内置检查项
安全云脑支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。
如需查看每个检查项目的详情,如检查状态、风险等级、检查内容等信息,请在检查项目详情页面进行查看,具体操作请参见查看检查结果。
本章节介绍SecMaster云服务基线检查支持的检查项目。
| 检查规范 | 检查类别 | 包含的检查项数量 | |
|---|---|---|---|
| 安全上云合规检查1.0 | 13 | ||
| 7 | |||
| 20 | |||
| 22 | |||
| 13 | |||
| 护网检查 | 6 | ||
| 5 | |||
| 4 | |||
| 1 | |||
| 1 | |||
| 5 | |||
| 等保2.0三级要求 | 安全通用要求 | 22 | |
| 8 | |||
| 20 | |||
| 34 | |||
| 12 | |||
| 7 | |||
| 14 | |||
| 12 | |||
| 34 | |||
| 48 | |||
| 云计算安全扩展要求 | 1 | ||
| 5 | |||
| 8 | |||
| 19 | |||
| 4 | |||
| 8 | |||
| 1 | |||
| 1 | |||
| 1 | |||
| 华为云安全配置基线3.0 | 18 | ||
| 22 | |||
| 30 | |||
| 23 | |||
| 26 | |||
| 68 | |||
| 31 | |||
| 34 | |||
| 11 | |||
| 5 | |||
| 2 | |||
| GDPR(General Data Protection Regulation) | 5 | ||
| 6 | |||
| 16 | |||
| 10 | |||
| 8 | |||
| 7 | |||
| 2 | |||
| 经典弱口令检测 | 1 | ||
| 口令复杂度策略检测 | 5 | ||
| PCI-DSS | 25 | ||
| 35 | |||
| 21 | |||
| 4 | |||
| 20 | |||
| 16 | |||
| 8 | |||
| NIST SP 800-53 | 8 | ||
| 7 | |||
| 7 | |||
| 9 | |||
| 2 | |||
| 25 | |||
| 5 | |||
| 23 | |||
| 2 | |||
| 9 | |||
| 13 | |||
| 11 | |||
| 12 | |||
| 5 | |||
| 12 | |||
| 6 | |||
| 7 | |||
| 7 | |||
| 5 | |||
| 1 | |||
| ISO/IEC 27002:2022 | 17 | ||
| 14 | |||
| 1 | |||
| 27 | |||
| 15 | |||
| 9 | |||
安全上云合规检查—身份与访问管理
| 检查项目 | 检查内容 |
|---|---|
| IAM用户启用检查 | 启用统一身份认证(Identity and Access Management,IAM)服务后,系统默认用户组admin中的IAM用户,可以使用华为云所有服务。 检查所有IAM用户列表,是否已启用至少两个IAM用户,以及IAM用户所属的用户组是否都为admin用户组。 |
| IAM用户开启登录保护检查 | 在IAM的安全设置中启用登录保护后,登录时还需要通过虚拟MFA或短信或邮件验证,再次确认登录者身份,进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄露,保护您安全使用云产品。 检查在IAM的安全设置中是否开启登录保护。 |
| IAM用户开启操作保护检查 | 在IAM的安全设置中开启操作保护后,主账户及子用户在控制台进行敏感操作(如:删除弹性云服务器、解绑弹性IP等)时,将通过虚拟MFA、手机短信或邮件再次确认操作者身份,进一步提高账号安全性,有效保护您安全使用云产品。 检查IAM用户是否开启操作保护。 |
| 管理员账号AK/SK启用检查 | 访问密钥(AK/SK,Access Key ID/Secret Access Key)是账号的长期身份凭证。 由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账号不启用AK/SK身份凭证。 检查管理员账户是否启用访问密钥。 |
| IAM用户密码配置检查 | IAM用户的密码策略建议设置强密码策略。建议满足以下要求:包含以下字符中的3种:大写字母、小写字母、数字和特殊字符;密码最小长度为8;新密码不能与最近的历史密码相同(重复次数设置为3) 检查IAM用户的密码策略是否符合要求。 |
| IAM登录验证策略(账号锁定策略)检查 | 拥有安全管理员权限(Security Administrator权限)的用户可以设置登录验证策略来提高用户信息和系统的安全性。 IAM允许用户设置账号锁定策略,即如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。 建议设置为在60分钟内登录失败5次,用户被锁定。 检查账号锁定策略是否设置为在60分钟内登录失败5次,用户被锁定。 |
| IAM登录验证策略(账号锁定时限)检查 | 拥有安全管理员权限(Security Administrator权限)的用户可以设置登录验证策略来提高用户信息和系统的安全性。 用户可设置账号锁定策略,即如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。 IAM应允许用户设置账号锁定时间,且在此期间用户将无法输入密码。账号锁定时限建议设置为15分钟。 检查账号锁定时限是否设置为15分钟。 |
| IAM密码策略(防止密码重复使用)检查 | IAM允许用户设置密码策略。 启用防止密码重复使用规则后,新密码不能与最近使用的密码相同。 检查IAM密码策略是否启用密码重复使用规则,且重复次数小于五次。 |
| 会话超时策略检查 | IAM允许用户设置会话到期时间。如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。 检查会话时限是否设置为15分钟。 |
| 账号停用策略检查 | IAM用户可以通过使用用户名和密码登录华为云控制台。如果用户在90天或更长时间内未登录对应的控制台,建议禁用该用户的控制台访问权限。 检查账号停用策略是否启用,且有效期设置为90天。 |
| IAM用户密码强度检查 | IAM用户的登录密码建议设置为安全程度强的密码。 IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使账号更安全,建议您定期更换密码以保护账号安全。 检查IAM用户的密码强度是否为最高级别。 |
| CBH实例登录开启多因子认证检查 | 通过Web浏览器或SSH客户端登录CBH实例时应开启用户的多因子认证,进一步提高堡垒机账号安全性。多因子认证方式有:手机短信、手机令牌、USBKey、动态令牌。 检查CBH实例是否已开启多因子认证。 |
安全上云合规检查—检测
| 检查项目 | 检查内容 |
|---|---|
| ELB健康状态检查 | 弹性负载均衡(Elastic Load Balance,ELB)定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。 当异常后端服务器恢复正常运行后,ELB会自动恢复其承载业务流量能力。 检查所有ELB实例是否开启健康检查功能,以及检查后端服务器状态是否正常。 |
| CTS启用检查 | 云审计服务(Cloud Trace Service,CTS)可以将当前账户下所有的操作记录在追踪器中,通过查询和审计操作记录,实现安全分析、资源变更、合规审计、问题定位等。 检查是否已经开通CTS,以及检查是否有一个追踪器的状态为正常。 |
| OBS桶日志记录启用检查 | 对象存储服务(Object Storage Service,OBS)的桶日志记录,指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 检查所有OBS桶,是否开启日志记录功能。 |
| 数据库安全审计启用检查(云上RDS场景) | 数据库安全审计提供旁路模式审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警,对数据库的内部违规和不正当操作进行定位追责。 检查是否已启用数据库安全审计。 |
| 云监控服务启用检查 | 云监控(Cloud Eye)服务为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。 检查是否已启用云监控服务。 |
| 云监控服务中的主机监控检查 | 主机监控针对主机提供多层次指标监控,包括基础监控、操作系统监控和进程监控。 基础监控为用户提供免安装的基础指标监控服务;操作系监控和进程监控通过在主机中安装开源插件,为用户主机提供系统级、主动式、细颗粒度的监控服务。 检查主机监控中的弹性云服务器是否已安装监控插件。 |
| 云监控服务中站点监控检查 | 站点监控用于模拟真实用户对远端服务器的访问,从而探测远端服务器的可用性、连通性等问题。 检查是否配置站点监控。 |
安全上云合规检查—基础设施防护
| 检查项目 | 检查内容 |
|---|---|
| 安全组入方向规则控制检查 | 安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24。 |
| 高危端口、远程管理端口暴露检查 | 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制,当云服务器加入该安全组后,即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下:20,21,135,137,138,139,445,389,593,1025 未最小化开放指的是:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 |
| 绑定EIP的ECS配置密钥对登录检查 | 当存在ECS对外暴露EIP的情况下,为安全起见,弹性云服务器登录时应使用密钥方式进行身份验证。 |
| 日志指标过滤和告警事件(VPC更改)检查 | 日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 |
| 日志指标过滤和告警事件(网络网关更改)检查 | 日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 |
| 日志指标过滤和告警事件(安全组更改)检查 | 日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 |
| 日志指标过滤和告警事件(子网更改)检查 | 日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 |
| 日志指标过滤和告警事件(VPN更改)检查 | 日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 |
| ELB实例(共享型)启用访问控制检查 | 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。 检查弹性负载均衡(Elastic Load Balance,ELB)实例,是否开启访问控制策略。 |
| 网络ACL规则配置检查 | 网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL,可以增加额外的安全防护层,实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 |
| 用于VPC对等连接路由表检查 | 对等连接是指两个VPC之间的网络连接,因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址尽量限定在最小子网网段内,对端路由的目的地址尽量限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 |
| VPC规划检查 | 如果在当前区域下有多套业务部署,且希望不同业务之间进行网络隔离时,则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 |
| WAF启用(云模式/独享模式/ELB模式)检查 | 启用Web应用防火墙(Web Application Firewall, WAF)服务后,网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 |
| WAF回源配置检查(未配置ELB) | 使用Web应用防火墙(Web Application Firewall, WAF)服务后,需配置源站服务器只允许来自WAF的访问请求访问源站,既可保障访问不受影响,又能防止源站IP暴露。 未使用弹性负载均衡(Elastic Load Balance,ELB)情况下,检查在ECS关联的安全组源地址中,是否添加WAF回源IP。 |
| WAF防护策略配置(地理位置访问控制)检查 | WAF的防护策略应配置地理位置访问控制,可针对指定国家、地区的来源IP自定义访问控制。配置后,可以进一步减小业务网站的攻击面(检测版和专业版暂不支持该功能)。 |
| Web基础防护配置检查 | Web基础防护支持“拦截”(发现攻击行为后立即阻断并记录)和“仅记录”(发现攻击行为后只记录不阻断攻击)模式,检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式,开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 |
| VSS启用检查 | 漏洞扫描服务(Vulnerability Scan Service)是针对网站进行漏洞扫描的一种安全检测服务,可以帮助快速检测出网站存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 |
| Anti-DDoS流量清洗启用检查 | DDoS原生基础防护(Anti-DDoS流量清洗)服务为华为云内公网IP资源,提供网络层和应用层的DDoS攻击防护,并提供攻击拦截实时告警,有效提升用户带宽利用率,保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 |
| DDoS高防启用检查 | DDoS高防(Advanced Anti-DDoS,AAD)是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 |
| 云堡垒机启用检查 | 云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的账号、授权、认证和审计管理服务。启用后,可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计,不仅能保障系统运行安全,且满足相关合规性规范。 检查是否已启用云堡垒机服务。 |
| 主机安全防护启用检查 | 企业主机安全(Host Security Service,HSS)是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护,版本要求至少为企业版(旗舰版、网页防篡改版更优)。 检查主机是否开启主机安全防护。 |
| HSS网页防篡改启用与防护目录配置检查 | 网页防篡改可实时监控网站目录,并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求,以及有应用安全防护需求的主机,应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 |
| 主机紧急修复漏洞检查 | 企业主机安全(Host Security Service,HSS)提供漏洞管理功能,检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 |
| CDN访问控制配置检查 | 当客户CDN需要对访问者身份进行识别和过滤,限制部分用户访问,提高CDN的安全性,应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。 |
安全上云合规检查—数据防护
| 检查项目 | 检查内容 |
|---|---|
| ELB证书有效性检查 | 弹性负载均衡(Elastic Load Balance,ELB)支持两种类型的证书,服务器证书和CA证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。 检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。 |
| CDN证书有效性检查 | 通过配置加速域名的HTTPS证书,并将其部署在全网CDN节点,实现HTTPS安全加速。 检查CDN中证书是否均在有效期内,如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。 |
| SSL证书有效性检查 | SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Socket Layer)证书管理平台。SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。SSL证书超出有效期,将无法正常使用SSL证书。 检查所有SSL证书(检查已签发状态SSL证书,如果SSL证书未签发则默认为检查合格)状态是否在有效期内。 |
| RDS数据库绑定EIP时的安全设置检查 | 当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当RDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
| DDS数据库绑定EIP时安全设置检查 | 当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
| DCS数据库绑定EIP时的安全设置检查 | 当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DCS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
| 云数据库GaussDB绑定EIP时的安全设置检查 | 当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当云数据库GaussDB配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
| RDS数据库绑定EIP检查 | 当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当RDS数据库配置,是否开通公网连接方式。 |
| DDS数据库绑定EIP检查 | 当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当DDS数据库配置,是否开通公网连接方式。 |
| DCS数据库绑定EIP检查 | 当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当DCS数据库配置,是否开通公网连接方式。 |
| 云数据库GaussDB绑定EIP检查 | 当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当云数据库GaussDB配置,是否开通公网连接方式。 |
| RDS数据库实例安全组规则检查 | 检查关系型数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时,代表未设置IP访问的限制,数据库将会有高安全风险。不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如3306。 |
| GaussDB数据库实例安全组规则检查 | 安全组入方向规则应满足最小化访问控制原则。 一般地,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 |
| OBS桶服务端加密检查 | OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将数据加密后存储到OBS桶中,提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 |
| OBS桶的ACL权限检查 | OBS桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限,表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。 |
| MySQL数据库实例root用户远程登录控制检查 | MySQL数据库实例的root应做好远程登录的控制,限制仅应用端、DAS管理网段等业务需要方可登录,防止root账号被暴力破解。 |
| RDS数据库实例安全组入方向规则检查 | 安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 检查云数据库(Relational Database Service,RDS)实例所关联的安全组入方向规则是否按最小化访问控制。 |
| DCS数据库实例安全组入方向规则检查 | 安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组入方向规则是否按最小化访问控制。 |
| DDS数据库实例安全组入方向规则检查 | 安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组入方向规则是否按最小化访问控制。 |
| RDS数据库实例安全组端口开放检查 | 检查云数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如3306。 检查RDS实例是否开放非必要的端口。 |
| DCS数据库实例安全组端口开放检查 | 检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如6379。 检查DCS实例是否开放非必要的端口。 |
