等保合规能力说明
检查项分类 |
安全控制点 |
等保合规检查项 |
风险等级参考 |
云防火墙CFW提供的对应能力说明 |
相关功能介绍 |
---|---|---|---|---|---|
安全通信网络 |
网络架构 |
应避免将重要网络区域部署在边界处,重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 |
高 |
通过云原生VPC能力,将重要网络区域使用VPC隔离,不同重要级别的VPC之间的业务互访,使用云防火墙CFW实现VPC间业务流量的访问控制,并对恶意访问进行识别和拦截。 |
|
应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 |
中 |
通过云防火墙自动识别业务在互联网的威胁暴露面,提供云上互联网边界和VPC边界的防护,入侵防御引擎对恶意流量实时检测和拦截。 |
|||
安全区域边界 |
边界防护 |
应能够对内部用户非授权连到外部网络的行为进行限制或检查。 |
高 |
云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 |
|
应能够对非授权设备私自连到内部网络的行为进行限制或检查。 |
中 |
||||
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 |
中 |
||||
入侵防范 |
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 |
高 |
云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 |
||
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 |
高 |
云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 |
|||
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 |
中 |
云防火墙提供对业务流量中的攻击行为的检测和记录,并能根据策略设置提供攻击流量阻断功能,记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 |
|||
访问控制 |
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下受控接口拒绝除允许通信外的所有通信。 |
高 |
云防火墙实现统一管理互联网到业务的南北向访问策略和业务,达到协议、端口、应用级访问控制粒度。 |
||
应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。 |
中 |
云防火墙提供策略命中计数功能,客户可以根据命中情况,及时调整策略的设置,确保没有冗余的策略。云防火墙访问控制策略可配置优先级,您可以根据业务需求优化访问控制列表。 |
|||
应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许或拒绝数据包进出。 |
高 |
云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 |
|||
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。 |
中 |
云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 |
|||
应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 |
中 |
云防火墙实现跨VPC流量的应用协议、内容的访问控制。 |
|||
安全审计 |
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 |
高 |
云防火墙提供日志审计功能,可以记录所有流量日志、事件日志和操作日志。 |
||
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 |
中 |
云防火墙提供日志记录事件功能,包括:时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 |
|||
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 |
中 |
云防火墙提供日志分析功能,对已分析的日志,默认提供存储6个月内的日志数据,并提供实时日志分析能力。 |
|||
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 |
中 |
云防火墙提供日志分析功能,对已分析的日志,默认提供存储6个月内的日志数据,并提供实时日志分析能力。 |