文档首页/ 配置审计 Config/ 用户指南/ 合规规则包/ 合规规则包示例模板/ 华为云安全配置基线指南的标准合规包(level 1)
更新时间:2024-12-10 GMT+08:00

华为云安全配置基线指南的标准合规包(level 1)

本文为您介绍华为云安全配置基线指南的标准合规包(level 1)的应用场景以及合规包中的默认规则。

应用场景

华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心

免责条款

本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。

默认规则

此表中的建议项编号对应华为云安全配置基线指南文档的章节编号,供您查阅参考。

表1 华为云安全配置基线指南的标准合规包(level 1)默认规则说明

建议项编号

建议项说明

合规规则

规则中文名称

涉及云服务

规则描述

C.CS.FOUNDATION.G_1.R_1

确保管理员账号禁用 AK/SK

iam-root-access-key-check

根用户存在可使用的访问密钥

iam

根用户存在可使用的访问密钥,视为“不合规”

C.CS.FOUNDATION.G_1.R_2

确保管理员账号已启用 MFA

root-account-mfa-enabled

根用户开启MFA认证

iam

根用户未开启MFA认证,视为“不合规”

C.CS.FOUNDATION.G_1.R_14

确保不创建允许“*:*”管理权限的 IAM 策略

iam-policy-no-statements-with-admin-access

IAM策略不具备Admin权限

iam

IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规”

C.CS.FOUNDATION.G_2.R_1

启用 CTS

multi-region-cts-tracker-exists

在指定区域创建并启用CTS追踪器

cts

账号未在指定region列表创建并启用CTS追踪器,视为“不合规”

C.CS.FOUNDATION.G_2.R_15

开启日志文件完整性校验

cts-support-validate-check

CTS追踪器打开事件文件校验

cts

CTS追踪器未打开事件文件校验,视为“不合规”

C.CS.FOUNDATION.G_3_3.R_1

禁止使用 CCE 已经 EOS 的 K8S 集群版本

cce-cluster-end-of-maintenance-version

CCE集群版本为处于维护的版本

cce

CCE集群版本为停止维护的版本,视为“不合规”

C.CS.FOUNDATION.G_3_3.R_6

集群节点不要暴露到公网

cce-endpoint-public-access

CCE集群资源不具有弹性公网IP

cce

CCE集群资源具有弹性公网IP,视为“不合规”

C.CS.FOUNDATION.G_4.R_1

确保限制 SSH 的 Internet 公网访问

vpc-sg-restricted-ssh

安全组入站流量限制SSH端口

vpc

当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规”

C.CS.FOUNDATION.G_4.R_4

确保安全组不允许源地址 0.0.0.0/0 访问远程管理端口及高危端口

vpc-sg-restricted-common-ports

安全组入站流量限制指定端口

vpc

当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”

C.CS.FOUNDATION.G_5_1.R_2

禁用匿名访问

obs-bucket-policy-not-more-permissive

OBS桶策略授权约束

obs

OBS桶策略授权了控制策略以外的访问行为,视为“不合规”

C.CS.FOUNDATION.G_5_1.R_5

使用桶策略限制对 OBS 桶的访问必须使用 HTTPS 协议

obs-bucket-ssl-requests-only

OBS桶策略授权行为使用SSL加密

obs

OBS桶策略授权了无需SSL加密的行为,视为“不合规”

C.CS.FOUNDATION.G_6_1.R_1

开启加密通信

rds-instance-ssl-enable

RDS实例启用SSL加密通讯

rds

RDS实例未启用SSL加密通讯,视为“不合规”

C.CS.FOUNDATION.G_6_1.R_5

避免绑定 EIP 直接通过互联网访问

rds-instance-no-public-ip

RDS实例不具有弹性公网IP

rds

RDS资源具有弹性公网IP,视为“不合规”

C.CS.FOUNDATION.G_6_2.R_1

开启加密通信

dds-instance-enable-ssl

DDS实例开启SSL

dds

DDS实例未开启SSL,视为“不合规”

C.CS.FOUNDATION.G_6_2.R_7

禁止使用默认端口

dds-instance-port-check

DDS实例端口检查

dds

DDS实例的端口包含被禁止的端口,视为“不合规”

C.CS.FOUNDATION.G_6_2.R_8

补丁升级

dds-instance-engine-version-check

DDS实例数据库版本检查

dds

低于指定版本的DDS实例,视为“不合规”

C.CS.FOUNDATION.G_6_3.R_2

开启备份功能设置合理的备份策略

rds-instance-enable-backup

RDS实例开启备份

rds

未开启备份的rds资源,视为“不合规”

C.CS.FOUNDATION.G_6_3.R_4

禁止使用默认端口

rds-instance-port-check

RDS实例默认端口检查

rds

RDS实例的端口包含被禁止的端口,视为“不合规”

C.CS.FOUNDATION.G_6_3.R_8

数据库版本更新到最新版本

rds-instance-engine-version-check

RDS实例数据库引擎版本检查

rds

RDS实例数据库引擎的版本低于指定版本,视为“不合规”

C.CS.FOUNDATION.G_7_2.R_1

开启 Kerberos 认证

mrs-cluster-kerberos-enabled

MRS集群开启kerberos认证

mrs

MRS集群未开启kerberos认证,视为“不合规”

C.CS.FOUNDATION.G_7_2.R_3

集群 EIP 安全组管控

mrs-cluster-no-public-ip

MRS集群未绑定弹性公网IP

mrs

MRS集群绑定弹性公网IP,视为“不合规”

C.CS.FOUNDATION.G_7_2.R_3

集群 EIP 安全组管控

mrs-cluster-in-vpc

MRS资源属于指定VPC

mrs

指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规”

C.CS.FOUNDATION.G_7_3.R_6

开启 SSL 加密传输功能

dws-enable-ssl

DWS集群启用SSL加密连接

dws

DWS集群未启用SSL加密连接,视为“不合规”

C.CS.FOUNDATION.G_8.R_1

启用 Web 应用防火墙功能

waf-instance-enable-protect

启用WAF实例域名防护

waf

如果账号未配置并启用WAF防护策略的域名防护,视为“不合规”

C.CS.FOUNDATION.G_8.R_2

配置 WAF 地理位置访问策略

waf-policy-enable-geoip

启用WAF防护策略地理位置访问控制规则

waf

如果账号不存在启用地理位置访问控制规则的waf服务防护策略,视为“不合规”

C.CS.FOUNDATION.G_8.R_5

启用 WAF 对 Web 基础防护的拦截模式

waf-instance-enable-block-policy

启用WAF实例启用拦截模式防护策略

waf

WAF实例未启用拦截模式防护策略,视为“不合规”

C.CS.FOUNDATION.G_8.R_7

启用企业主机安全 HSS(基础版/专业版/企业版/旗舰版)

ecs-attached-hss-agents-check

ECS资源绑定服务主机代理防护

ecs

ECS实例未绑定HSS代理并启用防护,视为“不合规”