| DDS数据库实例安全组端口开放检查 | 检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如8635。 检查DDS实例是否开放非必要的端口。 |
安全上云合规检查—事件响应
| 检查项目 | 检查内容 |
|---|---|
| 云硬盘备份开启检查 | 云备份(Cloud Backup and Recovery)可以为云硬盘(Elastic Volume Service,EVS)提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。 检查所有是否开启云硬盘备份。 |
| OBS桶跨区域复制检查 | OBS跨区域复制能够提供跨区域数据容灾的能力,通过创建跨区域复制规则,在同一个账号下,将一个桶(源桶)中的数据自动、异步地复制到不同区域的另外一个桶(目标桶)中,满足用户数据复制到异地进行备份的需求。 检查所有OBS桶是否开启跨区域复制。 |
| 云审计服务关键操作通知启用检查 | 云审计服务在记录某些特定关键操作时,支持对这些关键操作通过消息通知服务实时向相关订阅者发送通知,该功能由云审计服务触发,消息通知服务(SMN)完成通知发送。 |
| 云日志服务LTS的日志转储(OBS/DIS)检查 | 主机和云服务的日志数据上报至云日志服务后,默认存储时间为7天。超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),云日志服务提供转储功能,可以将日志转储至其他云服务中进行长期保存。 检查LTS是否已配置日志转储(OBS/DIS)。 |
| ECS/BMS实例的云服务器备份检查 | 云备份(Cloud Backup and Recovery, CBR)为云内的弹性云服务器(Elastic Cloud Server, ECS)、云耀云服务器(Hyper Elastic Cloud Server,HECS)、裸金属服务器(Bare Metal Server, BMS)(下文统称为服务器)提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。 检查ECS/BMS实例是否已开启云服务器备份。 |
| RDS数据库实例备份检查 | RDS数据库实例应开启自动备份功能,以保证数据可靠性。 检查RDS数据库实例是否已开启自动备份功能。 |
| GaussDB数据库实例备份检查 | GaussDB数据库实例应开启自动备份功能,以保证数据可靠性。 检查GaussDB数据库实例是否已开启自动备份功能。 |
| WAF全量日志功能开启检查 | 启用WAF全量日志功能后,可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 检查WAF是否已启用全量日志功能。 |
| WAF防护事件告警通知开启检查 | 通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户,以便在发生攻击时运维人员进行及时响应,告警频率、事件类型可以根据业务场景进行调整。 检查WAF防护事件是否已开启告警通知。 |
| 数据库安全审计日志备份检查 | 数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾,以便可以根据需要备份或恢复数据库审计日志。 检查数据库安全审计是否已配置日志备份。 |
| 数据库安全审计告警通知设置检查 | 通过设置告警通知,当数据库发生设置的告警事件时,您可以收到DBSS发送的告警通知,及时了解数据库的安全风险。 检查数据库安全审计是否设置告警通知。 |
| 云硬盘可用备份检查 | 云备份(Cloud Backup and Recovery)可以为云硬盘(Elastic Volume Service, EVS)提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。 检查云硬盘中是否有可用备份,以便用于恢复。 |
| RDS数据库实例备份检查 | 云数据库(Relational Database Service,RDS)支持数据库实例的备份和恢复,以保证数据可靠性。RDS数据库实例默认开启数据自动备份策略,备份周期默认每天备份数据一次。 检查所有RDS实例,是否开启自动备份功能。 |
| DDS数据库开启自动备份 | 文档数据库服务(Document Database Service,DDS)支持数据库实例的备份和恢复,以保证数据可靠性。DDS数据库实例开启数据自动备份策略后,备份周期默认每天备份数据一次。 检查所有DDS实例是否开启自动备份功能。 |
护网检查—安全套件覆盖
| 检查项目 | 检查内容 |
|---|---|
| 主机防护状态检查 | 企业主机安全(Host Security Service,HSS)是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 |
| 主机Agent状态检查 | 企业主机安全(Host Security Service,HSS)是一个用于全面保障主机整体安全的服务,能帮助您高效管理主机的安全状态,并构建服务器安全体系,降低当前服务器面临的主要安全风险。 在主机中安装Agent后,您的主机才能受到HSS的保护。 检查主机Agent是否为在线状态。 |
| 主机安全检测状态检查 | 企业主机安全(Host Security Service,HSS)将实时检测主机中的风险和异常操作,在每日凌晨将对主机执行全面扫描。执行配置检测后,您可以根据检测结果中的相关信息,修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 |
| WAF(云模式)基础防护配置检查 | Web基础防护开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 |
| WAF(云模式)防护策略配置检查 | Web基础防护支持“拦截”(发现攻击行为后立即阻断并记录)和“仅记录”(发现攻击行为后只记录不阻断攻击)模式,检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式,开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 |
| WAF(独享模式)基础防护配置检查 | Web基础防护开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 |
| WAF(独享模式)防护策略配置检查 | Web基础防护支持“拦截”(发现攻击行为后立即阻断并记录)和“仅记录”(发现攻击行为后只记录不阻断攻击)模式,检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式,开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 |
| 主机Agent版本检查 | 在主机中安装Agent后,您的主机将受到HSS云端防护中心全面的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。 |
护网检查—账号加固
| 检查项目 | 检查内容 |
|---|---|
| 管理员账号AK/SK启用检查 | 访问密钥(AK/SK,Access Key ID/Secret Access Key)是账号的长期身份凭证。 由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账号不启用AK/SK身份凭证。 检查管理员账户是否启用访问密钥。 |
| 主机弱密码检查 | HSS提供基线检查功能,主动检测主机中口令复杂度策略,给出修改建议,帮助用户提升口令安全性检测口令是否属于常用的弱口令,针对弱口令提示用户修改,防止账户口令被轻易猜解。 检查主机是否存在弱口令。 |
| 委托账号检查 | 通过创建委托,可以将资源共享给其他账号,或委托更专业的人或团队来代为管理资源。被委托方使用自己的账号登录后,切换到委托方账号,即可管理委托方委托的资源,避免委托方共享自己的安全凭证(密码/密钥)给他人,确保账号安全。 在云服务环境中,如果创建委托给个人账号,可能会导致不可信,因此不建议委托给个人账号。 检查是否存在个人委托账号。 |
| 全局服务中的委托权限配置检查 | 检查全局服务中的委托权限是否存在Security Administrator,Tenant Administrator。 |
| 项目服务中的委托权限配置检查 | 检查项目服务中的委托权限是否存在Security Administrator,Tenant Administrator。 |
护网检查—主机加固
| 检查项目 | 检查内容 |
|---|---|
| 主机高危端口暴露检查 | HSS提供资产管理功能,主动检测主机中的开放端口,及时发现主机中含有风险的各项资产。 如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。 检查所有主机是否在对外开放或未最小化开放的高危端口。 |
| CCE集群Kubernetes版本检查 | 云容器引擎(Cloud Container Engine,简称CCE)提供高度可扩展的、高性能的企业级Kubernetes集群,支持运行Docker容器。借助云容器引擎,您可以在华为云上轻松部署、管理和扩展容器化应用程序。 当CCE集群Kubernetes版本低于1.15,有安全漏洞风险,建议您进行升级。 检查CCE集群Kubernetes版本是否在1.15以下。 |
| VPC配置(对等连接)检查 | 对等连接是指两个VPC之间的网络连接。您可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。您可以在自己的VPC之间创建对等连接,也可以在自己的VPC与同一区域内其他的VPC之间创建对等连接。 检查VPC是否已经创建对等连接,如果已创建,则检查是否开放或未最小化高危端口。 |
| VPC配置(VPN网关)检查 | VPN网关是虚拟私有云中建立的出口网关设备,通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。 检查VPC是否已经创建了VPN网关。 |
护网检查—Sudo漏洞
| 检查项目 | 检查内容 |
|---|---|
| 检查主机是否存在Sudo漏洞 | HSS提供漏洞管理功能,检测Linux软件漏洞,通过与漏洞库进行比对,检测出系统和官方软件(非绿色版、非自行编译安装版;例如:SSH、OpenSSL、Apache、MySQL等)存在的漏洞,帮助用户识别出存在的风险。 检查所有主机是否存在Sudo漏洞。 |
护网检查—访问控制
| 检查项目 | 检查内容 |
|---|---|
| 安全组入方向规则控制检查 | 安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24。 IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24。 IPv6:源地址为::/0。 |
护网检查—敏感信息排查
| 检查项目 | 检查内容 |
|---|---|
| OBS桶的ACL权限检查 | OBS桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限,表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。 |
| OBS桶日志记录启用检查 | 对象存储服务(Object Storage Service,OBS)的桶日志记录,指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 检查所有OBS桶,是否开启日志记录功能。 |
| 数据库中敏感信息检查 | 数据安全中心服务(Data Security Center,DSC)根据敏感数据发现策略来识别数据库中的敏感数据,基于多种预置脱敏算法+用户自定义脱敏算法,实现全栈敏感数据防护。 检查数据库中是否存在敏感信息。 |
| OBS中敏感信息检查 | 数据安全中心服务(Data Security Center,DSC)根据敏感数据发现策略来识别数据库中的敏感数据,基于多种预置脱敏算法+用户自定义脱敏算法,实现全栈敏感数据防护。 检查OBS中是否存在敏感信息。 |
| ES中敏感信息检查 | 数据安全中心服务(Data Security Center,DSC)根据敏感数据发现策略来识别数据库中的敏感数据,基于多种预置脱敏算法+用户自定义脱敏算法,实现全栈敏感数据防护。 检查ES中是否存在敏感信息。 |
等保2.0三级要求—安全物理环境
| 检查子项目 | 检查项目 |
|---|---|
| 物理位置选择 | 机房场地应选择在具有防震、防风和防雨等能力的建筑内。 |
| 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 | |
| 物理访问控制 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
| 防盗窃和防破坏 | 应将设备或主要部件进行固定,并设置明显的不易除去的标识。 |
| 应将通信线缆铺设在隐蔽安全处。 | |
| 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 | |
| 防雷击 | 应将各类机柜、设施和设备等通过接地系统安全接地。 |
| 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 | |
| 防火 | 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。 |
| 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 | |
| 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 | |
| 防水和防潮 | 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 |
| 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 | |
| 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 | |
| 防静电 | 应采用防静电地板或地面并采用必要的接地防静电措施。 |
| 应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 | |
| 温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 |
| 电力供应 | 应在机房供电线路上配置稳压器和过电压防护设备。 |
| 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 | |
| 应设置冗余或并行的电力电缆线路为计算机系统供电。 | |
| 电磁防护 | 电源线和通信线缆应隔离铺设,避免互相干扰。 |
| 应对关键设备实施电磁屏蔽。 |
等保2.0三级要求—安全通信网络
| 检查子项目 | 检查项目 |
|---|---|
| 网络架构 | 应保证网络设备的业务处理能力满足业务高峰期需要。 |
| 应保证网络各个部分的带宽满足业务高峰期需要。 | |
| 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 | |
| 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 | |
| 应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。 | |
| 通信传输 | 应采用密码技术保证通信过程中数据的完整性。 |
| 应采用密码技术保证通信过程中数据的保密性。 | |
| 可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。 |
等保2.0三级要求—安全区域边界
| 检查子项目 | 检查项目 |
|---|---|
| 边界防护 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 |
| 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 | |
| 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 | |
| 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 | |
| 访问控制 | 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 |
| 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。 | |
| 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。 | |
| 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。 | |
| 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 | |
| 入侵防范 | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 |
| 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 | |
| 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。 | |
| 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 | |
| 恶意代码和垃圾邮件防范 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。 |
| 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 | |
| 安全审计 | 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 |
| 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | |
| 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | |
| 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 | |
| 可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。 |
等保2.0三级要求—安全计算环境
| 检查子项目 | 检查项目 |
|---|---|
| 身份鉴别 | 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 |
| 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 | |
| 当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。 | |
| 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 | |
| 访问控制 | 应对登录的用户分配账户和权限。 |
| 应重命名或删除默认账户,修改默认账户的默认口令。 | |
| 应及时删除或停用多余的、过期的账户,避免共享账户的存在。 | |
| 应授予管理用户所需的最小权限,实现管理用户的权限分离。 | |
| 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。 | |
| 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。 | |
| 应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问。 | |
| 安全审计 | 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 |
| 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 | |
| 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | |
| 应对审计进程进行保护,防止未经授权的中断。 | |
| 入侵防范 | 应遵循最小安装的原则,仅安装需要的组件和应用程序。 |
| 应关闭不需要的系统服务、默认共享和高危端口。 | |
| 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 | |
| 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。 | |
| 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 | |
| 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | |
| 恶意代码和垃圾邮件防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 |
| 可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。 |
| 数据完整性 | 应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
| 应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 | |
| 数据保密性 | 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
| 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 | |
