- 最新动态
- 产品介绍
- 快速入门
-
用户指南
- 资源清单
- 资源记录器
-
资源合规
- 资源合规概述
- 资源合规规则
- 组织合规规则
- 查看不合规资源
- 合规规则概念详解
-
系统内置预设策略
- 预设策略列表
- 公共可用预设策略
- API网关 APIG
- 部署 CodeArts Deploy
- MapReduce服务 MRS
- NAT网关 NAT
- VPC终端节点 VPCEP
- Web应用防火墙 WAF
- 弹性负载均衡 ELB
- 弹性公网IP EIP
- 弹性伸缩 AS
- 高性能弹性文件服务 SFS Turbo
- 弹性云服务器 ECS
- 分布式缓存服务 DCS
- 函数工作流 FunctionGraph
- 内容分发网络 CDN
- 配置审计 Config
- 数据仓库服务 DWS
- 数据复制服务 DRS
- 数据加密服务 DEW
-
统一身份认证服务 IAM
- IAM用户的AccessKey在指定时间内轮换
- IAM策略中不授权KMS的禁止的action
- IAM用户组添加了IAM用户
- IAM用户密码策略符合要求
- IAM策略黑名单检查
- IAM策略不具备Admin权限
- IAM自定义策略具备所有权限
- 根用户存在可使用的访问密钥
- IAM用户访问模式
- IAM用户创建时设置AccessKey
- IAM用户归属指定用户组
- IAM用户在指定时间内有登录行为
- IAM用户开启MFA
- IAM用户单访问密钥
- Console侧密码登录的IAM用户开启MFA认证
- 根用户开启MFA认证
- IAM策略使用中
- IAM权限使用中
- IAM用户开启登录保护
- IAM委托绑定策略检查
- IAM用户admin权限检查
- IAM用户不直接附加策略或权限
- 文档数据库服务 DDS
- 消息通知服务 SMN
- 虚拟私有云 VPC
- 虚拟专用网络 VPN
- 云监控服务 CES
- 云容器引擎 CCE
- 云审计服务 CTS
- 云数据库 RDS
- 云数据库 GaussDB
- 云数据库 TaurusDB
- 云数据库 GeminiDB
- 云搜索服务 CSS
- 云硬盘 EVS
- 云证书管理服务 CCM
- 分布式消息服务Kafka版
- 分布式消息服务RabbitMQ版
- 分布式消息服务RocketMQ版
- 组织 Organizations
- 云防火墙 CFW
- 云备份 CBR
- 对象存储服务 OBS
- 镜像服务 IMS
- 裸金属服务器 BMS
- 图引擎服务 GES
- 资源合规事件监控
-
合规规则包
- 合规规则包概述
- 合规规则包
- 组织合规规则包
- 自定义合规规则包
-
合规规则包示例模板
- 示例模板概述
- 等保三级2.0规范检查的标准合规包
- 适用于金融行业的合规实践
- 华为云网络安全合规实践
- 适用于统一身份认证服务(IAM)的最佳实践
- 适用于云监控服务(CES)的最佳实践
- 适用于计算服务的最佳实践
- 适用于弹性云服务器(ECS)的最佳实践
- 适用于弹性负载均衡(ELB)的最佳实践
- 适用于管理与监管服务的最佳实践
- 适用于云数据库(RDS)的最佳实践
- 适用于弹性伸缩(AS)的最佳实践
- 适用于云审计服务(CTS)的最佳实践
- 适用于人工智能与机器学习场景的合规实践
- 适用于自动驾驶场景的合规实践
- 资源开启公网访问最佳实践
- 适用于日志和监控的最佳实践
- 华为云架构可靠性最佳实践
- 适用于中国香港金融管理局的标准合规包
- 适用于中小企业的ENISA的标准合规包
- 适用于SWIFT CSP的标准合规包
- 适用于德国云计算合规标准目录的标准合规包
- 适用于PCI-DSS的标准合规包
- 适用于医疗行业的合规实践
- 网络及数据安全最佳实践
- 适用于Landing Zone基础场景的最佳实践
- 架构安全支柱运营最佳实践
- 网络和内容交付服务运营最佳实践
- 适用于空闲资产管理的最佳实践
- 多可用区架构最佳实践
- 资源稳定性最佳实践
- 适用于API网关(APIG)的最佳实践
- 适用于云容器引擎(CCE)的最佳实践
- 适用于内容分发网络(CDN)的最佳实践
- 适用于函数工作流(FunctionGraph)的最佳实践
- 适用于云数据库(GaussDB)的最佳实践
- 适用于云数据库(GeminiDB)的最佳实践
- 适用于MapReduce服务(MRS)的最佳实践
- NIST审计标准最佳实践
- 新加坡金融行业的最佳实践
- 安全身份和合规性运营最佳实践
- 华为云安全配置基线指南的标准合规包(level 1)
- 华为云安全配置基线指南的标准合规包(level 2)
- 静态数据加密最佳实践
- 数据传输加密最佳实践
- 适用于云备份(CBR)的最佳实践
- 适用于云搜索服务(CSS)的最佳实践
- 适用于分布式缓存服务(DCS)的最佳实践
- 适用于分布式消息服务(DMS)的最佳实践
- 适用于数据仓库服务(DWS)的最佳实践
- 适用于云数据库(TaurusDB)的最佳实践
- 适用于对象存储服务(OBS)的最佳实践
- 适用于VPC安全组的最佳实践
- 适用于Web应用防火墙(WAF)的最佳实践
- 高级查询
- 资源聚合器
- 云审计-记录配置审计
- 附录
- API参考
- SDK参考
- 最佳实践
- 常见问题
- 通用参考
链接复制成功!
