华为云安全配置基线指南的标准合规包(level 2)
本文为您介绍华为云安全配置基线指南的标准合规包(level 2)的应用场景以及合规包中的默认规则。
应用场景
华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应华为云安全配置基线指南文档的章节编号,供您查阅参考。
建议项编号 |
建议项说明 |
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
---|---|---|---|---|---|
C.CS.FOUNDATION.G_1.R_3 |
确保不创建管理员权限的 IAM 用户 |
iam-user-check-non-admin-group |
IAM用户admin权限检查 |
iam |
根用户以外的IAM用户加入admin用户组,视为“不合规” |
C.CS.FOUNDATION.G_1.R_9 |
启用用户登录保护 |
iam-user-login-protection-enabled |
IAM用户开启登录保护 |
iam |
IAM用户未开启登录保护,视为“不合规” |
C.CS.FOUNDATION.G_1.R_12 |
设置初始 IAM 用户时,避免对具有控制台密码的用户设置访问密钥 |
iam-user-console-and-api-access-at-creation |
IAM用户创建时设置AccessKey |
iam |
对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” |
C.CS.FOUNDATION.G_1.R_13 |
确保任何单个 IAM 用户仅有一个可用的活动访问密钥 |
iam-user-single-access-key |
IAM用户单访问密钥 |
iam |
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” |
C.CS.FOUNDATION.G_2.R_5 |
启用 VPC 流量日志功能 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
C.CS.FOUNDATION.G_2.R_11 |
启用 FuctionGraph 函数日志功能 |
function-graph-logging-enabled |
函数工作流的函数启用日志配置 |
fgs |
函数工作流的函数未启用日志配置,视为“不合规” |
C.CS.FOUNDATION.G_2.R_16 |
开启日志文件加密存储 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
cts |
CTS追踪器未通过KMS进行加密,视为“不合规” |
C.CS.FOUNDATION.G_3_1.R_1 |
使用密钥对安全登录 ECS |
ecs-instance-key-pair-login |
ECS资源配置密钥对 |
ecs |
ECS未配置密钥对,视为“不合规” |
C.CS.FOUNDATION.G_3_1.R_4 |
确保私有镜像开启了加密 |
ims-images-enable-encryption |
私有镜像开启加密 |
ims |
私有镜像未开启加密,视为“不合规” |
C.CS.FOUNDATION.G_3_2.R_1 |
使用密钥对安全登录 BMS |
bms-key-pair-security-login |
BMS资源使用密钥对登录 |
bms |
裸金属服务器未启用密钥对安全登录,视为“不合规” |
C.CS.FOUNDATION.G_5_1.R_4 |
使用双端固定对 OBS 的资源进行权限控制 |
obs-bucket-policy-grantee-check |
OBS桶策略中授权检查 |
obs |
OBS桶策略授权了不被允许的访问行为,视为“不合规” |
C.CS.FOUNDATION.G_5_2.R_1 |
确保云硬盘是加密的 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
ecs, evs |
已挂载的云硬盘未进行加密,视为“不合规” |
C.CS.FOUNDATION.G_5_3.R_1 |
确保SFS Turbo文件系统是加密的 |
sfsturbo-encrypted-check |
高性能弹性文件服务通过KMS进行加密 |
sfsturbo |
高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_1 |
承载备份数据的云硬盘选择加密盘 |
cbr-backup-encrypted-check |
CBR备份被加密 |
cbr |
CBR服务的备份未被加密,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_4 |
开启强制备份 |
ecs-protected-by-cbr |
ECS资源在备份存储库中 |
cbr, ecs |
ECS资源没有关联备份存储库,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_4 |
开启强制备份 |
evs-protected-by-cbr |
EVS资源在备份存储库保护中 |
cbr, evs |
EVS磁盘没有关联备份存储库,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_4 |
开启强制备份 |
sfsturbo-protected-by-cbr |
SFSturbo资源在备份存储库中 |
cbr, sfsturbo |
SFSturbo资源没有关联备份存储库,视为“不合规” |
C.CS.FOUNDATION.G_6_1.R_7 |
开启数据库审计日志 |
rds-instance-enable-auditLog |
RDS实例启用审计日志 |
rds |
未启用审计日志或审计日志保存天数不足的rds资源,视为“不合规” |
C.CS.FOUNDATION.G_6_4.R_5 |
开启数据库审计日志 |
gaussdb-instance-enable-auditLog |
GaussDB实例开启审计日志 |
gaussdb |
未开启审计日志的gaussdb资源,视为“不合规” |
C.CS.FOUNDATION.G_6_4.R_5 |
开启数据库审计日志 |
gaussdb-mysql-instance-enable-auditlog |
TaurusDB实例开启审计日志 |
taurusdb |
未开启审计日志的TaurusDB资源,视为“不合规” |
C.CS.FOUNDATION.G_6_4.R_7 |
开启备份功能设置合理的备份策略 |
gaussdb-instance-enable-backup |
GaussDB实例开启自动备份 |
gaussdb |
未开启资源备份的gaussdb资源,视为“不合规” |
C.CS.FOUNDATION.G_7_3.R_1 |
开启集群数据加密功能 |
dws-enable-kms |
DWS集群启用KMS加密 |
dws |
DWS集群未启用KMS加密,视为“不合规” |
C.CS.FOUNDATION.G_7_3.R_4 |
开启 DWS 数据库审计日志转储 |
dws-enable-log-dump |
DWS集群启用日志转储 |
dws |
DWS集群未启用日志转储,视为“不合规” |