| 数据备份恢复 | 应提供重要数据的本地数据备份与恢复功能。 |
| 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。 | |
| 应提供重要数据处理系统的热冗余,保证系统的高可用性。 | |
| 剩余信息保护 | 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 |
| 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 | |
| 个人信息保护 | 应仅采集和保存业务必需的用户个人信息。 |
| 应禁止未授权访问和非法使用用户个人信息。 |
等保2.0三级要求—安全管理中心
| 检查子项目 | 检查项目 |
|---|---|
| 系统管理 | 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。 |
| 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 | |
| 审计管理 | 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。 |
| 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | |
| 安全管理 | 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。 |
| 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 | |
| 集中管控 | 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控。 |
| 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 | |
| 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 | |
| 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 | |
| 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 | |
| 应能对网络中发生的各类安全事件进行识别、报警和分析。 |
等保2.0三级要求—安全管理制度
| 检查子项目 | 检查项目 |
|---|---|
| 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
| 管理制度 | 应对安全管理活动中的各类管理内容建立安全管理制度。 |
| 应对管理人员或操作人员执行的日常管理操作建立操作规程。 | |
| 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 | |
| 制定和发布 | 应指定或授权专门的部门或人员负责安全管理制度的制定。 |
| 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 | |
| 评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |
等保2.0三级要求—安全管理机构
| 检查子项目 | 检查项目 |
|---|---|
| 岗位设置 | 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。 |
| 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。 | |
| 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。 | |
| 人员配备 | 应配备一定数量的系统管理员、审计管理员和安全管理员等。 |
| 应配备专职安全管理员,不可兼任。 | |
| 授权和审批 | 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 |
| 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。 | |
| 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 | |
| 沟通和合作 | 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题。 |
| 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通。 | |
| 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 | |
| 审核和检查 | 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。 |
| 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 | |
| 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。 |
等保2.0三级要求—安全管理人员
| 检查子项目 | 检查项目 |
|---|---|
| 人员录用 | 应指定或授权专门的部门或人员负责人员录用。 |
| 应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核。 | |
| 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 | |
| 人员离岗 | 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 |
| 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 | |
| 安全意识教育和培训 | 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 |
| 应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训。 | |
| 应定期对不同岗位的人员进行技能考核。 | |
| 外部人员访问管理 | 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案。 |
| 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案。 | |
| 外部人员离场后应及时清除其所有的访问权限。 | |
| 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 |
等保2.0三级要求—安全建设管理
| 检查子项目 | 检查项目 |
|---|---|
| 定级和备案 | 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。 |
| 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。 | |
| 应保证定级结果经过相关部门的批准。 | |
| 应将备案材料报主管部门和相应公安机关备案。 | |
| 安全方案设计 | 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。 |
| 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件。 | |
| 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 | |
| 产品采购和使用 | 应确保网络安全产品采购和使用符合国家的有关规定。 |
| 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。 | |
| 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 | |
| 自行软件开发 | 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制。 |
| 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 | |
| 应制定代码编写安全规范,要求开发人员参照规范编写代码。 | |
| 应具备软件设计的相关文档和使用指南,并对文档使用进行控制。 | |
| 应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。 | |
| 应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制。 | |
| 应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 | |
| 外包软件开发 | 应在软件交付前检测其中可能存在的恶意代码。 |
| 应保证开发单位提供软件设计文档和使用指南。 | |
| 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 | |
| 工程实施 | 应指定或授权专门的部门或人员负责工程实施过程的管理。 |
| 应制定安全工程实施方案控制工程实施过程。 | |
| 应通过第三方工程监理控制项目的实施过程。 | |
| 测试验收 | 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告。 |
| 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 | |
| 系统交付 | 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。 |
| 应对负责运行维护的技术人员进行相应的技能培训。 | |
| 应提供建设过程文档和运行维护文档。 | |
| 等级测评 | 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改。 |
| 应在发生重大变更或级别发生变化时进行等级测评。 | |
| 应确保测评机构的选择符合国家有关规定。 | |
| 服务供应商选择 | 应确保服务供应商的选择符合国家的有关规定。 |
| 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。 | |
| 应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 |
等保2.0三级要求—安全运维管理
| 检查子项目 | 检查项目 |
|---|---|
| 环境管理 | 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。 |
| 应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定。 | |
| 应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 | |
| 资产管理 | 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 |
| 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。 | |
| 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 | |
| 介质管理 | 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点。 |
| 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。 | |
| 设备维护管理 | 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。 |
| 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 | |
| 信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密。 | |
| 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。 | |
| 漏洞和风险管理 | 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。 |
| 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 | |
| 网络和系统安全管理 | 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。 |
| 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制。 | |
| 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。 | |
| 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等。 | |
| 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 | |
| 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为。 | |
| 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。 | |
| 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。 | |
| 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。 | |
| 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 | |
| 恶意代码防范管理 | 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等。 |
| 应定期验证防范恶意代码攻击的技术措施的有效性。 | |
| 配置管理 | 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。 |
| 应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。 | |
| 密码管理 | 应遵循密码相关国家标准和行业标准。 |
| 应使用国家密码管理主管部门认证核准的密码技术和产品。 | |
| 变更管理 | 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。 |
| 应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程。 | |
| 应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 | |
| 备份与恢复管理 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等。 |
| 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 | |
| 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | |
| 安全事件处置 | 应及时向安全管理部门报告所发现的安全弱点和可疑事件。 |
| 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。 | |
| 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。 | |
| 对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程序和报告程序。 | |
| 应急预案管理 | 应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。 |
| 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。 | |
| 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。 | |
| 应定期对原有的应急预案重新评估,修订完善。 | |
| 外包运维管理 | 应确保外包运维服务商的选择符合国家的有关规定。 |
| 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。 | |
| 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明。 | |
| 应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 |
等保2.0三级要求—安全通信网络
| 检查子项目 | 检查项目 |
|---|---|
| 网络架构 | 应保证云计算平台不承载高于其安全保护等级的业务应用系统。 |
| 应实现不同云服务客户虚拟网络之间的隔离。 | |
| 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 | |
| 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略。 | |
| 应提供开放接口或开放安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。 |
等保2.0三级要求—安全区域边界
| 检查子项目 | 检查项目 |
|---|---|
| 访问控制 | 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则。 |
| 应在不同等级的网络区域边界部署访问控制机制,设备访问控制规则 | |
| 入侵防范 | 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。 |
| 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。 | |
| 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。 | |
| 应在检测到网络攻击行为、异常流量情况时进行告警。 | |
| 安全审计 | 应对云服务提供商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启。 |
| 应保证云服务提供商对云服务客户系统和数据的操作可被云服务客户审计。 |
等保2.0三级要求—安全计算环境
| 检查子项目 | 检查项目 |
|---|---|
| 身份鉴别 | 当远程管理云计算平台的设备时,管理终端和云计算平台之间应建立双向身份验证机制。 |
| 访问控制 | 应保证当虚拟机迁移时,访问控制策略随其迁移。 |
| 应允许云服务客户设置不同虚拟机之间的访问控制策略。 | |
| 入侵防范 | 应能检测虚拟机之间的资源隔离失效,并进行告警。 |
| 应能检测到非授权新建虚拟机或者重新启用虚拟机,并进行告警。 | |
| 应能检测恶意代码感染及在虚拟机间蔓延情况,并进行告警。 | |
| 镜像和快照保护 | 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。 |
| 应提供虚拟机镜像、快照完整性检验功能,防止虚拟机镜像被恶意篡改。 | |
| 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。 | |
| 数据完整性和保密性 | 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定。 |
| 应确保只有在云服务客户授权下,云服务提供商或第三方才具有云服务客户数据的管理权限。 | |
| 应确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。 | |
| 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。 | |
| 数据备份恢复 | 云服务客户应在本地保存其业务数据的备份。 |
| 应提供查询云服务客户数据及备份存储位置的能力。 | |
| 云服务提供商的云存储服务应保证云服务客户数据存在多个可用的副本,各副本之间的内容应保持一致。 | |
| 应为云服务客户将业务系统及数据迁移到其体云计算平台和本地系统提供技术手段,并协助完成迁移过程。 | |
| 剩余信息保护 | 应保证虚拟机所使用的内存和存储空间回收时得到完全清除。 |
| 云服务客户删除业务应用数据时,云计算平台将云存储中所有副本删除。 |
等保2.0三级要求—安全管理中心
| 检查子项目 | 检查项目 |
|---|---|
| 集中管控 | 应能对物理资源和虚拟资源按照策略做统一管理调度与分配。 |
| 应保证云计算平台管理流量与云服务客户业务流量分离。 | |
| 应根据云服务提供商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计。 | |
| 应根据云服务提供商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。 |
等保2.0三级要求—安全建设管理
| 检查子项目 | 检查项目 |
|---|---|
| 云服务提供商选择 | 应选择安全合规的云服务提供商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。 |
| 应在服务水平协议中规定云服务的各项服务内容和具体技术指标。 | |
| 应在服务水平协议规定云服务提供商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。 | |
| 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。 | |
