更新时间:2024-10-28 GMT+08:00

华为云网络安全合规实践

该示例模板中对应的合规规则的说明如下表所示:

表1 合规包示例模板说明

合规规则

规则中文名称

涉及云服务

规则描述

access-keys-rotated

IAM用户的AccessKey在指定时间内轮换

iam

IAM用户的访问密钥未在指定天数内轮转,视为“不合规”.

alarm-kms-disable-or-delete-key

CES配置监控KMS禁用或计划删除密钥的事件监控告警

ces,kms

CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”

alarm-obs-bucket-policy-change

CES配置监控OBS桶策略变更的事件监控告警

ces,obs

CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规”

alarm-vpc-change

CES配置监控VPC变更的事件监控告警

ces,vpc

CES未配置监控VPC变更的事件监控告警,视为“不合规”

css-cluster-https-required

CSS集群启用HTTPS

css

CSS集群未启用https,视为“不合规”

css-cluster-in-vpc

CSS集群绑定指定VPC资源

css

CSS集群未与指定的VPC资源绑定,视为“不合规”

cts-kms-encrypted-check

CTS追踪器通过KMS进行加密

cts

CTS追踪器未通过KMS进行加密,视为“不合规”

cts-lts-enable

CTS追踪器启用事件分析

cts

CTS追踪器未启用事件分析,视为“不合规”

cts-obs-bucket-track

CTS追踪器追踪指定的OBS桶

cts

账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”

cts-support-validate-check

CTS追踪器打开事件文件校验

cts

CTS追踪器未打开事件文件校验,视为“不合规”

cts-tracker-exists

创建并启用CTS追踪器

cts

账号未创建CTS追踪器,视为“不合规”

ecs-instance-in-vpc

ECS资源属于指定虚拟私有云ID

ecs,vpc

指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规”

ecs-instance-no-public-ip

ECS资源不能公网访问

ecs

ECS资源具有弹性公网IP,视为“不合规”

eip-unbound-check

弹性公网IP未进行任何绑定

vpc

弹性公网IP未进行任何绑定,视为“不合规”

elb-tls-https-listeners-only

ELB监听器配置HTTPS监听协议

elb

负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”

iam-group-has-users-check

IAM用户组添加了IAM用户

iam

IAM用户组未添加任意IAM用户,视为“不合规”

iam-password-policy

IAM用户密码策略符合要求

iam

IAM用户密码强度不满足密码强度要求,视为“不合规”

iam-root-access-key-check

IAM账号存在可使用的访问密钥

iam

账号存在可使用的访问密钥,视为“不合规”

iam-user-console-and-api-access-at-creation

IAM用户创建时设置AccessKey

iam

对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”

iam-user-group-membership-check

IAM用户归属指定用户组

iam

IAM用户不属于指定IAM用户组,视为“不合规”

iam-user-last-login-check

IAM用户在指定时间内有登录行为

iam

IAM用户在指定时间范围内无登录行为,视为“不合规”

iam-user-mfa-enabled

IAM用户开启MFA

iam

IAM用户未开启MFA认证,视为“不合规”

iam-user-single-access-key

IAM用户单访问密钥

iam

IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”

mfa-enabled-for-iam-console-access

Console侧密码登录的IAM用户开启MFA认证

iam

通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”

mrs-cluster-kerberos-enabled

MRS集群开启kerberos认证

mrs

MRS集群未开启kerberos认证,视为“不合规”

mrs-cluster-no-public-ip

MRS集群未绑定弹性公网IP

mrs

MRS集群绑定弹性公网IP,视为“不合规”

private-nat-gateway-authorized-vpc-only

NAT私网网关绑定指定VPC资源

nat

NAT私网网关未与指定的VPC资源绑定,视为“不合规”

rds-instance-multi-az-support

RDS实例支持多可用区

rds

RDS实例仅支持一个可用区,视为“不合规”

rds-instance-no-public-ip

RDS实例不具有弹性公网IP

rds

RDS资源具有弹性公网IP,视为“不合规”

root-account-mfa-enabled

根账号开启MFA认证

iam

根账号未开启MFA认证,视为“不合规”

stopped-ecs-date-diff

关机状态的ECS未进行任意操作的时间检查

ecs

关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规”

volume-unused-check

云硬盘闲置检测

evs

云硬盘未挂载给任何云服务器,视为“不合规”

volumes-encrypted-check

已挂载的云硬盘开启加密

ecs,evs

已挂载的云硬盘未进行加密,视为“不合规”

vpc-acl-unused-check

未与子网关联的网络ACL

vpc

检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”

vpc-flow-logs-enabled

VPC启用流日志

vpc

检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”