação de SLB HabilitadaROS, TerraformGarante que as instâncias SLB tenham proteção contra modificação habilitada.
sls-logstore-hot-ttl-checkArmazenamento de Camada Inteligente do Logstore SLS HabilitadoROS, TerraformGarante que os Logstores SLS tenham armazenamento inteligente de camada quente/fria habilitado para otimização de custos.
vpn-gateway-enabled-ssl-vpnSSL-VPN do Gateway VPN HabilitadoROS, TerraformGarante que o gateway VPN tenha SSL-VPN habilitado para acesso seguro do cliente.
vpn-ipsec-connection-health-check-openVerificação de Integridade IPsec VPN HabilitadaROS, TerraformGarante que as conexões VPN IPsec tenham verificações de integridade habilitadas para detectar falhas do túnel.

Este documento é gerado automaticamente a partir dos metadados da política.