| 应与选定的云服务提供商签署保密协议,要求其不得泄露云服务客户数据。 | |
| 供应链管理 | 应确保供应商的选择符合国家有关规定。 |
| 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。 | |
| 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。 |
等保2.0三级要求—安全运维管理
| 检查子项目 | 检查项目 |
|---|---|
| 感知节点管理 | 应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定,并进行全程管理。 |
华为云安全配置基线3.0—网络
| 检查子项目 | 检查项目 |
|---|---|
| 确保限制SSH的Internet公网访问 | SSH协议多作用于远程连接并管理主机,默认端口为22,在网络攻击中经常作为资源扫描和暴力破解的入口。 配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的SSH协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。 |
| 确保安全组不允许源地址0.0.0.0/0访问远程管理端口及高危端口 | 配置VPC安全组规则时,建议在安全组入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。 源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。 高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。 远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。 |
| 确保子网ACL不允许源地址0.0.0.0/0访问远程管理端口及高危端口 | 配置VPC子网的网络ACL规则时,建议在网络ACL入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。 源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。 高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。 远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。 |
| 确保限制RDP的Internet公网访问 | RDP协议作用于远程桌面连接并管理主机,默认端口为3389,在网络攻击中经常作为资源扫描和暴力破解的入口。配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的RDP协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。 |
| 启用ELB监听器的访问控制 | ELB负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。 访问流量的IP先通过白名单或黑名单访问控制,然后负载均衡转发流量,通过安全组安全规则限制,所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。 访问控制只限制实际业务的流量转发,不限制ping命令操作,被限制的IP仍可以ping通后端服务器。 对于共享型负载均衡实例来说,需要创建监听器并添加后端云服务器,才可以ping通。 对于独享型负载均衡实例来说,创建完监听器,不需要添加后端云服务器,即可以ping通。 |
| 确保VPC对等连接满足最小化访问控制 | 对等连接是指两个VPC之间的网络连接,对于对等连接的路由应该满足最小访问权限原则。 建议本端路由的目的地址,建议限定在最小子网网段内。对端路由的目的地址,建议限定在最小子网网段内。 |
| 负载均衡实例需要多AZ部署 | ELB实例需要多AZ部署,保证具备容灾能力。 |
| 确保弹性公网IP在指定天数内绑定到资料实例 | 该控制项用于检查租户的EIP资源在指定的时间内是否绑定到相应的资源实例上,如果不需要使用的EIP,可以释放。 |
| 确保负载均衡开启删除保护 | ELB实例对客户流量转发非常关键,需要开启删除保护。未开启删除保护存在安全风险,不符合安全要求。 |
| 负载均衡必须配置HTTPS或TLS | TLS/HTTPS协议数据传输是加密传输,能够有效的防止数据泄露篡改风险,要求所有监听器必须为HTTPS监听器。如果其他协议监听器存在安全风险,不符合安全要求。 |
| 确保ELB监听器绑定的安全策略中使用安全的TLS版本和加密套件 | ELB(弹性负载均衡)支持在HTTPS或TLS监听器中配置安全策略,允许用户选择安全的TLS版本和加密套件。通过选择最新的TLS版本(如TLS1.2或TLS1.3)和强加密套件,ELB可以确保客户端与服务器之间的通信安全,防止数据在传输过程中被窃听或篡改。 使用安全的TLS版本和加密套件可以应对中间人攻击、降级攻击、数据泄露等风险。如果未配置,则可能导致因使用旧版本TLS协议或加密套件导致的数据泄露与篡改,并且可能面临中间人攻击的风险。 使用安全的TLS版本和加密套件可能导致兼容性问题,旧版本浏览器或客户端可能不支持最新的TLS版本。 |
| 应配置为将所有 HTTP 请求重定向到 HTTPS | HTTP协议不安全,要求所有HTTP请求必须重定向到HTTPS。 |
| 带有SSL/HTTPS监听器的负载均衡器应使用由证书管理服务提供的证书 | 推荐您在华为云云证书与管理服务购买服务器证书,并通过华为云云证书与管理服务对证书进行管理。 |
| 确保限制RDP的Internet公网访问 | RDP 协议作用于远程桌面连接并管理主机,默认端口为 3389,在网络攻击中经常作为资源扫描和暴力破解的入口。配置 VPC 子网的网络 ACL 规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的 RDP 协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源 IP。 |
| 确保ELB实例多AZ部署 | ELB(弹性负载均衡)支持多AZ(可用区)部署,允许用户将ELB实例部署在多个可用区。通过多AZ部署,ELB可以提高服务的可用性和容灾能力,确保在某个可用区发生故障时,服务仍可通过其他可用区继续提供。 采用多AZ部署可以应对单点/区域故障、负载不均等风险。若未采用多AZ部署,则服务可能因可用区或可用区ELB实例发生故障而中断,并且可能会导致流量分布不均的问题。 多AZ部署会导致网络流量经过更长的网络路径,可能增加数据传输的延迟,并导致云服务网络成本的上升。 |
| 负载均衡实例需要配置WAF策略 | ELB实例需要配置waf策略。 |
| 确保不存在未绑定任何资源的弹性公网IP | 该控制项用于检查是否存在未使用的EIP资源,帮助客户维护准确的资产清单,如果确认不需要使用,可以释放未使用的EIP。 |
| 确保负载均衡实例不绑定EIP | ELB负载均衡器应根据业务需求配置公网或内网访问。 对于仅需内网访问的场景,应避免配置弹性公网IP; 公网访问场景绑定弹性公网IP,同时配置安全组、ACL和WAF等安全措施。 |
华为云安全配置基线3.0—身份与访问管理
| 检查子项目 | 检查项目 |
|---|---|
| 设置初始IAM用户时,避免对具有控制台密码的用户设置访问密钥 | 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不要设置访问密钥。 |
| 启用访问密钥保护 | 为了提高账号资源的安全性,需开启访问密钥保护功能。“访问密钥保护”功能默认为关闭状态。开启该功能后,仅管理员才可以创建、启用/停用或删除 IAM 用户的访问密钥。 |
| 启用用户登录保护 | 为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄露,用户可在 IAM 的安全设置中开启登录保护。开启后用户登录时除了需要口令认证还需要通过虚拟 MFA 或短信或邮件验证,以再次确认登录者身份。 |
| 确保IAM密码每180天或更短时间轮换一次 | IAM 用户的密码有效期策略必须设置,建议满足以下要求: 设置密码过期后,系统强制要求修改密码(密码有效期设置为 180 天或更短时间)。 |
| 确保设置密码最短使用时间 | IAM 用户密码最短使用时间策略必须设置,建议满足以下要求: 设置密码最短使用时间,必须超过设置的时间,才能进行修改(最短使用时间设置为 5 分钟)。 |
| 确保IAM密码策略要求最小长度为8或更大 | 密码策略 IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 密码长度不小于 8 位。 |
| 启用用户操作保护 | 为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。 |
| 确保任何单个IAM用户仅有一个可用的活动访问密钥 | 为了提高账号资源的安全性,建议单个 IAM 用户仅有一个可用的活动访问密钥。 |
| 确保IAM密码策略要求符合密码复杂度 | IAM 用户的密码策略应设置强密码策略,建议满足以下要求:
|
| 确保管理员账号已启用MFA | 虚拟Multi-Factor Authentication(MFA)是多因素认证方式的一种,用户需要先在智能设备上安装一个MFA应用程序(例如:“华为云”手机应用程序),才能绑定虚拟MFA设备。绑定MFA后,用户在登录时或进行敏感操作前需输入MFA随机产生的6位数字认证码。MFA设备可以基于硬件也可以基于软件,目前华为云仅支持基于软件的虚拟MFA。用户登录Console控制台必须启用MFA,保证安全登录。 |
| 确保IAM密码策略防止密码重复使用 | IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 新密码不能与最近的历史密码相同(重复次数设置为 3)。 |
| 配置IAM的网络访问控制策略 | 管理员可以设置访问控制策略,限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云:
|
| 确保管理员账号禁用AK/SK | 为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。 |
| 确保不创建允许“*:*”管理权限的IAM策略 | 为了提高账号资源的安全性,不创建允许“*:*”管理权限的 IAM 策略。 |
| 配置登录验证策略 | 管理员可以设置登录验证策略,包括“会话超时策略”、“账号锁定策略”、“账号停用策略”、“最近登录提示”、“登录验证提示”。
|
| 确保不创建非管理员权限的IAM用户 | “admin”为缺省用户,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 |
| 确保IAM用户不直接附加策略或权限,而是通过“继承所选用户组的策略”的方式给IAM用户授权 | IAM用户直接附加了策略或权限,视为“不合规”。建议您通过“继承所选用户组的策略”的方式给IAM用户授权,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无意中接收或保留过多权限的风险。 |
| 应避免根用户以外的IAM用户加入admin用户组,防止授权过大 | 根用户以外的IAM用户加入admin用户组,视为“不合规”。“admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 |
| 确保创建的IAM策略已正确附加到IAM用户、用户组或委托 | IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。避免长期存在未绑定的IAM策略,防止因管理疏漏引发计划外授权,从而导致恶意操作。长期未绑定的IAM策略,建议删除处理。 |
| 确保IAM角色正确附加到IAM用户、用户组或委托 | IAM角色未附加到IAM用户、用户组或委托,视为“不合规”。避免长期存在未绑定的IAM权限,防止因管理疏漏引发计划外授权,从而导致恶意操作。 |
| 确保IAM用户组已加权限 | IAM用户组未添加任意权限,视为“不合规”。管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。如果您的用户组没有配置任何授权,则不会带来任何有效授权行为,建议您定时检查并清理无效的IAM用户组,提升运行和管理效率。 |
| 确保对IAM服务的操作已记录审计日志 | 用户可以通过开启CTS服务来记录对IAM服务操作的审计日志,开启审计日志对于保护信息安全、确保合规性、提高系统稳定性和透明度等方面都具有重要意义。 1、增强安全性:审计日志记录了系统中发生的所有重要操作,包括登录尝试、文件访问、配置更改等。通过分析这些日志,安全团队可以及时发现异常行为,比如未授权的访问尝试或恶意活动,从而采取措施防止潜在的安全威胁。 2、满足合规要求:许多行业标准和法律法规(如GDPR、HIPAA、SOX等)要求组织必须记录和保留特定类型的活动日志。开启审计日志有助于满足这些合规性要求,避免因不合规而面临的罚款或其他法律后果。 3、追责:在多用户环境中,审计日志能够记录每个用户的具体操作,这对于明确责任、防止内部欺诈行为非常重要。一旦发生问题,可以通过日志追踪到具体的操作者,便于进行责任追究。 4、提高透明度:对于外部审计或监管机构来说,审计日志提供了透明度,证明了组织在数据处理、安全管理和合规性方面的努力。这有助于建立信任,增强组织的声誉。 |
华为云安全配置基线3.0—安全
| 检查子项目 | 检查项目 |
|---|---|
| 启用勒索病毒防护(旗舰版/容器版/网页防篡改版) | 勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中断、数据泄露或丢失,主机所有者即使支付赎金也可能难以挽回所有损失,因此勒索病毒是当今网络安全面临的最大挑战之一。企业主机安全支持静态、动态勒索病毒防护,定期备份主机数据,可以帮助您抵御勒索病毒,降低业务损失风险。 |
| 启用CBH并开启多因子认证 | 启用云堡垒机(Cloud Bastion Host,CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。为了进一步提高堡垒机账号安全性,用户可启用云堡垒机服务(CBH)的多因子认证功能。启用后,用户通过Web浏览器或SSH客户端登录CBH实例时需进行多因子认证。多因子认证方式包括:手机短信、手机令牌、USBKey、动态令牌。 |
| 启用企业主机安全 HSS(基础版/专业版/企业版/旗舰版) | 主机实例(例如:ECS、BMS)应安装企业主机安全防护(HSS)且开启防护,全面识别并管理主机资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系。 |
| 启用WAF防护事件告警通知 | 通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户。 |
| 配置WAF回源IP(源站服务器部署在ECS) | 回源 IP是WAF用来代理客户端请求服务器时用的源 IP,在服务器看来,接入WAF后所有源 IP都会变更为WAF的回源 IP,真实的客户端 IP会被加载HTTP头部的字段中。当WAF后未配置ELB,应配置只允许WAF的回源 IP访问ECS。 |
| 启用SecMaster高危告警自动通知 | 启用安全云脑(SecMaster)的高危告警自动通知,当检测到高危告警时,用户可以及时收到邮件/短信通知,从而快速处置和响应。 |
| 启用WAF对Web基础防护的拦截模式 | Web基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为,并不会对攻击行为进行阻断,建议开启Web基础防护的“拦截”模式,以在发现攻击后立即阻断并记录。 |
| 启用云防火墙 CFW功能 | 对于有弹性公网 IP(EIP)对外暴露业务的用户,建议启用云防火墙(CFW)。启用后,所有经过EIP的公网出入流量都会先经过CFW,恶意攻击流量会被CFW检测并阻断,而正常流量返回给业务服务器,从而确保业务服务器安全、稳定、可用。 |
| 启用Web应用防火墙功能 | 对于有Web业务的用户,要求启用Web应用防火墙服务(WAF)。启用后,网站所有的公网流量都会先经过WAF,恶意攻击流量会被WAF检测并过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。 |
| 启用CFW告警通知 | 通过创建告警规则完成对日志的实时监控,当日志中的出现满足设定规则时产生告警,并通过短信或邮件的方式通知用户,可以用来实时监控日志中出现的异常信息。 |
| 启用DEW凭据托管功能 | 启用密码安全中心(Data Encryption Workshop,DEW)凭据托管功能,实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。 |
| 配置WAF地理位置访问策略 | 用户可以通过WAF配置地理位置访问控制规则,以实现对指定国家、地区的来源IP的自定义访问控制。 |
| 配置WAF回源IP(源站服务器部署在ELB) | 回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变更WAF的回源IP,真实的客户端IP会被加载HTTP头部的字段中。当WAF后配置了ELB,应配置只允许WAF的回源IP访问ELB。 |
| 启用HSS网页防篡改功能 | 应开启HSS中的网络防篡改防护,以保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 |
| 安全组端口检查,避免安全组入方向设置为0.0.0.0/0或::/0 | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规”。0.0.0.0/0表示所有IPv4地址,::/0表示所有IPv6地址。如果允许任何IP都可以访问任何端口,会极大地增加被攻击的风险。强烈建议您遵循最小权限原则配置安全组规则,避免过度授权。 |
| 应确保WAF防护策略配置防护规则 | WAF防护策略可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。确保防护策略不是空置状态,而是根据自己网站防护的需要,灵活配置防护规则,才能更好的防护您的网站业务。 |
| 应确保CSMS轮转凭据启用自动轮转 | 如果长时间不更新凭据,凭据内保护的重要信息(例如:重要密码、令牌、证书、SSH密钥、API密钥等)的泄露风险也会增加,定期轮换凭据会增加所保护的明文信息安全性。 |
| 配置KMS禁用或计划删除密钥的事件监控告警 | CES配置监控KMS禁用或计划删除密钥的事件监控告警,旨在提供对关键云资源安全事件的实时监控与响应。通过事件监控功能,用户能够对云环境中重要的操作事件进行数据上报和查询,尤其是针对KMS密钥禁用或删除的高风险操作。一旦发生此类事件,系统将触发告警,并通过多种通知方式及时提醒用户,确保其能够迅速采取措施防止潜在的安全风险。此功能主要应对的风险是密钥管理不当带来的安全隐患,包括未经授权的密钥禁用、删除或其他操作,可能导致加密数据泄露、身份验证失败或数据完整性受损,请确保配置CES配置监控KMS禁用或计划删除密钥的事件监控告警。 |
| 应确保WAF防护域名配置防护策略 | WAF防护策略可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。确保防护策略不是空置状态,而是根据自己网站防护的需要,灵活配置防护规则,才能更好的防护您的网站业务。 |
| 启用KMS密钥轮换 | 启用密码安全中心(Data Encryption Workshop, DEW)密钥轮换策略,定期更换原密钥的密钥材料,提升加密密钥的安全性。 |
| 应确保CSMS凭据在指定天数内轮转 | CSMS凭据可以配置轮转,可以使用轮转来将长期机密信息替换为短期机密信息。如果长时间不更新凭据,凭据内保护的重要信息(例如:重要密码、令牌、证书、SSH密钥、API密钥等)的泄露风险也会增加,轮转机密信息可以增加所保护的明文信息安全性、限制非授权用户使用被泄露机密信息的时间。因此,应该定期轮转CSMS凭据。PCI DSS要求至少每90天更改一次用户密码或凭据轮转。 |
| VPC默认安全组不应允许入站或出站流量 | 默认安全组的规则允许与同一安全组分配的网络接口(及其关联实例)之间的所有出站和入站流量。建议不要使用默认安全组。由于默认安全组无法删除,您应更改默认安全组规则设置以限制入站和出站流量。这样可以防止在意外将默认安全组配置给ECS实例等资源时,出现非预期的流量。 |
| ACL要管理子网,未使用的网络访问控制列表应被移除 | 未使用的网络ACL(访问控制列表)可能增加安全风险,因为它们可能包含过时或宽松的规则,若被错误关联到子网,可能导致意外的网络访问权限。 |
| 安全组入站流量限制指定端口 | 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为不合规。0.0.0.0/0表示所有IPv4地址,::/0表示所有IPv6地址。如果允许任何IP都可以访问您指定的高危端口,会极大地增加被攻击的风险。 1、如数据库服务(如MySQL的3306端口)允许0.0.0.0/0或::/0访问,可能导致未授权用户访问敏感数据。 2、如管理端口(如SSH的22端口、RDP的3389端口)允许0.0.0.0/0或::/0访问,可能导致服务器被入侵。 建议遵循最小权限原则配置安全组规则,避免过度授权。 |
| 应确保配置了自动轮转的CSMS凭据轮转成功 | CSMS凭据轮转成功或不涉及轮转,视为合规。当您为凭据开启轮转后,您需要确保轮转执行是成功的。如果轮转失败,可能导致以下问题: 凭据泄露风险:长期不轮转的凭据更容易被攻击者获取,增加数据泄露或服务滥用的可能性。 服务中断风险:轮转失败可能导致凭据过期,引发服务中断或应用故障。 约束:该合规规则只检查定时轮转是否成功,不检查立即轮转是否成功。该合规规则受制于Config收集资源的实时性,可能存在最多不超过24小时的滞后。 |