适用于Landing Zone基础场景的最佳实践
本文为您介绍适用于Landing Zone基础场景的最佳实践的业务背景以及合规包中的默认规则。
业务背景
为满足客户更好的管理云的诉求,华为云基于华为公司多年自身企业治理经验以及帮助企业实现数字化转型的成功实践,系统性提出Landing Zone解决方案。Landing Zone解决方案旨在为企业构筑一套可持续扩展、安全、合规的云上运行环境,天然契合金融行业的上云与数字化转型痛点诉求。Landing Zone解决方案从多账号组织管理、网络规划、身份与权限、数据边界、安全防护、合规审计、运维监控和成本管理多个维度按照最佳实践指导企业搭建上云环境。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
该示例模板中对应的合规规则的说明如下表所示:
规则目标 |
合规规则 |
规则中文名称 |
---|---|---|
组织单元和账号设计 |
account-part-of-organizations |
账号加入组织 |
组织单元和账号设计 |
iam-user-group-membership-check |
IAM用户归属指定用户组 |
组织单元和账号设计 |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
统一身份权限 |
root-account-mfa-enabled |
根账号开启MFA认证 |
统一身份权限 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
统一身份权限 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
统一身份权限 |
iam-user-single-access-key |
IAM用户单访问密钥 |
统一身份权限 |
iam-password-policy |
IAM用户密码策略符合要求 |
统一身份权限 |
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
统一身份权限 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
统一身份权限 |
iam-policy-no-statements-with-admin-access |
IAM策略不具备Admin权限 |
统一网络架构 |
eip-unbound-check |
弹性公网IP未进行任何绑定 |
统一网络架构 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
统一网络架构 |
vpc-acl-unused-check |
未与子网关联的网络ACL |
统一网络架构 |
vpc-sg-restricted-ssh |
安全组入站流量限制SSH端口 |
统一网络架构 |
vpc-default-sg-closed |
默认安全组关闭出、入方向流量 |
统一网络架构 |
vpc-sg-ports-check |
安全组端口检查 |
统一网络架构 |
vpn-connections-active |
VPN连接状态为“正常” |
统一运维监控 |
alarm-obs-bucket-policy-change |
CES配置监控OBS桶策略变更的事件监控告警 |
统一运维监控 |
alarm-vpc-change |
CES配置监控VPC变更的事件监控告警 |
统一运维监控 |
alarm-kms-disable-or-delete-key |
CES配置监控KMS禁用或计划删除密钥的事件监控告警 |
统一合规审计 |
cts-lts-enable |
CTS追踪器启用事件分析 |
统一合规审计 |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
统一合规审计 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
统一合规审计 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
统一安全管控 |
cce-endpoint-public-access |
CCE集群资源不具有弹性公网IP |
统一安全管控 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
统一安全管控 |
rds-instance-no-public-ip |
RDS实例不具有弹性公网IP |
统一安全管控 |
pca-certificate-authority-expiration-check |
检查私有CA是否过期 |
统一安全管控 |
pca-certificate-expiration-check |
检查私有证书是否过期 |
统一安全管控 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
统一安全管控 |
rds-instances-enable-kms |
RDS实例开启存储加密 |
可靠架构 |
rds-instance-enable-backup |
RDS实例开启备份 |
可靠架构 |
rds-instance-multi-az-support |
RDS实例支持多可用区 |
可靠架构 |
volume-unused-check |
云硬盘闲置检测 |