更新时间:2024-10-28 GMT+08:00

适用于SWIFT CSP的标准合规包

本文为您介绍适用于SWIFT CSP的标准合规包的业务背景以及合规包中的默认规则。

业务背景

SWIFT CSP是SWIFT公司推出的一种云安全解决方案,旨在为金融机构提供更加安全、可靠的SWIFT交易网络服务。有关SWIFT CSP的更多信息,请参见SWFIT官网https://www.swift.com/

免责条款

本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。

默认规则

此表中的建议项编号对应https://www.swift.com/中参考文档的章节编号,供您查阅参考。

表1 适用于SWIFT CSP的标准合规包默认规则说明

建议项编号

合规规则

指导

1.1

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

1.1

ecs-instance-in-vpc

确保弹性云服务器所有流量都安全地保留在虚拟私有云中。

1.1

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

1.1

vpc-acl-unused-check

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联,实现对子网的防护。

1.1

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

1.2

iam-customer-policy-blocked-kms-actions

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。

1.2

iam-group-has-users-check

确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。

1.2

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。

1.2

smn-lts-enable

确保为指定SMN主题绑定一个云日志,用于记录主题消息发送状态等信息。

1.4

private-nat-gateway-authorized-vpc-only

确保NAT私网网关仅连接到授权的虚拟私有云中,管理对华为云中资源的访问。

1.4

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的ip地址,确保对安全组内资源实例的访问。

1.4

function-graph-public-access-prohibited

确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

2.3

ecs-multiple-public-ip-check

此规则检查您的ECS实例是否具有多个公网IP。拥有多个弹性公网IP可能会增加网络安全的复杂性。

2.3

volume-unused-check

确保云硬盘未闲置。

2.3

kms-not-scheduled-for-deletion

确保数据加密服务密钥未处于“计划删除”状态,以防止误删除密钥。

2.5A

sfsturbo-encrypted-check

由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务已通过KMS进行加密。

2.5A

volumes-encrypted-check

由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。

4.1

iam-password-policy

确保IAM用户密码强度满足密码强度要求。

4.1

access-keys-rotated

确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。

4.2

iam-user-mfa-enabled

确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。

4.2

mfa-enabled-for-iam-console-access

确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。

4.2

root-account-mfa-enabled

确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

5.1

iam-role-has-all-permissions

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

5.1

iam-root-access-key-check

确保根访问密钥已删除。

5.1

iam-user-group-membership-check

确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。

6.4

cts-lts-enable

确保使用云日志服务集中收集云审计服务的数据。

6.4

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务用于记录华为云管理控制台操作。

6.4

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

6.4

cts-kms-encrypted-check

确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。

6.4

cts-support-validate-check

确保云审计服务追踪器已打开事件文件校验,以避免日志文件存储后被修改、删除。

6.4

stopped-ecs-date-diff

启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数,确保弹性云服务器未闲置。

6.4

vpc-flow-logs-enabled

VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。