| 确保安全组连接到弹性网络接口 | 默认安全组以外的安全组未关联弹性网络接口,视为“不合规”。安全组的规则是通过关联弹性网卡来生效的。如果没有关联弹性网卡,安全组的规则将无法对实例的流量进行过滤和控制,可能导致敏感数据泄露或未授权访问。 |
| 确保CFW实例绑定标签 | 通过CFW添加标签,实现资源的分类,可通过标签进行权限管理。 |
| 应确保启用Web应用防火墙功能 | Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 |
| 确保CFW实例配置外部访问默认阻断策略 | 开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控。为了提升安全性,建议配置外网访问默认阻断策略。 |
| 启用DEW凭据自动轮转功能 | 启用密码安全中心(Data Encryption Workshop, DEW)凭据轮换功能,实现对敏感凭据的定期更新,提升系统的安全性。 |
华为云安全配置基线3.0—日志与监控
| 检查子项目 | 检查项目 |
|---|---|
| 启用RDS数据库审计功能 | 当用户开通SQL审计功能,系统会将所有的SQL操作记录下来存入日志文件,方便用户下载并查询。SQL审计功能默认关闭,启用该功能可能会有一定的性能影响。 |
| 启用DBSS数据库安全审计告警通知功能 | 通过设置告警通知,当数据库发生设置的告警事件时,用户可以收到DBSS发送的告警通知,及时了解数据库的安全风险。否则,无论是否有危险,用户都只能登录管理控制台自行查看,无法收到告警信息。 |
| 启用DBSS数据库安全审计功能 | 数据库应开通数据库审计功能,数据库安全服务(DBSS)的数据库安全审计提供旁路模式审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警,对数据库的内部违规和不正当操作进行定位追责。 |
| 确保存储日志的OBS桶为非公开可读 | 确保存储审计日志的桶,非公开可读,防止审计日志被非法访问。 |
| 启用CTS | 用户开通云审计服务(CTS)后,系统会自动创建一个追踪器,该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。CTS服务具备对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 |
| 启用CTS的关键操作通知功能 | 关键操作包含高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)。下面列出部分云服务的关键操作项:
启用CTS的关键操作通知功能后,CTS会对这些关键操作通过消息通知服务(SMN)实时向相关订阅者发送通知,该功能由CTS触发,SMN完成通知发送。 CTS中需要开启关键操作通知,配置操作类型建议设置为自定义(包括删除、创建、登录)。在录入某些关键操作时,CTS可以通过SMN实时向订阅者发送通知。该功能由CTS触发,SMN发送通知。如Root Login,即企业管理员有登录事件时发送通知;或CTS更改意味着当CTS跟踪器发生更改时发送通知。 |
| 启用OBS桶日志功能 | 出于分析或审计等目的,用户可以开启 OBS 桶日志记录功能。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶中。 |
| 开启日志文件加密存储 | 将审计日志转储到OBS,可以配置加密存储,防止文件被非法访问。 |
| 启用WAF全量日志功能 | 启用WAF全量日志功能后,可以将攻击日志、访问日志记录到LTS中。通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。开启全量日志功能是将WAF日志记录到LTS,不影响WAF性能。 |
| 启用LTS日志转储 | 主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此,对于需要长期存储的日志数据,应在LTS中配置日志转储。LTS支持将日志转储至以下云服务:
|
| 启用VPC流量日志功能 | VPC流日志功能可以记录虚拟私有云中的流量信息,帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。当用户想要了解虚拟私有云网卡的流量详情时,用户可以通过LTS实时查看虚拟私有云的网卡日志数据。 |
| 启用LTS主机全量日志功能 | 当用户选择了主机接入方式时,LTS可以将主机待采集日志的路径配置到日志流中,ICAgent将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位发往LTS,用户可以在LTS控制台实时查看日志。 |
| 确保LTS存储时长满足需求 | 主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此,需要用户根据业务需求配置存储时长。 |
| 启用ELB访问日志记录功能 | ELB在外部流量分发时,会记录HTTP(S)详细的访问日志记录,如URI请求、客户端 IP和端口、状态码。ELB日志可用于审计,也可用于通过时间和日志中的关键词信息搜索日志,同时,也可以通过各种SQL聚合函数来分析某段时间内的外部请求统计数据,以掌握真实用户的网站使用频率等。 |
| 应确保DDoS原生基础防护开启LTS日志记录 | 启用Anti-DDoS防护功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的Anti-DDoS日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 |
| 启用CFW日志管理能力 | 将攻击事件日志、访问控制日志、流量日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CFW日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 |
| 开启日志文件完整性校验 | 将审计日志转储到OBS,可以同步开启文件校验,保障审计文件的完整性,防止文件被篡改。 |
| 启用CTS并配置LTS转储 | 云审计服务(Cloud Trace Service),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 |
| 确保CTS实例添加标签 | 云审计服务(Cloud Trace Service),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 |
| 启用CES资源告警功能 | 云监控服务(CES)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。告警功能提供对监控指标的告警功能,用户对云服务的核心监控指标设置告警规则,当监控指标触发用户设置的告警条件时,支持以邮箱、短信、HTTP、HTTPS等方式通知用户,让用户在第一时间得知云服务发生异常,迅速处理故障,避免因资源问题造成业务损失。该服务应对的主要风险包括资源使用异常、业务性能下降及潜在故障风险。如果告警功能未能启用或配置不当,可能导致用户无法及时察觉资源问题,进而影响业务运行的稳定性,甚至可能造成业务停机、数据丢失或财务损失。因此,确保告警机制的正常运作对于云环境中的资源管理和故障响应至关重要。 |
| 应确保ER服务启用安全审计日志 | 用户可以通过开启CTS服务来记录对ER服务操作的审计日志,开启审计日志对于保护信息安全、确保合规性、提高系统稳定性和透明度等方面都具有重要意义。 1、增强安全性:审计日志记录了系统中发生的所有重要操作,包括登录尝试、文件访问、配置更改等。通过分析这些日志,安全团队可以及时发现异常行为,比如未授权的访问尝试或恶意活动,从而采取措施防止潜在的安全威胁。 2、满足合规要求:许多行业标准和法律法规(如GDPR、HIPAA、SOX等)要求组织必须记录和保留特定类型的活动日志。开启审计日志有助于满足这些合规性要求,避免因不合规而面临的罚款或其他法律后果。 3、追责:在多用户环境中,审计日志能够记录每个用户的具体操作,这对于明确责任、防止内部欺诈行为非常重要。一旦发生问题,可以通过日志追踪到具体的操作者,便于进行责任追究。 4、提高透明度:对于外部审计或监管机构来说,审计日志提供了透明度,证明了组织在数据处理、安全管理和合规性方面的努力。这有助于建立信任,增强组织的声誉。 |
| CES配置监控VPC变更的事件监控告警 | CES配置监控VPC变更的事件监控告警,可以帮助用户实时监控和响应VPC中网络架构的关键变化。通过事件监控功能,用户能够对VPC相关的操作事件进行数据上报和查询,尤其是针对删除VPC、修改VPC等操作。一旦发生这些高风险的配置变更,系统将触发告警,及时通知用户,帮助其快速审查和采取必要的安全措施,确保网络架构的稳定和安全。如果未及时监控VPC的配置变更,可能会导致关键网络组件暴露或无法访问,进而影响云环境中的其他服务和资源。确保VPC变更事件得到及时监控和告警,对于防止不必要的网络安全漏洞和保障业务的正常运行至关重要。 |
| 应配置华为云账号通过Organizations进行纳管 | 华为云账号配置通过Organizations服务进行纳管,主要通过集中管理多账号关系、设置组织单元与服务控制策略,实现账号资源的统一策略管控与权限最小化分配。此配置直接应对分散账号管理引发的安全与合规风险:若账号未纳入组织,各账号独立配置易出现安全策略不一致,导致越权操作难追溯或配置漏洞被利用。若不满足此要求,一旦攻击者利用某账号的配置弱点横向渗透,将因缺乏跨账号监控与策略联动而延误响应,引发数据泄露、服务中断及多区域合规处罚。开启纳管对业务负面影响需要用户使用组织对多账号进行结构化管理。 |
华为云安全配置基线3.0—虚拟机与容器
| 检查子项目 | 检查项目 | |
|---|---|---|
| 云容器引擎 CCE | 启用HSS的容器安全版 | 企业主机安全(Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。推荐启用HSS服务保护CCE集群中的Node节点及之上的容器。 |
| 禁止容器获取宿主机元数据 | 租户使用CCE集群作为共享资源池来构建高阶服务,且允许高阶服务的最终用户在集群中创建不可控的容器负载时,应限制容器访问所在宿主机的元数据。 | |
| 启用LTS服务并采集容器日志 | 云日志服务(Log Tank Service,简称LTS)用于收集来自主机和云服务的日志数据,通过海量日志数据的分析与处理,可以将云服务和应用程序的可用性和性能最大化,为您提供实时、高效、安全的日志处理能力,帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 建议统一采集容器日志(包括容器标准输出、容器内的日志文件、节点日志文件和Kubernetes事件)并上报到LTS。 | |
| 禁止使用CCE已经EOS的K8S集群版本 | 集群版本EOS后,CCE将不再支持对该版本的集群创建,同时不提供相应的技术支持,包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持,不再适用于CCE服务SLA保障。 请留意CCE Console公告栏或CCE官方资料中的Kubernetes版本策略,在集群生命周期截止前参考集群升级等资料及时完成升级。 | |
| 集群apiserver不要暴露到公网 | Kubernetes API具备访问控制能力,但偶尔存在一些无访问控制的CVE漏洞,同时为减少攻击者刺探Kubernetes API版本,建议非必须不要为集群绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 | |
| 限制业务容器访问管理面 | 在节点上的业务容器无需访问kube-apiserver时,建议禁止节点上的容器网络流量访问到kube-apiserver。 | |
| 及时处置CCE在官网发布的漏洞 | CCE服务会不定期发布涉及的漏洞,用户需及时关注和处理。对于高危漏洞,当Kubernetes社区发现漏洞并发布修复方案后,CCE一般在1个月内进行修复,修复策略与社区保持一致。在CCE官方未彻底修复漏洞前,请租户参考CCE官方提供的消减措施为最大化降低漏洞带来的影响。 | |
| 集群节点不要暴露到公网 | 节点对公网暴露后,攻击者可通过互联网发起攻击,攻破节点后可能会进一步控制集群。 如非必需,集群节点不建议绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用CCE集群过程中,由于业务场景需要,在节点上配置了kubeconfig.json文件,kubectl使用该文件中的证书和私钥信息可以控制整个集群。在不需要时,请清理节点上的/root/.kube目录下的目录文件,防止被恶意用户利用: rm -rf /root/.kube | |
| 加固K8S集群所在VPC的安全组规则 | CCE作为通用的容器平台,安全组规则的设置适用于通用场景。用户可根据安全需求,通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 | |
| 应确保使用在维护周期内的CCE集群版本 | 云容器引擎(CCE)严格遵循社区一致性认证,每年发布3个Kubernetes版本,每个版本发布后提供至少24个月的维护周期,CCE保证维护周期内的Kubernetes版本的稳定运行。集群版本EOS后,CCE将不再支持对该版本的集群创建,同时不提供相应的技术支持,包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持,不再适用于CCE服务SLA保障。请留意CCEConsole公告栏或CCE官方资料中的Kubernetes版本策略,在集群生命周期截止前参考集群升级等资料及时完成升级。 主动升级集群有以下好处: 1、降低安全和稳定性风险:Kubernetes版本迭代过程中,会不断修复发现的安全及稳定性漏洞,长久使用EOS版本集群会给业务带来安全和稳定性风险。 2、支持新功能和新操作系统:Kubernetes版本的迭代过程中,会不断带来新的功能、优化。您可通过CCE集群版本发布说明查看最新版本的特性说明。 3、避免大跨度兼容风险:Kubernetes版本的迭代过程中,会不断带来API变更与功能废弃。长久未升级的集群,在需要升级时需要更大的运维保障投入。周期性的跟随升级能有效缓解版本差异累积导致的兼容性风险。建议用户每季度升级一次补丁版本,每年升级一次大版本至当前支持的最新版本。 4、更加有效的技术支持:对于EOS的Kubernetes版本集群,CCE不再提供安全补丁和问题修复,同样无法保证EOS版本集群的技术支持质量。升级集群可能会带来如下影响:Kubernetes不同版本之间存在一些兼容性问题,升级集群前可能需要租户适配应用;另外,升级集群属于高危操作,在生产环境升级集群前要充分验证。 | |
| 弹性云服务器 ECS | 确保ECS内的重置密码插件更新到最新版本 | 弹性云服务器提供一键式重置密码功能。当弹性云服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给弹性云服务器设置新密码。及时更新重置密码插件可确保漏洞及时得到修复。 |
| 在ECS内设置防火墙策略限制对元数据的访问 | 弹性云服务器元数据包含了弹性云服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。 在ECS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。 | |
| 确保私有镜像开启了加密 | 镜像加密支持私有镜像的加密。在创建弹性云服务器时,用户如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密。 | |
| 使用密钥对安全登录ECS | 密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。 由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账户密码泄露,从而提高Linux云服务器的安全性。 | |
| 确保ECS实例关闭公网访问 | ECS实例具有弹性公网IP,视为“不合规”。由于华为云ECS实例可能包含敏感信息,如果您的业务不需要与公网交互,请避免将实例直接暴露在公网。 | |
| 确保ECS实例开启主机安全防护 | ECS实例未绑定HSS Agent并启用防护,视为“不合规”。弹性云服务器应安装企业主机安全防护(HSS)且开启防护,全面识别并管理主机资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系。 | |
| 裸金属服务器 BMS | 使用密钥对安全登录BMS | 密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。 由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解,造成的账户密码泄露,从而提高Linux云服务器的安全性。 |
| 确保BMS内的重置密码插件更新到最新版本 | 裸金属服务器提供一键式重置密码功能。当裸金属服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给裸金属服务器设置新密码。 及时更新重置密码插件可确保漏洞及时得到修复。 | |
| 在BMS内设置防火墙策略限制对元数据的访问 | 裸金属服务器元数据包含了裸金属服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。 在BMS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。 | |
| 容器镜像服务 SWR | SWR企业仓私有仓库至少需要配置一条老化策略 | 配置镜像老化规则是容器化运维的核心实践,通过自动化清理冗余镜像,实现存储成本控制、安全风险降低和系统性能优化。 |
| SWR企业仓私有仓库需要配置镜像不可变规则 | 配置镜像不可变规则是容器化应用的基石实践,通过强制版本唯一性和完整性,有效防御人为错误、供应链攻击和合规风险。 | |
| SWR企业仓需要使用用户自定义的KMS密钥对镜像加密存储 | 使用用户自定义密钥加密镜像仓库,是提升数据安全性和合规性的关键措施,尤其适用于对敏感数据控制严格、需满足多层级审计要求的场景。 SWR企业仓使用OBS对象存储作为后端存储,支持使用用户已有的OBS桶,用户创建OBS桶的时候,可以使用自己管理的KMS密钥。 | |
| 通过VPCEP访问SWR企业仓Docker Registry API必须配置VPCEP策略 | 配置VPCEP策略,限定VPC只能上传下载指定的镜像,避免数据泄露,提升系统安全性。 | |
| SWR企业的公开仓需要支持标签 | 命名空间用于管理多个具有关联属性的镜像,不直接存储容器镜像,可对应企业内部的一个产品项目或部门。当公司部门繁多时,可以通过添加命名空间标签,方便后续通过标签对命名空间进行查找及管理。 仓库归属于命名空间,当命名空间公开时,该命名空间下的所有仓库中的镜像均能被匿名下载。 | |
| 弹性伸缩 AS | 确保弹性伸缩组创建的ECS实例覆盖多AZ | 华为云弹性伸缩组(AS)支持将新创建的ECS实例分布到多个可用区(AZ)。每个AZ是具备独立风火水电设施的物理数据中心隔离单元,同一Region内的多个AZ通过高速光纤互联,这是构建高可用应用架构的基础。 配置伸缩组使用多AZ部署,核心目的是应对单AZ故障风险。如果所有ECS实例都集中在单个AZ内,一旦该AZ因基础设施故障(如断电、断网)或自然灾害发生中断,将导致整个伸缩组内的实例不可用,业务服务完全中断,丧失连续性。即使伸缩组状态正常,如果所选AZ不支持伸缩配置中指定的ECS实例类型,可能导致伸缩组无法使用或扩容活动异常,资源弹性扩展能力受限。此外,即使部分AZ支持所需实例类型,扩容时实例也无法均匀分布,削弱了跨AZ的高可用性。 启用此规则(即配置多AZ)后,主要业务影响体现在跨AZ通信会引入轻微的网络时延增加(相比同AZ内通信),对于网络时延要求极高的业务(如毫秒级响应的金融交易系统)可能需注意。同时,配置时需确保所选的所有AZ都支持您需要的ECS实例类型,否则扩容仍可能集中在支持的AZ中,达不到理想的均匀分布效果。因此,建议在创建伸缩组时至少选择2个可用区,并优先采用“均衡分布”扩展策略,以实现最佳的高可用性。 |
| 确保弹性伸缩组使用弹性负载均衡健康检查 | 华为云弹性伸缩服务(Auto Scaling,AS)与弹性负载均衡(Elastic Load Balance,ELB)结合使用时,可以自动调整计算资源,以适应业务负载的变化。通过配置ELB健康检查,可以确保只有健康状态的实例参与负载均衡,从而提高服务的可用性和稳定性。健康检查功能会定期检查后端服务器的健康状态,一旦发现异常,会自动将流量重定向到其他健康的实例,避免了单点故障对业务的影响。 不使用ELB健康检查可能会导致异常的实例继续接收流量,影响用户体验和业务连续性。在高并发场景下,异常实例可能会成为性能瓶颈,甚至导致整个服务不可用。此外,未及时发现和隔离故障实例,还可能增加安全风险,如被攻击者利用进行DDoS攻击等。 若不使用健康检查,则异常实例可能继续接收流量,可导致用户请求失败或响应时间增加,并同时造成资源的浪费。同时,未及时隔离并清理故障实例,可导致实例被攻击者利用,增加安全风险。 若健康检查频率设置不当,可能导致健康检查频率过高,增加负载并影响性能。 | |
华为云安全配置基线3.0—数据库
| 检查子项目 | 检查项目 | |
|---|---|---|
| RDS for MySQL | 配置合理的安全组规则 | 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,保障数据库的安全性和稳定性。 |
| 避免绑定EIP直接通过互联网访问 | 避免RDS for MySQL部署在互联网或者DMZ里,应该将RDS for MySQL部署在公司内部网络,使用路由器或者防火墙技术把RDS for MySQL保护起来,避免直接绑定EIP方式从互联网访问RDS for MySQL。通过这种方式防止未授权的访问及DDoS攻击等。 | |
| 开启加密通信 | 如果未启用TLS加密连接,那么在MySQL客户端和服务器之间以明文形式传输数据,容易受到窃听、篡改和“中间人”攻击。如果您是通过像Internet这样的非安全网络连接到MySQL服务器,那么启用TLS加密连接就显得非常重要。 | |
