华为云安全配置基线指南的标准合规包（level 1）

更新时间：2025-01-22 GMT+08:00

查看PDF

本文为您介绍华为云安全配置基线指南的标准合规包（level 1）的应用场景以及合规包中的默认规则。

应用场景

华为云安全配置基线指南为您提供重要云服务的基线配置指导，开启云上服务安全建设的第一步，更多信息见华为云信任中心。

免责条款

本合规规则包模板为您提供通用的操作指引，帮助您快速创建符合目标场景的合规规则包。为避免疑义，本“合规”仅指资源符合规则定义本身的合规性描述，不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求，您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。

默认规则

此表中的建议项编号对应华为云安全配置基线指南文档的章节编号，供您查阅参考。

表1 华为云安全配置基线指南的标准合规包（level 1）默认规则说明
建议项编号	建议项说明	合规规则	规则中文名称	涉及云服务	规则描述
C.CS.FOUNDATION.G_1.R_1	确保管理员账号禁用 AK/SK	iam-root-access-key-check	根用户存在可使用的访问密钥	iam	根用户存在可使用的访问密钥，视为“不合规”
C.CS.FOUNDATION.G_1.R_2	确保管理员账号已启用 MFA	root-account-mfa-enabled	根用户开启MFA认证	iam	根用户未开启MFA认证，视为“不合规”
C.CS.FOUNDATION.G_1.R_14	确保不创建允许“:”管理权限的 IAM 策略	iam-policy-no-statements-with-admin-access	IAM策略不具备Admin权限	iam	IAM自定义策略具有allow的全部云服务的全部权限(::或:或)，视为“不合规”
C.CS.FOUNDATION.G_2.R_1	启用 CTS	multi-region-cts-tracker-exists	在指定区域创建并启用CTS追踪器	cts	账号未在指定region列表创建并启用CTS追踪器，视为“不合规”
C.CS.FOUNDATION.G_2.R_15	开启日志文件完整性校验	cts-support-validate-check	CTS追踪器打开事件文件校验	cts	CTS追踪器未打开事件文件校验，视为“不合规”
C.CS.FOUNDATION.G_3_3.R_1	禁止使用 CCE 已经 EOS 的 K8S 集群版本	cce-cluster-end-of-maintenance-version	CCE集群版本为处于维护的版本	cce	CCE集群版本为停止维护的版本，视为“不合规”
C.CS.FOUNDATION.G_3_3.R_6	集群节点不要暴露到公网	cce-endpoint-public-access	CCE集群资源不具有弹性公网IP	cce	CCE集群资源具有弹性公网IP，视为“不合规”
C.CS.FOUNDATION.G_4.R_1	确保限制 SSH 的 Internet 公网访问	vpc-sg-restricted-ssh	安全组入站流量限制SSH端口	vpc	当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规”
C.CS.FOUNDATION.G_4.R_4	确保安全组不允许源地址 0.0.0.0/0 访问远程管理端口及高危端口	vpc-sg-restricted-common-ports	安全组入站流量限制指定端口	vpc	当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规”
C.CS.FOUNDATION.G_5_1.R_2	禁用匿名访问	obs-bucket-policy-not-more-permissive	OBS桶策略授权约束	obs	OBS桶策略授权了控制策略以外的访问行为，视为“不合规”
C.CS.FOUNDATION.G_5_1.R_5	使用桶策略限制对 OBS 桶的访问必须使用 HTTPS 协议	obs-bucket-ssl-requests-only	OBS桶策略授权行为使用SSL加密	obs	OBS桶策略授权了无需SSL加密的行为，视为“不合规”
C.CS.FOUNDATION.G_6_1.R_1	开启加密通信	rds-instance-ssl-enable	RDS实例启用SSL加密通讯	rds	RDS实例未启用SSL加密通讯，视为“不合规”
C.CS.FOUNDATION.G_6_1.R_5	避免绑定 EIP 直接通过互联网访问	rds-instance-no-public-ip	RDS实例不具有弹性公网IP	rds	RDS资源具有弹性公网IP，视为“不合规”
C.CS.FOUNDATION.G_6_2.R_1	开启加密通信	dds-instance-enable-ssl	DDS实例开启SSL	dds	DDS实例未开启SSL，视为“不合规”
C.CS.FOUNDATION.G_6_2.R_7	禁止使用默认端口	dds-instance-port-check	DDS实例端口检查	dds	DDS实例的端口包含被禁止的端口，视为“不合规”
C.CS.FOUNDATION.G_6_2.R_8	补丁升级	dds-instance-engine-version-check	DDS实例数据库版本检查	dds	低于指定版本的DDS实例，视为“不合规”
C.CS.FOUNDATION.G_6_3.R_2	开启备份功能设置合理的备份策略	rds-instance-enable-backup	RDS实例开启备份	rds	未开启备份的rds资源，视为“不合规”
C.CS.FOUNDATION.G_6_3.R_4	禁止使用默认端口	rds-instance-port-check	RDS实例默认端口检查	rds	RDS实例的端口包含被禁止的端口，视为“不合规”
C.CS.FOUNDATION.G_6_3.R_8	数据库版本更新到最新版本	rds-instance-engine-version-check	RDS实例数据库引擎版本检查	rds	RDS实例数据库引擎的版本低于指定版本，视为“不合规”
C.CS.FOUNDATION.G_7_2.R_1	开启 Kerberos 认证	mrs-cluster-kerberos-enabled	MRS集群开启kerberos认证	mrs	MRS集群未开启kerberos认证，视为“不合规”
C.CS.FOUNDATION.G_7_2.R_3	集群 EIP 安全组管控	mrs-cluster-no-public-ip	MRS集群未绑定弹性公网IP	mrs	MRS集群绑定弹性公网IP，视为“不合规”
C.CS.FOUNDATION.G_7_2.R_3	集群 EIP 安全组管控	mrs-cluster-in-vpc	MRS集群属于指定VPC	mrs	指定虚拟私有云ID，不属于此VPC的mrs资源，视为“不合规”
C.CS.FOUNDATION.G_7_3.R_6	开启 SSL 加密传输功能	dws-enable-ssl	DWS集群启用SSL加密连接	dws	DWS集群未启用SSL加密连接，视为“不合规”
C.CS.FOUNDATION.G_8.R_1	启用 Web 应用防火墙功能	waf-instance-enable-protect	启用WAF实例域名防护	waf	如果账号未配置并启用WAF防护策略的域名防护，视为“不合规”
C.CS.FOUNDATION.G_8.R_2	配置 WAF 地理位置访问策略	waf-policy-enable-geoip	启用WAF防护策略地理位置访问控制规则	waf	如果账号不存在启用地理位置访问控制规则的waf服务防护策略，视为“不合规”
C.CS.FOUNDATION.G_8.R_5	启用 WAF 对 Web 基础防护的拦截模式	waf-instance-enable-block-policy	启用WAF实例启用拦截模式防护策略	waf	WAF实例未启用拦截模式防护策略，视为“不合规”
C.CS.FOUNDATION.G_8.R_7	启用企业主机安全 HSS（基础版/专业版/企业版/旗舰版）	ecs-attached-hss-agents-check	ECS资源绑定服务主机代理防护	ecs	ECS实例未绑定HSS代理并启用防护，视为“不合规”

父主题： 合规规则包示例模板

上一篇：安全身份和合规性运营最佳实践

下一篇：华为云安全配置基线指南的标准合规包（level 2）

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消