文档首页/ 配置审计 Config/ 用户指南/ 合规规则包/ 合规规则包示例模板/ 华为云安全配置基线指南的标准合规包(level 2)
更新时间:2024-12-10 GMT+08:00

华为云安全配置基线指南的标准合规包(level 2)

本文为您介绍华为云安全配置基线指南的标准合规包(level 2)的应用场景以及合规包中的默认规则。

应用场景

华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心

免责条款

本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。

默认规则

此表中的建议项编号对应华为云安全配置基线指南文档的章节编号,供您查阅参考。

表1 华为云安全配置基线指南的标准合规包(level 2)默认规则说明

建议项编号

建议项说明

合规规则

规则中文名称

涉及云服务

规则描述

C.CS.FOUNDATION.G_1.R_3

确保不创建管理员权限的 IAM 用户

iam-user-check-non-admin-group

IAM用户admin权限检查

iam

根用户以外的IAM用户加入admin用户组,视为“不合规”

C.CS.FOUNDATION.G_1.R_9

启用用户登录保护

iam-user-login-protection-enabled

IAM用户开启登录保护

iam

IAM用户未开启登录保护,视为“不合规”

C.CS.FOUNDATION.G_1.R_12

设置初始 IAM 用户时,避免对具有控制台密码的用户设置访问密钥

iam-user-console-and-api-access-at-creation

IAM用户创建时设置AccessKey

iam

对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”

C.CS.FOUNDATION.G_1.R_13

确保任何单个 IAM 用户仅有一个可用的活动访问密钥

iam-user-single-access-key

IAM用户单访问密钥

iam

IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”

C.CS.FOUNDATION.G_2.R_5

启用 VPC 流量日志功能

vpc-flow-logs-enabled

VPC启用流日志

vpc

检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”

C.CS.FOUNDATION.G_2.R_11

启用 FuctionGraph 函数日志功能

function-graph-logging-enabled

函数工作流的函数启用日志配置

fgs

函数工作流的函数未启用日志配置,视为“不合规”

C.CS.FOUNDATION.G_2.R_16

开启日志文件加密存储

cts-kms-encrypted-check

CTS追踪器通过KMS进行加密

cts

CTS追踪器未通过KMS进行加密,视为“不合规”

C.CS.FOUNDATION.G_3_1.R_1

使用密钥对安全登录 ECS

ecs-instance-key-pair-login

ECS资源配置密钥对

ecs

ECS未配置密钥对,视为“不合规”

C.CS.FOUNDATION.G_3_1.R_4

确保私有镜像开启了加密

ims-images-enable-encryption

私有镜像开启加密

ims

私有镜像未开启加密,视为“不合规”

C.CS.FOUNDATION.G_3_2.R_1

使用密钥对安全登录 BMS

bms-key-pair-security-login

BMS资源使用密钥对登录

bms

裸金属服务器未启用密钥对安全登录,视为“不合规”

C.CS.FOUNDATION.G_5_1.R_4

使用双端固定对 OBS 的资源进行权限控制

obs-bucket-policy-grantee-check

OBS桶策略中授权检查

obs

OBS桶策略授权了不被允许的访问行为,视为“不合规”

C.CS.FOUNDATION.G_5_2.R_1

确保云硬盘是加密的

volumes-encrypted-check

已挂载的云硬盘开启加密

ecs, evs

已挂载的云硬盘未进行加密,视为“不合规”

C.CS.FOUNDATION.G_5_3.R_1

确保SFS Turbo文件系统是加密的

sfsturbo-encrypted-check

高性能弹性文件服务通过KMS进行加密

sfsturbo

高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规”

C.CS.FOUNDATION.G_5_4.R_1

承载备份数据的云硬盘选择加密盘

cbr-backup-encrypted-check

CBR备份被加密

cbr

CBR服务的备份未被加密,视为“不合规”

C.CS.FOUNDATION.G_5_4.R_4

开启强制备份

ecs-protected-by-cbr

ECS资源在备份存储库中

cbr, ecs

ECS资源没有关联备份存储库,视为“不合规”

C.CS.FOUNDATION.G_5_4.R_4

开启强制备份

evs-protected-by-cbr

EVS资源在备份存储库保护中

cbr, evs

EVS磁盘没有关联备份存储库,视为“不合规”

C.CS.FOUNDATION.G_5_4.R_4

开启强制备份

sfsturbo-protected-by-cbr

SFSturbo资源在备份存储库中

cbr, sfsturbo

SFSturbo资源没有关联备份存储库,视为“不合规”

C.CS.FOUNDATION.G_6_1.R_7

开启数据库审计日志

rds-instance-enable-auditLog

RDS实例启用审计日志

rds

未启用审计日志或审计日志保存天数不足的rds资源,视为“不合规”

C.CS.FOUNDATION.G_6_4.R_5

开启数据库审计日志

gaussdb-instance-enable-auditLog

GaussDB实例开启审计日志

gaussdb

未开启审计日志的gaussdb资源,视为“不合规”

C.CS.FOUNDATION.G_6_4.R_5

开启数据库审计日志

gaussdb-mysql-instance-enable-auditlog

TaurusDB实例开启审计日志

taurusdb

未开启审计日志的TaurusDB资源,视为“不合规”

C.CS.FOUNDATION.G_6_4.R_7

开启备份功能设置合理的备份策略

gaussdb-instance-enable-backup

GaussDB实例开启自动备份

gaussdb

未开启资源备份的gaussdb资源,视为“不合规”

C.CS.FOUNDATION.G_7_3.R_1

开启集群数据加密功能

dws-enable-kms

DWS集群启用KMS加密

dws

DWS集群未启用KMS加密,视为“不合规”

C.CS.FOUNDATION.G_7_3.R_4

开启 DWS 数据库审计日志转储

dws-enable-log-dump

DWS集群启用日志转储

dws

DWS集群未启用日志转储,视为“不合规”