| 禁止使用默认端口 | MySQL的默认端口是3306,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。 | |
| 开启透明数据加密功能 | 对数据文件执行实时 I/O 加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密,能有效保护数据库及数据文件的安全。 | |
| 数据库版本更新到最新版本 | MySQL社区有新发CVE漏洞时,会及时分析漏洞的影响,依据漏洞实际风险的影响大小决定补丁发布计划。建议及时升级修复,避免漏洞影响数据的安全。 | |
| 开启数据库审计日志 | 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 | |
| RDS for PostgreSQL 数据库 | 开启备份功能设置合理的备份策略 | 定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。 |
| 开启用户登录时日志记录功能 | 为了保证数据库的安全性和可追溯性,登录者所有的操作都会记录,以达到安全审计的目的。log_connections可以记录每次尝试连接到服务器的连接认证日志,log_disconnections记录用户注销时的日志,当受到攻击或者内部员工误操作而造成重要的数据丢失时,能够及时定位登录的IP地址。 | |
| 禁止使用默认端口 | PostgreSQL的默认端口是5432,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。 | |
| 配置合理的安全组规则 | 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,保障数据库的安全性和稳定性。 | |
| 配置客户端认证超时时间 | authentication_timeout控制完成客户端认证的时间上限,单位是秒。该参数可以防止客户端长时间占用连接通道,默认是60s。 | |
| 限制连接数据库的IP地址 | 如果对连接数据库的IP地址不设置限制,全网都可访问,直接会增大攻击面。 | |
| 开启数据库审计日志 | 通过将PostgreSQL审计扩展(pgAudit)与RDS for PostgreSQL数据库实例一起使用,可以记录用户对数据库的所有相关操作,通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 | |
| 数据库版本更新到最新版本 | PostgreSQL社区当前 9.5/9.6/10 版本已经EOL,社区已不再维护,云上 9.5/9.6 版本已经发布EOS公告。使用较老的版本可能存在漏洞,运行最新版本的软件可以避免受到某些攻击。 | |
| GaussDB 数据库 | 数据库连接的最大并发连接数配置 | 如果GaussDB连接数过高,会消耗服务器大量资源,导致操作响应变慢,同时要根据操作系统环境来设置最大连接数,如果高于操作系统接收的最大线程数,设置无效。 通过设置最大连接数,可以避免出现DDoS攻击,同时可以用最合理的方式利用系统的资源,达到最佳的OPS响应能力。 |
| 权限管理 | 防止PUBLIC拥有CREATE权限,导致数据库任何账户都可以在PUBLIC模式下创建表或者其他数据库对象,需要对PUBLIC的权限进行限制 | |
| GaussDB开启数据库审计日志 | 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 | |
| 安全认证配置 | 为了保证用户体验,同时为了防止账户被人通过暴力破解,GaussDB设置了账户登录重试次数及失败后自动解锁时间的保护措施。 | |
| 用户密码的安全策略 | 用户密码存储在系统表pg_authid中,为防止用户密码泄露,GaussDB对用户密码进行加密存储,所采用的加密算法由配置参数password_encryption_type决定; GaussDB数据库用户的密码都有密码有效期,可以通过参数password_notify_time提醒客户修改密码,如果需要修改密码有效期,可以通过修改password_effect_time来更改。 | |
| WAL归档配置 | WAL(Write Ahead Log)即预写式日志,也称为Xlog。 | |
| GaussDB应开启备份功能设置合理的备份策略 | 当数据库或表被恶意或误删除,虽然GaussDB支持高可用,但备机数据库会被同步删除且无法还原。因此,数据被删除后只能依赖于实例的备份保障数据安全。 | |
| 应确保GaussDB实例不使用数据库引擎的默认端口 | 确保GaussDB实例不使用数据库引擎的默认端口是一项关键的网络安全加固措施,其核心目的是规避自动化攻击和降低被入侵风险。 | |
| 应确保GaussDB数据库实例不具有弹性公网IP(EIP) | GaussDB数据库实例不绑定弹性公网IP(EIP)是一项主动的网络安全加固设计,其核心目的是通过强制隔离公网访问,降低外部攻击风险,保障数据库的机密性与完整性。 | |
| GaussDB实例应开启慢日志 | 租户在开启GaussDB实例慢日志功能后,租户可以通过GaussDB慢日志定位SQL语句执行慢的问题。当前慢日志功能默认开启。 | |
| GaussDB实例应开启错误日志 | 租户开启GaussDB错误日志功能后,可以通过分析GaussDB错误日志来定位错误原因。当前错误日志功能默认开启。 | |
| GaussDB 数据库实例应配置为跨多个可用区(AZ)部署 | 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个实例。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 | |
| GaussDB应开启数据库审计日志功能 | 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 | |
| DDS 文档数据库 | 开启加密通信 | 如果未启用TLS加密连接,那么在MongoDB客户端和服务器之间以明文形式传输数据,容易受到窃听、篡改和“中间人”攻击。 如果您是通过像Internet这样的非安全网络连接到MongoDB服务器,那么启用TLS加密连接就显得非常重要。 |
| 开启备份功能设置合理的备份策略 | DDS实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。 | |
| 禁止使用默认端口 | MongoDB的默认端口是27017,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。 | |
| 补丁升级 | DDS支持补丁升级,版本升级涉及新功能添加、问题修复,同时可以提升安全能力、性能水平。 | |
| 关闭脚本运行功能 | 启用javascriptEnabled选项security.javascriptEnabled,可以在mongodb服务端运行javascript脚本,存在安全风险,禁用javascriptEnabled选项,mapreduce、group命令等将无法使用。 如果您的应用中没有mapreduce等操作的需求,为了安全起见,建议关闭javascriptEnabled选项。 | |
| 设置秒级监控和告警规则 | DDS默认支持对实例进行监控,当监控指标的值超出设置的阈值时就会触发告警,系统会通过SMN自动发送报警通知给云账号联系人,帮助您及时了解DDS实例的运行状况。 | |
| 限制最大连接数 | 如果MongoDB的连接数过高,首先会消耗服务器过多的资源,导致ops(query、insert、update、delete)等反应变慢,同时要根据操作系统环境来设置最大连接数,如果高于操作系统接收的最大线程数,设置无效。通过设置最大连接数,可以避免出现DOS攻击,同时可以用最合理的方式利用系统的资源,达到最佳的OPS响应能力。 | |
| 开启数据库审计日志 | 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 | |
| 开启磁盘加密 | 通过启用磁盘加密,可以提高数据安全性,但对数据库读写性能有少量影响。 | |
| RDS for SQL Server 数据库 | 确保Cloud SQL Server实例的‘cross db ownership chaining’数据库标志设置为'off'(自动执行) | 使用 cross db ownership chaining 选项可以为 Microsoft SQL Server 实例配置跨数据库所有权链。 |
| RDS数据库实例应将日志发布至日志跟踪服务(LTS) | 主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此, 对于需要长期存储的SQLServer日志数据,应在 LTS 中配置日志转储。 | |
| 启用备份功能并配置备份策略 | SQLServer实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时, 可以通过备份文件恢复数据库,从而保证数据可靠性。 | |
| SQLServer配置合理的安全组规则 | 安全组是一个逻辑上的分组,在Cloud SQLServer中,可以保障数据库的安全性和稳定性。 | |
| 确保Cloud SQL Server实例的'user Connections'数据库标志设置为非限制值(自动执行) | user connections使用此选项有助于避免将服务器重载为过多的并发连接。 可以根据系统和用户要求估计连接数。 | |
| 确保Cloud SQL数据库实例未分配公网IP(自动执行) | 节点对公网暴露后,攻击者可通过互联网发起攻击,攻破节点后可能会进一步控制集群。 如非必需,集群节点不建议绑定 EIP,以减少攻击面。在必须绑定 EIP 的情况下,应通过合理配置防 火墙或者安全组规则,限制非必须的端口和 IP 访问。 | |
| RDS集群快照和数据库快照应启用静态加密 | SQLServer中通过启用磁盘加密,可以提高数据安全性,但对数据库读写性能有少量影响。 | |
| RDS实例不应使用数据库引擎默认端口 | 使用默认SQLServer端口容易被监听,存在安全隐患,推荐使用非默认端口。 | |
| RDS 数据库实例应建议默认不开启公共访问 | 数据库开放EIP后,如果公网上的恶意人员获取到您的EIP DNS和数据库端口,那么便可尝试破解您的数据库并进行进一步破坏。因此,强烈建议您保护好EIP、DNS、数据库端口、数据库账号和密码等信息,并通过RDS for SQL Server实例的安全组限定源IP,保障只允许可信源连接数据库。 | |
| 启用透明数据加密 | 在Cloud SQLServer数据库中,对数据文件执行实时 I/O 加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密, 能有效保护数据库及数据文件的安全。当前只有2019和2022标准版以及所有企业版支持此功能。 | |
| 确保数据库实例不绑定公网IP地址 | 数据库开放EIP后,如果公网上的恶意人员获取到您的EIP DNS和数据库端口,那么便可尝试破解您的数据库并进行进一步破坏。因此,强烈建议您保护好EIP DNS、数据库端口、数据库账号和密码等信息,并通过RDS for SQL Server实例的安全组限定源IP,保障只允许可信源连接数据库。 | |
| 确保Cloud SQL Server实例的'contained database authentication'数据库标志未设置'on'(自动执行) | contained database authentication包括定义数据库所需的所有数据库设置和元数据,它与安装数据库的 数据库引擎 实例没有配置依赖关系。 用户可以连接到数据库而无需在 数据库引擎 级别对登录名进行身份验证。 | |
| 数据库实例应启用静态数据加密 | 启用SQLServer云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密,从云硬盘读取数据时自动解密。 | |
| RDS数据库实例应配置多可用区部署 | SQLServer实例部署在不同的可用区,可提高容灾能力。 | |
| 确保Cloud SQL Server实例的'external scripts enabled'数据库标志设置为'off'(自动执行) | 使用 external scripts enabled 选项可启用包含某些远程语言扩展的脚本在服务器执行。 | |
| 确保Cloud SQL数据库实例要求所有入向连接使用SSL | 如果未启用 SSL 加密连接,那么在客户端和服务器之间为明文形式传输数据,容易受到窃听、篡改和"中间人"攻击。 | |
| 确保Cloud SQL Server实例不配置'user options'数据库标志(自动执行) | user options 选项指定所有用户的全局默认值。 将建立一个用户工作会话期间使用的默认查询处理选项的列表。 使用 user options 此选项可以更改选项的 SET 默认值。 | |
| RDS数据库集群应配置多可用区部署 | SQLServer集群/主备节点部署在不同的可用区,可提高集群/主备实例的容灾能力。 | |
| RDS实例开启慢日志 | 查询慢日志用来记录执行时间超过当前慢日志阈值“long_query_time”(默认是1秒)的语句,您可以通过慢查询日志的日志明细,查找出执行效率低的语句,进行优化。您也可以下载慢查询日志进行业务分析。 | |
| TaurusDB 数据库 | TaurusDB实例应开启备份 | 创建TaurusDB数据库实例时,系统默认开启自动备份策略。实例创建成功后,您可根据业务需要设置自动备份策略。TaurusDB按照用户设置的自动备份策略对数据库进行备份。 TaurusDB的备份操作是实例级的,而不是数据库级的。当数据库故障或数据损坏时,可以通过备份恢复数据库,从而保证数据可靠性。由于开启备份会损耗数据库读写性能,建议您选择业务低峰时间段启动自动备份。 设置自动备份策略后,会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时,按照策略中的保留天数进行存放,备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟会自动生成增量备份,用户不需要设置。生成的增量备份可以用来将库表数据恢复到指定时间点。 |
| TaurusDB实例开启慢日志 | 慢日志用来记录执行时间超过当前慢日志阈值“long_query_time”(默认是10秒)的语句,建议设置为1s,锁等待时间不计算在执行时间内。您可以通过查询慢日志的日志明细、统计分析情况,查找出执行效率低的语句,进行优化。 | |
| TaurusDB实例不应绑定弹性公网 | 1、云服务安全特性介绍:TaurusDB实例不应绑定弹性公网IP(EIP,ElasticIP)是一项重要的网络安全最佳实践。TaurusDB作为托管型数据库服务,其设计初衷是部署在私有网络(如VPC)内部,通过内网与其他云资源(如ECS、容器等)安全通信。若为数据库实例绑定弹性公网IP,相当于将其直接暴露在互联网上,极大增加了被外部攻击的风险。云平台通常提供安全组、VPC隔离、私有连接(如Private Link)等机制,确保数据库仅在受控网络中访问,避免公网暴露。 2、应对什么样的风险:该要求主要应对以下安全风险:暴力破解风险:数据库端口(如3306)暴露在公网后,极易成为黑客暴力破解、密码爆破的目标。漏洞利用风险:若数据库存在未修复的漏洞(如CVE漏洞),攻击者可通过公网直接发起攻击,导致数据泄露或服务被控。数据泄露风险:公网暴露的数据库可能被扫描工具发现(如Shodan、Censys),一旦认证机制薄弱,可能导致敏感数据大规模泄露。DDoS攻击风险:公网IP可能成为分布式拒绝服务(DDoS)攻击的目标,导致服务不可用。合规风险:等保2.0、GDPR、金融行业规范等均要求核心数据资产不得直接暴露于公网,否则无法通过合规审计。 3、如果不满足,有什么影响:数据库面临持续的网络扫描和攻击尝试,安全事件发生概率显著上升。一旦被攻破,可能导致数据被窃取、篡改或勒索加密(如勒索软件)。企业面临声誉损失、客户信任下降,甚至法律追责和监管处罚。增加安全运维压力,需投入更多资源进行入侵检测、日志审计和应急响应。可能触发云平台的安全告警或自动阻断机制,影响业务正常运行。 4、如果开启后对业务有负面影响,也请说明:绑定EIP虽然便于远程访问和调试,但应通过更安全的方式替代,而非直接暴露数据库。若因业务需要“开启”公网访问(如临时运维),应注意:短期影响:开发或运维人员可能认为“绑定EIP更方便连接数据库”,但实际上可通过跳板机(堡垒机)、VPN、云专线或数据库代理等方式安全访问,无需直接暴露。误操作风险:一旦绑定EIP且安全组配置不当,可能长期未被发现,形成“影子资产”,成为安全隐患。替代方案成熟:主流云平台均提供安全的远程访问方案,如华为云的“数据库安全访问服务”或“DAS(数据库自治服务)”支持通过Web客户端安全连接内网数据库,无需公网IP。 建议:严禁为TaurusDB实例绑定弹性公网IP。所有数据库访问应通过VPC内网进行,应用服务器与数据库同属一个VPC或通过VPC对等连接互通。运维访问应通过堡垒机、SSH隧道或云平台提供的安全Web客户端实现。配合安全组策略,限制仅允许特定IP或安全组访问数据库端口。通过以上措施,在保障安全性的同时,兼顾运维便利性,实现安全与效率的平衡。 | |
| TaurusDB实例开启审计日志 | 数据库审计日志是数据库安全管理和运维的重要工具,它能够提供全面的安全监控、满足合规性要求、辅助故障诊断、支持业务分析,并帮助实现有效的风险管控,虽然会带来一定的性能和存储成本,但对保障数据库安全和合规运营具有不可替代的价值。 | |
| GeminiDB 数据库 | GeminiDB实例开启错误日志 | GeminiDB实例的日志管理功能支持查看数据库级别的错误日志,包括数据库运行的Warning和Error级别的信息,有助于您分析系统中存在的问题。 |
| GeminiDB实例开启备份 | GeminiDB支持数据库实例的备份,以保证数据可靠性。实例删除后,手动备份数据保留。自动备份的数据和实例一起释放,备份的数据不支持下载导出。强烈建议您配置合适的自动备份策略,防止客户误操作或者服务异常的情况下,因没有开启备份而造成数据丢失的情况。 | |
| 不应使用GeminiDB开源Cassandra、Influx引擎的默认端口 | 使用默认端口容易被监听,存在安全隐患,推荐您使用非默认端口。Redis的默认端口号是6379;Cassandra的默认端口号是7199;Influx的默认端口号是8086;Mongo的默认端口号是27017。其中Cassandra、Influx默认不能为社区默认端口,Redis需要为默认端口。 | |
| GeminiDB实例支持多可用区 | 可用区指在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。目前支持将实例部署在单可用区或3可用区。业务有跨可用区容灾需求或业务对跨可用区延时不敏感,推荐使用多可用区,主节点和只读节点可以跨可用区部署,以获得更高的可用性和可靠性。 | |
| GeminiDB实例开启慢查询日志 | GeminiDB实例的日志管理功能支持查看数据库级别的慢日志,执行时间的单位为ms。通过该日志,可查找出执行效率低的语句,以便优化。 | |
| 数据复制服务 DRS | DRS实时迁移任务不使用公网网络 | 实时迁移是指在数据复制服务能够同时连通源数据库和目标数据库的情况下,只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程,再通过多项指标和数据的对比分析,帮助确定合适的业务割接时机,实现最小化业务中断的数据库迁移。详见迁移方案概览。尽量不使用EIP网络,采用VPN等安全网络进行数据传输,通过防火墙、安全组、ACL规则等网络配置,减少攻击面,提升数据同步网络的安全性。详见安全最佳实践。 |
| DRS实时灾备任务不使用公网网络 | DRS服务启用灾备任务时尽量不使用公网网络,采用VPN等安全网络进行数据传输,通过防火墙、安全组、ACL规则等网络配置,减少攻击面,提升数据同步网络的安全性。详见安全最佳实践。 | |
| DRS实时同步任务不使用公网网络 | 数据复制服务的实时同步任务旨在通过同步技术,在不同的系统之间将数据从一个数据源实时拷贝到其他数据库,并确保数据的一致性,实现关键业务数据的实时流动。为了保障数据同步的安全性和效率,实时同步任务不应使用公网网络。公网网络可能存在延迟、带宽限制和安全隐患,这会影响数据同步的性能和可靠性。通过使用私有网络或专用连接来进行数据同步,可以有效减少网络不稳定因素对数据传输的影响,并加强数据安全性,防止敏感信息在公网传输过程中遭遇潜在威胁。尽量不使用EIP网络,采用VPN等安全网络进行数据传输,通过防火墙、安全组、ACL规则等网络配置,减少攻击面,提升数据同步网络的安全性。详见安全最佳实践。 | |
| 文档数据库服务 DDS | DDS数据库绑定EIP检查 | 当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查DDS数据库中的配置,是否开通公网连接方式。 |
华为云安全配置基线3.0—存储
| 检查子项目 | 检查项目 | |
|---|---|---|
| 对象存储服务 OBS | 使用OBS的服务端加密存储对象 | 启用OBS桶的服务端加密后,用户在上传对象时,数据会在服务端加密成密文后存储。 |
| 合规场景开启WORM功能 | OBS提供了合规模式的WORM(Write Once Read Many)功能,即一次写入多次读取,可以确保指定时间内不能覆盖或删除指定对象版本的数据。 | |
| 在需要在线预览OBS对象的场景使用自定义域名 | 基于安全合规要求,华为云对象存储服务 OBS禁止通过OBS的默认域名在线预览桶内对象,即使用上述域名从浏览器访问桶内对象(如视频、图片、网页等)时,不会显示对象内容,而是以附件形式下载;在用户需要在线预览OBS对象的场景,建议使用自定义域名实现。 | |
| 禁用匿名访问 | OBS桶对于匿名用户禁用对外公开访问的权限,可以防止桶中数据被开放给所有人,保护私有数据不泄露(静态网站等需要对外开放的场景例外)。 | |
| 使用OBS的数据临时分享功能来快速分享指定数据 | 当需要将存放在OBS中对象(文件或文件夹)分享给其他用户时,可以使用OBS的数据临时分享功能,分享的URL可指定有效期,过期自动失效。 | |
| 使用双端固定对OBS的资源进行权限控制 | 设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,实现访问控制的双向限定。 | |
| 启用多版本控制功能 | 利用OBS多版本控制功能,可以在一个桶中保留一个对象的多个版本,提升数据异常场景快速恢复能力。 | |
| 启用防盗链功能 | 建议启动OBS提供的防盗链能力,可以防止用户在OBS的数据被其他人盗链。 | |
| 使用桶策略限制对OBS桶的访问必须使用HTTPS协议 | 通过桶策略中的SecureTransport条件限制必须使用HTTPS协议对该桶进行操作,可确保数据上传下载的传输安全。 | |
| 避免在私有桶创建公开对象 | 避免在OBS桶中对匿名用户提供对象的公共读权限,可以防止对象被对外开放给所有人员,防止对象数据泄露。 | |
| 启用跨区域复制功能 | 启用跨区域复制功能,可为用户提供的跨区域数据容灾能力。 | |
| 确保禁用ACL,并使用OBS存储桶策略实现更精细的访问控制 | OBS提供多种权限控制方式,包括IAM权限、桶策略、对象ACL、桶ACL。访问控制列表(Access Control List,ACL)用于资源拥有者给其他账号授予资源的访问权限。OBS ACL是基于账号级别的读写权限控制,且主要用于授予基本的读/写权限,权限控制细粒度不如桶策略和IAM权限。一般情况下,建议使用IAM权限和桶策略进行访问控制。否则会泄露权限配置规则及相应的domain id,domain name。在特定的权限配置场景下,攻击者可能会根据泄露的权限配置规则,构造请求非法操作桶内资源。 | |
| 配置监控OBS桶策略变更的事件监控告警 | CES配置监控OBS桶策略变更的事件监控告警,旨在帮助用户实时监控和响应对云存储资源的安全操作,特别是针对OBS桶策略变更的事件。通过事件监控功能,用户能够收集和上报业务中的关键事件及对云资源的操作记录,一旦发现OBS桶策略发生变更,系统会立即触发告警并通知用户,帮助用户及时进行干预,确保数据存储的安全性和合规性。该服务主要应对对象存储桶策略的误配置或恶意修改,可能导致数据泄露、权限滥用或资源滥用等风险。因此,应确保CES配置监控OBS桶策略变更的事件监控告警。 | |
| 通用存储桶应禁止公共写访问 | 通过桶策略,桶的拥有者可以向IAM用户或其他账户授予对桶及其对象的操作权限。访问控制列表(ACL)是一个规则列表,用于指定授予或拒绝哪些用户或系统对特定存储桶或对象的访问权限。 | |
| OBS生命周期规则,数据自动清理 | OBS支持设置桶的生命周期规则,自动转换对象的存储类别,删除过期的对象,从而有效地利用存储特性,优化存储空间。可以根据前缀设置多条生命周期规则。 | |
| 通用存储桶应禁止公共读访问 | 通过桶策略,桶的拥有者可以向IAM用户或其他账户授予对桶及其对象的操作权限。访问控制列表(ACL)是一个规则列表,用于指定授予或拒绝哪些用户或系统对特定存储桶或对象的访问权限。 | |
| 弹性文件服务 SFS | 确保SFS Turbo文件系统是加密的 | SFS Turbo文件系统加密保护您的静态数据。SFS Turbo文件系统加密特性在数据从您的应用写入到SFS Turbo文件系统时自动加密,从SFS Turbo文件系统读取数据时自动解密。 |
| 确保SFS Turbo文件系统最近一次备份距离现在不超过指定时间 | 云备份(CBR)可以为SFS Turbo文件系统提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。 当备份的时间间隔过大时,数据丢失风险增加:如果在两次备份之间发生了数据损坏或丢失的情况,那么从最近一次备份恢复时,会丢失这段时间内的所有更改和新增数据。这可能对业务造成严重影响。 | |
| 确保SFS Turbo文件系统在备份存储库中 | 云备份(CBR)可以为SFS Turbo文件系统提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。 | |
| 云硬盘 EVS | 确保云硬盘是加密的 | 云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密,从云硬盘读取数据时自动解密。 |
| 云备份 CBR | 开启跨区域复制备份功能 | 开启跨区域复制功能,更安全可靠。 |
| 开启强制备份 | 开启强制备份,最大限度保障用户数据的安全性和正确性,确保业务安全。 | |
| 备份数据删除建议开启二次确认 | 为防止备份数据误删,建议开启二次确认机制。 | |
| 承载备份数据的云硬盘选择加密盘 | CBR备份磁盘可选为加密磁盘,成为加密备份。此特性无法手动加密和取消加密备份。 | |
| 确保开启存储库中的备份策略 | 需要对备份对象执行自动备份操作时,可以设置备份策略。通过在策略中设置备份任务执行的时间、周期以及备份数据的保留规则,将备份存储库绑定备份策略,可以为存储库执行自动备份。备份策略需要绑定存储库才可以生效,若存储库未执行备份,确保绑定的备份策略状态为开启,防范数据丢失风险(如误删除、硬件故障)和业务中断风险,确保关键数据可恢复,满足合规性要求(如等保2.0)。若未开启备份策略,可能导致备份缺失,数据损坏或丢失后无法恢复,业务连续性受损,且可能违反数据保护法规。开启备份策略后: 1、存储成本增加:频繁备份可能占用更多存储空间,需合理规划保留周期。 2、资源占用:备份任务可能轻微影响I/O性能,但对业务运行无显著影响。 | |
| 建议开启CBR存储库备份锁定功能 | 备份锁定功能是指将备份数据置为WORM(一次写入,多次读取)状态。开启该功能后,存储库中的所有备份都将进入WORM状态。处于WORM状态的备份数据,任何用户都不能提前删除。主要防范勒索软件攻击、内部误操作或恶意删除,确保备份数据在关键恢复点(如被加密前)始终可用。备份数据可能被篡改或删除,导致灾难恢复失败,业务连续性受损,且无法满足数据保护合规要求。开启备份锁定后,会有如下影响: 1、该功能无法关闭,请谨慎操作。开启后如果存储库容量已满,由于无法提前删除备份,可能会导致资源备份失败。 2、绑定的资源无法解绑和迁移资源。 3、策略生成的备份只支持过期自动删除,不支持手动删除。 4、如果有备份副本,对于按需购买的存储库不允许删除,对于包周期购买的存储库支持退订。 5、修改存储库绑定的策略时,只能选择当前保留类型或修改为按照时间的保留类型。如策略的保留规则为按数量保留时,则保留数量不允许减少。 6、新创建的开启备份锁定的存储库,仅支持绑定保留规则为按时间保留的备份策略。 7、开启备份锁定后,存储库仅支持重新绑定保留规则为按时间保留的备份或复制策略。 | |
| 确保ECS资源开启备份功能 | ECS实例没有关联备份存储库,视为“不合规”。云备份(CBR)可以为云服务器、云硬盘提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。详见云备份概述。相比数据丢失后的恢复,备份的成本更低。 | |
| 建议CBR存储库备份库有足够长的备份保留周期 | 确保备份保留时间足够长。防止需要使用备份进行业务恢复时,备份被过早清理,满足数据可恢复性和合规性要求。主要防范因备份保留周期过短导致数据无法恢复的风险,例如误删、恶意删除或自动化策略误清理关键备份,影响业务连续性。CBR备份保留日期过短可能导致备份被提前删除,灾难恢复时无可用备份,业务中断风险增加,且可能违反数据保留法规(如金融、医疗行业)。潜在影响: 1、存储成本增加:长期保留备份会占用更多存储空间,需平衡成本与安全性。 2、管理复杂度:需定期检查保留策略,避免因保留过多备份导致存储库容量不足。 | |
| 确保ECS云服务区在指定周期内创建备份 | ECS实例最近一次备份创建时间超过参数要求,视为“不合规”。 云备份(CBR)可以为云服务器、云硬盘提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。详见云备份概述。当备份的时间间隔过大时,数据丢失风险增加:如果在两次备份之间发生了数据损坏或丢失的情况,那么从最近一次备份恢复时,会丢失这段时间内的所有更改和新增数据,这可能对业务造成严重影响。 | |
| 建议CBR存储库开启多AZ备份 | CBR支持创建多AZ存储库,将备份数据存储到同区域的多个AZ。当某个AZ不可用时,仍然能够从其他AZ正常访问数据,适用于对可靠性要求较高的场景。主要防范单AZ故障(如硬件损坏、电力中断等)导致备份数据不可用,确保业务连续性,满足金融、医疗等行业的高可用性要求。若仅单AZ存储,一旦该AZ故障,可能导致备份数据无法访问,影响灾难恢复能力,增加业务中断风险。 潜在影响: 1、存储成本略增:多AZ存储会占用额外空间,但相比数据丢失风险可接受; 2、备份/恢复延迟:跨AZ同步可能轻微增加备份时间,但对业务影响有限。 约束限制: a、暂不支持更换已创建存储库的备份数据冗余策略。 b、暂不支持将已创建的备份副本迁移至多AZ备份存储库中。 c、复制存储库暂不支持多AZ备份冗余策略。 d、启用后不支持修改 | |
| 建议CBR备份策略执行频率不低于最小频率 | 华为云CBR支持配置最小备份频率策略,通过策略引擎强制要求备份周期(如每天/每周),确保关键数据定期保护,避免备份遗漏。 应对风险:防范因备份间隔过长导致的数据丢失风险(如系统故障时丢失过多增量数据),满足RPO(恢复点目标)要求,确保业务数据可回溯。 若不满足:可能导致备份间隔超出安全阈值,故障时丢失大量未备份数据,延长恢复时间,违反行业合规性要求(如等保)。 潜在影响: 1、资源消耗:高频备份增加存储和计算负载; 2、性能波动:备份时可能短暂影响业务I/O性能。 | |
华为云安全配置基线3.0—企业智能
| 检查子项目 | 检查项目 | |
|---|---|---|
| 云数据仓库 DWS | 开启集群数据加密功能 | DWS可以为集群启用数据库加密,以保护静态数据,避免拖库等安全问题。 |
| 开启DWS管理控制台审计日志 | GaussDB(DWS)通过云审计服务(Cloud Trace Service,CTS)记录GaussDB(DWS)管理控制台的关键操作事件,比如创建集群、创建快照、扩容集群、重启集群等。 记录的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。开启后方便进行控制台操作审计及问题定位。 | |
| 开启DWS三权分立模式 | 默认情况下,创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员,能够创建其他用户和查看数据库的审计日志,即权限不分立,三权分立模式为关闭。 为了保护集群数据的安全,GaussDB(DWS)支持对集群设置三权分立,使用不同类型的用户分别控制不同权限的模式。 | |
| 开启SSL加密传输功能 | SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输,建议配置开启。 | |
| 确保通过安全组和VPC限制公网访问 | 华为云DWS服务支持安全组和虚拟私有云(VPC)的配置,通过安全组规则可以控制DWS实例的入站和出站流量,而VPC则提供了一个隔离的虚拟网络环境,确保DWS实例只能在特定的网络范围内被访问。这种配置能够有效限制公网访问,防止未经授权的访问。 DWS服务通常处理大量敏感数据,如果公网访问没有被适当限制,攻击者可能利用漏洞或弱密码等手段入侵DWS实例,导致数据泄露、数据篡改或数据删除等安全事件。此外,未授权的访问还可能导致服务被滥用,影响业务的正常运行。 如果不通过安全组和VPC限制公网访问,DWS实例将暴露在互联网上,面临更高的安全风险。 | |
| 确保开启DWS数据库审计日志 | DWS(数据仓库服务)支持数据库审计日志功能,可以记录用户对数据库的访问行为、SQL操作、权限变更等关键事件。通过开启审计日志功能,可以有效追踪和分析数据库的操作历史,及时发现和应对潜在的安全威胁。该规则旨在应对以下风险:未开启审计日志功能可能会导致无法追踪和监控数据库的操作行为。攻击者可能利用未审计的环境进行未授权的访问或恶意操作,进而窃取敏感数据或破坏数据库的完整性。此外,内部人员的误操作或恶意行为也可能导致数据泄露或损坏,而无法追溯。如未开启审计日志功能,可能会导致以下影响:无法追踪和分析数据库的操作行为,增加数据泄露和篡改的风险。此外,无法及时发现和应对潜在的安全威胁,影响数据库的稳定性和数据的完整性。审计日志的生成和存储可能会占用额外的存储空间,增加存储成本。 | |
| 确保已开启DWS数据库审计日志转储 | DWS(数据仓库服务)具备审计日志转储功能,该功能能够记录用户对数据库的所有操作行为,包括查询、修改、删除等,并将这些日志转储到指定的存储系统(如OBS对象存储服务)。 通过审计日志转储,可以有效应对未经授权的数据库访问、潜在的安全威胁以及内部人员的不当操作风险。 如果不开启审计日志转储,将无法及时发现和追踪数据库的异常操作,可能导致数据泄露、篡改或删除等安全事件,影响业务的合规性和数据的完整性。 在开启审计日志转储后,可能会对存储资源和网络带宽产生一定影响,因此建议根据实际需求合理配置日志转储策略。 | |
| 确保DWS集群启用自动快照 | 华为云DWS服务支持自动快照功能,能够定期自动创建集群的数据备份。这些快照可以用于在集群发生故障或数据损坏时,快速恢复数据,确保业务的连续性。通过启用自动快照,用户可以有效保护数据,防止数据丢失。 如果DWS集群没有启用自动快照,则DWS集群将无法自动创建数据备份。一旦发生硬件故障、人为错误或恶意攻击导致数据丢失,将无法快速恢复数据,导致业务中断和数据损失。此外,缺乏定期备份还可能导致数据无法恢复到最近的稳定状态,增加数据丢失的风险。 虽然自动快照提供了数据保护,但频繁的快照创建可能会占用更多的存储空间,增加存储成本。 | |
| AI 开发平台 ModelArts | 使用IP白名单的方式接入notebook | Notebook实例支持通过SSH方式直接连接,通过keypair方式进行认证。除此之外,对于安全性要求更强的用户,建议配置IP白名单的方式,进一步限制能接入该实例的终端节点。 |
| 对不同的子用户,使用独立的委托 | 要使用ModelArts的资源,需要得到用户的委托授权。 为了控制各子用户之间权限,建议租户在ModelArts全局配置功能中给各子用户分配委托权限时,分开授权,不要多个子用户共用一个委托凭证。 | |
| 使用专属资源池 | 在使用训练、推理、开发环境时,建议生产环境下使用专属资源池,它在提供独享的计算资源情况下,还可以提供更强更安全的资源隔离能力。 | |
| 自定义镜像使用非root用户运行 | 自定义镜像支持自行开发Dockerfile,并推送到SWR。 出于权限控制范围的考虑,建议用户在自定义镜像时,显式定义默认运行的用户为root用户,以降低容器运行时的安全风险。 | |
| 开启“严格模式” | 使用ModelArts的资源时,需要对不同的子用户分配不同的委托授权,达到最小化授权。 | |
| MapReduce 服务 MRS | 集群EIP安全组管控 | MRS集群支持绑定EIP,绑定EIP后,并开通安全组后,可以使用EIP访问MRS集群Manager管理界面,也可以使用SSH登录到MRS集群节点。因此,需要做好安全组管控,不要将不可信的IP加入到安全组的规则中,允许其访问。此外,需要放通的IP,也要控制端口范围,按需放开,不建议直接放开所有端口。 |
| 管控数分设 | MRS集群的常用部署模板“管控合设”、“管控分设”、“数据分设”,为了数据节点和管控节点的隔离,建议使用“管控分设”、“数据分设”方式。 | |
| 开启Kerberos认证 | MRS集群组件使用Kerberos认证。 Kerberos认证开启时,用户需要通过认证后才可以访问组件对应资源,若不开启Kerberos认证,访问组件将不需要认证和鉴权,会给集群带来风险。 | |
| 确保MRS集群节点未绑定公网IP | 弹性公网IP(Elastic IP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。为MRS集群绑定弹性公网IP后,集群直接暴露在公网上,因此如非必需,MRS集群不建议绑定弹性公网IP,以减少攻击面降低敏感数据泄露风险。 | |
| 应用与数据集成平台 ROMA | ROMA建立网络分段边界,通过网络控制措施 | 租户资源隔离,租户使用自建VPC保证不同实例间网络隔离。 |
| 确保ROMA APIC使用安全协议版本 | 用户开放API,数据传输通道支持安全加密协议,保障数据安全传输,避免数据泄露。 | |
| ROMA API授权使用安全鉴权方式 | 用户开放API,需要保证API权限安全,保证鉴权通过才能访问API。如果配置为“无认证”,允许所有用户调用,不符合安全要求。 | |
| 非面向客户的API必须限制可访问IP地址范围 | 开放API需要配置访问控制策略,保证API在可控访问内为可见状态。保障API安全。 | |
| 函数工作流 FunctionGraph | FunctionGraph函数应该打标签进行分类 | 在VPC内部署资源能够提供更高的安全性和对网络配置的控制。 |
| FunctionGraph数据加密存储 | 用户环境变量通常包含有敏感信息,为防止敏感信息泄露,应该使用加密环境变量存储。 | |
| 启用FunctionGraph函数日志功能 | 开启函数日志功能后,用户函数每次调用执行日志都会保存在LTS,方便用户定位问题和记录函数执行过程。 | |
| FunctionGraph函数需要部署在VPC内 | 使用标签可以按目的,环境或某个标准对函数进行分类进行管理,并且可以在IAM授权策略中针对标签进行权限控制。 | |
| 确保FunctionGraph函数不能访问公网 | 函数工作流的函数开启“函数访问公网”的开关,视为“不合规”。函数创建成功后,默认具有公网访问权限,即函数可直接访问公网上的服务,存在数据泄露的风险。 | |
| 云桌面 Workspace | Workspace资源应开启备份存储库 | 云桌面支持备份存储库功能,当发生病毒入侵、人为误删除、软硬件故障等事件时,可通过CBR的备份服务将云桌面的数据恢复至任意备份点。备份恢复过程中,CBR会保障用户数据的安全性和正确性,确保业务安全。 |
| Workspace应设置合理的备份周期 | 云桌面使用云备份服务中的“云桌面备份”功能进行桌面备份。保障用户数据的安全性和正确性,确保业务安全。当备份的时间间隔过大时,数据丢失风险增加:如果在两次备份之间发生了数据损坏或丢失的情况,那么从最近一次备份恢复时,会丢失这段时间内的所有更改和新增数据。这可能对业务造成严重影响。 | |
| 云搜索服务 CSS | CSS集群开启慢日志 | Elasticsearch和OpenSearch集群备份的日志文件主要包括废弃操作日志、运行日志、慢索引日志、慢查询日志,用户可以使用日志定位问题。CSS集群默认记录慢日志,建议保持开启,并将其转储在OBS桶中进行备份。 |
| CSS集群至少包含3个数据节点 | 为防止数据丢失,并确保在服务中断情况下能降低集群的停机时间,从而增强集群的高可用性,请确保CSS集群的实例个数大于2个。部署至少3个实例,可以确保当一个节点发生故障时,集群能够正常运行。 | |
| CSS集群应关闭公网访问和Kibana公网访问能力 | 避免将CSS集群部署在公网或者DMZ里,应该部署在公司内部网络,并使用路由器或者防火墙技术把集群保护起来,避免通过直接绑定弹性公网IP(简称EIP)的方式从互联网访问集群,防止未授权的访问及DDoS攻击等。为避免公网暴露风险,建议关闭集群的公网访问,如果业务必须通过公网访问,请配置独享型负载均衡访问CSS集群,并严格配置独享型负载均衡器的安全组规则限制。 | |
| CSS集群应启用快照 | 为避免数据丢失,您可以将集群的索引数据进行备份,当数据发生丢失或者想找回某一时间段数据时,您可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时,建议将所有索引数据进行备份。CSS服务的快照备份功能提供数据保护和恢复能力。通过快照备份,可以将集群的数据状态保存到OBS桶中,以便在需要时进行恢复。CSS集群快照分为两种方式:自动创建快照和手动创建快照。影响:当使用快照备份功能时,备份的快照存储在OBS桶中需要额外收费。集群快照会导致CPU、磁盘IO上升等影响,建议在业务低峰期进行操作。 | |
| CSS集群应启用HTTPS | CSS集群的安全模式下可以选择使用HTTP协议或者HTTPS协议。安全模式+HTTP协议的集群采用HTTP协议明文传输数据,优点是安全认证提升了集群安全性。通过HTTP协议访问集群又能保留集群的高性能。支持用户权限隔离。缺点是不支持启用公网访问。适合对安全性有一定要求,但对性能要求较高的场景。安全模式+HTTPS协议的集群采用HTTPS协议进行通信加密,使数据更安全。优点是安全认证提升了集群安全性。HTTPS协议提升了集群公网访问的安全性。支持用户权限隔离。缺点是与HTTP协议相比,通过HTTPS协议访问集群会因加密和解密操作导致集群的读写性能有所下降。适合对安全性和数据传输加密要求较高、且需要公网访问的场景。在对性能要求不高、且需要公网访问的场景,建议使用安全模式+HTTPS模式协议。 | |
| 确保CSS集群多AZ部署 | 可用区(Availability Zone,AZ)指在同一区域(Region)下,电力、网络隔离的物理区域。同一地域内的可用区之间通过内网互通,但彼此在物理层面保持隔离,以降低单点故障风险。 多可用区部署是CSS服务提供的高可用性解决方案。通过在同一个地域内选择2个或3个不同的可用区部署集群,可有效防止数据丢失并降低服务中断风险。 为防止数据丢失,并确保在服务中断情况下能降低集群的停机时间,从而增强集群的高可用性,CSS服务支持跨可用区(即多可用区)部署。创建集群时,如果选择多可用区部署,CSS服务会自动启用跨AZ高可用特性,确保节点在所选可用区中均匀分布(各AZ的节点数量差异不超过1)。 多可用区部署时,建议优先选择3个可用区,而非2个可用区。当仅选择2个可用区时,如果其中一个可用区发生故障,可能导致无法选举Master节点,从而引发集群不可用风险。 影响:在创建集群时,选择的任意类型的节点数需大于或等于所选AZ数,否则跨可用区部署会失败。当集群中数据节点数或冷数据节点数和可用区数不是整数倍关系时,集群的数据分布可能会不均匀,从而影响数据查询或写入业务。 | |
华为云安全配置基线3.0—应用中间件
| 检查项目 | 检查内容 | |
|---|---|---|
| API网关 APIG | API配置SSL证书用于后端双向认证 | 用户开放API,需要保证API网关和后端服务在通信过程中互相验证对方的身份,防止未授权访问和中间人攻击。 |
| API配置链路追踪 | API开启链路追踪,通过接入APM,提供完整的调用链及业务拓扑。 | |
| 确保APIG专享版实例不对公网开放 | 建议您不要直接为APIG实例绑定EIP,通过直接EIP的访问会导致后端服务暴露在公网的威胁之中。如您的业务场景需要绑定EIP开放公网访问,请参考“使用WAF对APIG进行安全防护”开通WAF并启用对APIG的安全防护。 | |
| API授权使用安全认证方式 | 用户开放API,需要保证API权限安全,认证通过才能访问API。如果配置为“无认证”,允许所有用户调用,不符合安全要求。 | |
| API网关配置WAF进行安全保护 | 为了保护APIG及后端服务器免受恶意攻击,可在APIG和外部网络之间部署WAF。此项能力为WAF提供,需要订购WAF服务。 | |
| 确保APIG专享版实例配置访问日志 | APIG提供了API的可视化分析和统计能力,支持查看API的调用日志。可以带来如下好处: 异常检测:通过审计日志,识别异常访问行为,如频繁失败请求、异常IP等,及时发现潜在攻击; 问题定位:通过日志快速定位API调用失败的原因,如参数错误、服务不可用等; 用户行为分析:分析API调用模式,了解用户行为,支持产品优化; 资源使用监控:监控API调用频率和资源消耗,防止资源浪费。 | |
| 分布式缓存服务 Redis版 | 应配置DCS Redis实例不存在弹性公网IP | DCSRedis实例禁止绑定弹性公网IP,主要利用VPC网络的内生安全隔离特性,强制实例仅通过私有网络通信,从网络层彻底规避公网暴露风险。此配置直接应对互联网侧的高危攻击风险,若Redis实例绑定EIP,将直接暴露于公网扫描与暴力破解,或遭遇DDoS攻击导致服务不可用。若不满足此要求,一旦攻击者通过公网入侵实例,可能窃取敏感数据、植入恶意程序或清空数据库,引发数据泄露与服务瘫痪。禁用EIP对业务负面影响,需确保客户端均通过同VPC或VPN/专线等安全通道访问,公网用户需经前端代理中转,可能增加架构复杂度。 |
| 应配置RDS Redis实例端口检查 | DCSRedis实例配置端口检查,主要通过修改默认端口规避自动化扫描攻击,大幅降低实例被恶意探测发现的概率。若使用默认端口,攻击者可快速定位Redis实例并发起未授权访问、暴力破解或漏洞利用。若不满足此要求,一旦实例暴露于风险网络,将导致数据被窃取、服务遭瘫痪。修改默认端口对业务负面影响,仅需客户端同步更新连接端口配置。 | |
| 分布式消息服务 RabbitMQ版 | 应关闭DMS RabbitMq实例公网访问 | 应关闭DMS RabbitMq实例公网访问,这是云服务基础网络隔离安全特性,通过禁止公网暴露强制仅允许内网/VPC访问,应对外部恶意扫描、未授权访问及数据窃取风险。若实例暴露在公网上,实例面临直接攻击导致数据泄露或服务中断,且违反等保、GDPR等合规要求;开启后负面影响为依赖公网的业务若不经修改,将无法访问到该实例。 |
| 分布式消息服务 RocketMQ版 | 应关闭DMS RocketMQ实例公网访问 | 应关闭DMS RocketMQ实例公网访问,这是云服务的关键网络隔离安全特性,通过禁止从互联网直接访问实例,强制仅允许VPC内网或白名单IP接入,从而应对外部恶意扫描、未授权访问及暴力破解风险。若不满足此配置,实例暴露于公网可能导致数据被窃取、服务遭攻击入侵,同时违反等保2.0或GDPR等合规要求;关闭公网访问后,主要负面影响是依赖公网调用的外部系统将无法直连。 |
| 分布式消息服务 Kafka版 | 应关闭DMS Kafka队列公网访问 | 应关闭DMSKafka队列公网访问,旨在通过限制服务仅可通过内网私有网络访问,而非暴露在公共互联网上,从而构建隔离边界并减少攻击面,有效应对未经授权的外部访问、数据窃取和恶意攻击风险。如果不满足此配置,服务暴露在公网下可能导致敏感数据泄露;然而,开启后对业务可能造成负面影响,如影响依赖公网API调用的外部集成系统,需额外设置VPN、专线或代理网关来维持连接,增加架构复杂性和延迟。 |
华为云安全配置基线3.0—开发与运维
| 检查项目 | 检查内容 | |
|---|---|---|
| 云应用引擎 CAE | CAE创建环境时按需选择不同VPC进行网络隔离 | 建议客户通过业务划分环境,建立网络边界。 |
| 建议敏感数据托管到DEW,CAE通过DEW获取使用,确保敏感数据不泄露 | 建议密码等通过dew配置,防止敏感信息泄露。 | |
| CAE日志信息应发送至LTS | CAE提供了日志采集的功能,当前只支持日志采集到LTS,可以配置日志采集路径,高级设置可配置单行日志或者多行合并为一行,默认为单行日志。 | |
| 升级CAE组件镜像版本防止使用过低的镜像版本 | 客户如果使用旧版本可能会涉及开源镜像的漏洞。 | |
| 建议CAE应用组件七层访问使用HTTPS协议,确保数据传输过程中不被窃取和破坏 | 建议客户配置HTTPS的访问方式。 | |
华为云安全配置基线3.0—CDN与智能边缘
| 检查项目 | 检查内容 | |
|---|---|---|
| CDN与智能边缘 | 应确保CDN回源方式使用HTTPS | 如果CDN节点没有缓存该资源,就会回源请求资源并缓存到CDN节点。回源协议也应当设置为HTTPS以确保数据传输的安全。 |
| 应确保配置安全的TLS版本 | 传输层安全性协议(TLS:Transport Layer Security),是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,最典型的应用就是HTTPS。目前,有四个版本的TLS协议:TLS1.0/1.1/1.2/1.3,版本越高,安全性相对更高,但是对老版本的浏览器兼容性相对较差。 | |
GDPR-第三方披露
| 检查项目 | 检查内容 |
|---|---|
| 您作为数据控制者,在将数据披露、公开给第三方之前是否告知数据主体并获取数据主体同意。 | 您作为数据控制者,在将数据披露、公开给第三方之前是否告知数据主体并获取数据主体同意。 检查所有向第三方披露、公开个人数据的场景,数据披露、公开之前是否告知数据主体并获取数据主体同意。 |
| 当您作为数据控制者委托第三方处理个人数据时,是否与第三方签署了合同协议(数据处理协议DPA),明确第三方作为数据处理者的责任和义务。 | 当您作为数据控制者委托第三方处理个人数据时,是否与第三方签署了合同协议(数据处理协议DPA),明确第三方作为数据处理者的责任和义务。 检查是否通过合同协议在以下方面明确作为数据处理者的责任与义务:
|
| 您作为数据控制者或数据处理者,向第三方披露个人信息时,是否通过合同协议约束第三方或联合控制者的角色责任和数据保护措施,并在披露个人信息的第三方发生变更时及时做出响应。 | 您作为数据控制者或数据处理者,向第三方披露个人信息时,是否通过合同协议约束第三方或联合控制者的角色责任和数据保护措施,并在披露个人信息的第三方发生变更时及时做出响应。
|
| 若您在数据处理活动中承担数据处理者角色,是否建立机制,在第三方请求贵公司披露个人信息时通知数据控制者。 | 在数据处理活动中承担数据处理者角色,在第三方请求披露个人信息时是否通知数据控制者。 |
| 对于将个人数据披露/公开给第三方的场景,您作为数据控制者是否提供将更正、清除个人数据或限制处理的信息告知第三方的机制。 | 对于将个人数据披露/公开给第三方的场景,您作为数据控制者是否提供将更正、清除个人数据或限制处理的信息告知第三方的机制。
|
GDPR-数据跨境转移
| 检查项目 | 检查内容 |
|---|---|
| 您的业务涉及数据跨境时,是否有完整的流程和制度来确保数据跨境满足GDPR要求。 | 检查是否通过制度规范数据跨境流程,并安排相关人员审核相关文档,监督流程实施。 |
| 当您的业务涉及数据跨境时,您是否考虑对个人数据进行过滤或匿名化处理,确保不能以任何方式还原个人数据,再按照非个人数据跨境传输。 | 当您的业务涉及数据跨境时,您是否考虑对个人数据进行过滤或匿名化处理,确保不能以任何方式还原个人数据,再按照非个人数据跨境传输。
|
| 当您的业务涉及个人数据跨境时,您是否满足数据传入方所在国家列属于欧盟委员会在其网站上公布的充分性决议清单中的要求。 | 当您的业务涉及个人数据跨境时,您是否满足数据传入方所在国家列属于欧盟委员会在其网站上公布的充分性决议清单中的要求。
|
| 当您的业务涉及个人数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,您是否提供适当的保障措施并为数据主体提供可执行的权利与有效的法律救济措施。 | 当您的业务涉及个人数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,您是否提供适当的保障措施并为数据主体提供可执行的权利与有效的法律救济措施。
|
| 当您的业务涉及数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,以及缺乏适当保障的情况下,数据的跨境传输是否满足GDPR要求。 | 当您的业务涉及数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,以及缺乏适当保障的情况下,数据的跨境传输是否满足GDPR要求。
|
| 您作为数据处理者,主动将数据跨境转移,需获得数据控制者的同意。 | 您作为数据处理者,主动将数据跨境转移,需获得数据控制者的同意。 检查在数据跨境相关流程中是否存在获取数据控制者同意的机制。 |
GDPR-数据使用,保留和处置
| 检查项目 | 检查内容 |
|---|---|
| 您在收集个人信息时是否仅收集与处理目的相关且必要的个人数据,个人数据收集范围、使用目的不得超出隐私声明和用户协议,符合最小化原则。 | 您在收集个人信息时是否仅收集与处理目的相关且必要的个人数据,个人数据收集范围、使用目的不得超出隐私声明和用户协议,符合最小化原则。 检查在收集个人信息时是否已遵循最小化原则,收集个人信息的最小化原则包括:
|
| 您在处理特殊类型个人数据及社保号、身份证号、银行卡号、护照号时,是否采用比普通个人数据更高级别的安全措施进行保护。 | 您在处理特殊类型个人数据及社保号、身份证号、银行卡号、护照号时,是否采用比普通个人数据更高级别的安全措施进行保护。
|
| 对于收集和处理个人数据的系统,您是否提供个人数据备份和恢复的机制,能够恢复系统中存储的个人数据。 | 对于收集和处理个人数据的系统,您是否提供个人数据备份和恢复的机制,能够恢复系统中存储的个人数据。 检查系统是否提供个人数据备份和恢复机制。 |
| 您是否对高风险场景进行识别(特殊个人数据处理,批量个人数据)通过实施技术措施,以确保数据在传输的真实性、保密性和完整性。 | 您是否对高风险场景进行识别(特殊个人数据处理,批量个人数据)通过实施技术措施,以确保数据在传输的真实性、保密性和完整性。
|
| 系统的默认设置是否保护隐私。 | 系统的默认设置是否保护隐私。 检查系统所有默认设置,是否选择最安全的选项。比如:
|
| 对于个人数据公开、共享的场景,是否使用假名化、匿名化等技术降低个人数据重标识或泄露的风险。 | 对于个人数据公开、共享的场景,是否使用假名化、匿名化等技术降低个人数据重标识或泄露的风险。 |
| 对于收集和处理个人数据的系统,须提供最终用户对个人数据的访问控制机制。 | 对于收集和处理个人数据的系统,须提供最终用户对个人数据的访问控制机制。 检查所有访问个人数据的接口是否存在合适的认证和鉴权机制。 |
| 对于收集和处理个人数据的系统中,是否对数据主体对个人数据的操作进行日志记录。 | 对于收集和处理个人数据的系统中,是否对数据主体对个人数据的操作进行日志记录。 检查是否对个人数据的操作进行日志记录。 |
| 您是否提供假名化或加密的机制对个人数据进行保护。 | 您是否提供假名化或加密的机制对个人数据进行保护。
|
| 是否可以通过DPIA来证明您满足GDPR要求。 | 是否可以通过DPIA来证明您满足GDPR要求。
|
| 您作为数据控制者,是否对涉及其决策对自然人产生法律影响或类似重大影响的用户画像、大规模系统监控、大规模敏感数据处理、数据跨境转移、向第三方披露等业务场景,进行数据保护影响评估(DPIA)。 | 您作为数据控制者,是否对涉及其决策对自然人产生法律影响或类似重大影响的用户画像、大规模系统监控、大规模敏感数据处理、数据跨境转移、向第三方披露等业务场景,进行数据保护影响评估(DPIA)。
|
| 对于提供自动化决策的系统,如用户画像(Profiling)等,您是否为用户提供退出的机制。 | 对于提供自动化决策的系统,如用户画像(Profiling)等,您是否为用户提供退出的机制。
|
| 您是否已制定合适的个人信息保留期限和提供删除或者匿名化超过存留期的个人数据的机制。 | 您是否已制定合适的个人信息保留期限和提供删除或者匿名化超过存留期的个人数据的机制。
|
| 您作为数据控制者是否提供记录个人数据泄露的机制。 | 您作为数据控制者是否提供记录个人数据泄露的机制。 检查是否有记录个人数据泄露的机制。 |
| 您作为数据控制者是否对数据处理活动进行记录。 | 您作为数据控制者是否对数据处理活动进行记录。 检查是否有记录数据处理活动的机制,包括以下:
|
| 您作为数据处理者是否对数据处理活动进行记录。 | 您作为数据处理者是否对数据处理活动进行记录。 检查是否有记录数据处理活动的机制,包括以下:
|
GDPR-数据主体访问
| 检查项目 | 检查内容 |
|---|---|
| 对于收集、处理、存储个人数据的系统,您是否提供数据主体可以访问其个人数据的机制。 | 对于收集、处理、存储个人数据的系统,您是否提供数据主体可以访问其个人数据的机制。 检查是否提供数据主体可以访问数据主体提供的个人数据的机制。检查数据主体是否可以从系统获取确认他的个人数据是否在被处理,并能够访问个人数据和以下信息:
|
| 对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以访问其个人数据的机制。 | 对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以访问其个人数据的机制。 检查是否提供数据主体可以访问数据主体提供的个人数据的机制。检查数据主体是否可以从系统获取确认他的个人数据是否在被处理,并能够访问个人数据和以下信息:
|
| 对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以修改数据主体提供的个人数据的机制。 | 对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以修改数据主体提供的个人数据的机制。 检查是否提供数据主体可以修改数据主体提供的个人数据的机制。 |
| 对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体可以修改数据主体提供的个人数据的机制。 | 对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体可以修改数据主体提供的个人数据的机制。 检查是否提供数据主体可以修改数据主体提供的个人数据的机制。 |
| 对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以删除数据主体提供的个人数据的机制。 | 对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以删除数据主体提供的个人数据的机制。 检查是否提供数据主体可以删除数据主体提供的个人数据的机制。 |
| 对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以删除数据主体提供的个人数据的机制。 | 对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以删除数据主体提供的个人数据的机制。 检查是否提供数据主体可以删除数据主体提供的个人数据的机制。 |
| 对于收集、处理、存储个人数据的系统,您是否提供数据主体限制其个人数据处理机制。 | 对于收集、处理、存储个人数据的系统,您是否提供数据主体限制其个人数据处理机制。 检查是否提供数据主体限制其个人数据处理机制。 |
| 对于收集、处理、存储个人数据的系统,您是否提供数据主体的个人数据能够被导出的机制。 | 对于收集、处理、存储个人数据的系统,您是否提供数据主体的个人数据能够被导出的机制。 检查是否提供数据主体导出其个人数据处理机制。 |
| 您是否按照相应法规、标准的要求,在规定时间内响应数据主体合法请求的机制,以保障数据主体的合法权利。 | 您是否按照相应法规、标准的要求,在规定时间内响应数据主体合法请求的机制,以保障数据主体的合法权利。 询问内部负责个人信息合规的人员,是否按照相应法规、标准的要求提供处理数据主体合法请求的机制,检查是否对响应时间有明确的限制,以保障数据主体的合法权利,机制包括但不限于以下:
|
| 您将个人数据使用到直接营销目的时,系统是否提供供撤销个人数据用于营销活动同意的机制并告知用户。 | 您将个人数据使用到直接营销目的时,系统是否提供供撤销个人数据用于营销活动同意的机制并告知用户。
|
GDPR-通知
| 检查项目 | 检查内容 |
|---|---|
| 您作为数据控制者是否向数据主体提供隐私声明。 | 您作为数据控制者是否向数据主体提供隐私声明。
|
| 您作为设备供应者是否提供产品处理的个人数据的说明,并按照数据控制者的要求提供隐私声明的界面。 | 您作为设备供应者是否提供产品处理的个人数据的说明,并按照数据控制者的要求提供隐私声明的界面。
|
| 您作为设备供应者在从第三方获取个人数据时,是否提供产品处理的个人数据的说明。 | 您作为设备供应者在从第三方获取个人数据时,是否提供产品处理的个人数据的说明。 检查是否提供产品处理的个人数据的说明文档。 |
| 对于面向最终用户的系统,数据主体在注册个人信息时,您是否提供验证数据主体身份的机制。 | 对于面向最终用户的系统,数据主体在注册个人信息时,您是否提供验证数据主体身份的机制。 检查是否提供验证数据主体身份的机制。 |
| 您作为数据处理者在聘用另一个处理者或涉及到补充或替换其他处理者的变动,是否通知数据控制者,并获取数据控制者的书面授权 | 您作为数据处理者在聘用另一个处理者或涉及到补充或替换其他处理者的变动,是否通知数据控制者,并获取数据控制者的书面授权。 在处理涉及到补充或替换其他处理者的变动,检查是否有通知数据控制者,并获取数据控制者的书面授权的机制和流程。 |
| 您作为数据控制者是否有向数据主体报告个人数据泄露的机制。 | 您作为数据控制者是否有向数据主体报告个人数据泄露的机制。 检查是否有向数据主体报告个人数据泄露的机制或流程。 |
| 您作为数据控制者是否有向监管机构报告个人数据泄露的机制。 | 您作为数据控制者是否有向监管机构报告个人数据泄露的机制。 检查是否有向监管机构报告个人数据泄露的机制和流程。 |
| 您作为数据处理者是否有向数据控制者报告个人数据泄露的机制。 | 您作为数据处理者是否有向数据控制者报告个人数据泄露的机制。 检查是否有向数据控制者报告个人数据泄露的机制和流程。 |
GDPR-选择和同意
| 检查项目 | 检查内容 |
|---|---|
| 您作为数据控制者,在进行个人信息的收集、处理时,是否已征得数据主体的同意、合同协议的履行或者其他法定事由,并提供撤销同意的机制。 | 您作为数据控制者,在进行个人信息的收集、处理时,是否已征得数据主体的同意、合同协议的履行或者其他法定事由,并提供撤销同意的机制。
|
| 如果您处理个人数据的合法依据是“合法利益”,您是否已经进行了隐私影响评估(PIA)。 | 如果您处理个人数据的合法依据是“合法利益”,您是否已经进行了隐私影响评估(PIA)。 检查是否存在进行隐私影响评估(PIA)的机制和流程。 |
| 隐私政策和用户协议是否可供随时查看。 | 隐私政策和用户协议是否可供随时查看。 检查隐私政策和用户协议查看的位置是否方便且清晰。 |
| 您是否提供获取用户明示同意的机制(即用户主动单击),在收集用户的个人数据前(如:用户注册、首次使用APP)获取用户的同意。 | 您是否提供获取用户明示同意的机制(即用户主动单击),在收集用户的个人数据前(如:用户注册、首次使用APP)获取用户的同意。 检查在是否在收集个人数据前获取用户同意,获取用户同意时是否需要用户主动操作,且没有误导行为。 |
| 您在处理涉及犯罪定罪与违法的个人数据时,是否获取官方机构授权。 | 您在处理涉及犯罪定罪与违法的个人数据时,是否获取官方机构授权。
|
| 您是否给数据主体提供撤销同意或退出个人数据收集的方式、渠道。数据主体撤销同意之后,产品必须禁止继续收集和使用相应的个人数据。 | 您是否给数据主体提供撤销同意或退出个人数据收集的方式、渠道。数据主体撤销同意之后,产品必须禁止继续收集和使用相应的个人数据。 检查是否提供部分同意和撤销同意的机制。 注:撤销同意为数据主体可以通过便捷的形式,如与提供同意保持一致的形式,撤回对其所有个人信息收集的同意。 |
| 您是否提供个人数据同意的撤销机制,撤销同意是否与表达同意一样简单。 | 您是否提供个人数据同意的撤销机制,撤销同意是否与表达同意一样简单。
|
GDPR-组织架构
| 检查项目 | 检查内容 |
|---|---|
| 您作为控制者或处理者为欧盟内的数据主体提供相关商品或服务,或者监控数据主体的行为,是否以书面形式在欧盟委任一名代表。 | 您作为控制者或处理者为欧盟内的数据主体提供相关商品或服务,或者监控数据主体的行为,是否以书面形式在欧盟委任一名代表。
|
| 您是否委任数据保护官。 | 您是否委任数据保护官。
|
口令复杂度策略检测-口令复杂度
| 检查项目 | 检查内容 |
|---|---|
| 口令长度检测 | 目标服务器设置的口令长度策略是否符合标准,口令长度不能小于设定的某一个长度 |
| 大写字母检测 | 目标服务器设置的口令长度策略是否符合标准,口令中的大写字母个数不能小于某个数值 |
| 小写字母检测 | 目标服务器设置的口令长度策略是否符合标准,口令中的小写字母个数不能小于某个数值 |
| 数字检测 | 目标服务器设置的口令长度策略是否符合标准,口令中的数字个数不能小于某个数值 |
| 特殊字符检测 | 目标服务器设置的口令长度策略是否符合标准,口令中的特殊字符个数不能小于某个数值 |
PCI-DSS-维护信息安全政策
| 检查项目 | 检查内容 |
|---|---|
| 您是否已准备充足的资源以确保网络安全与隐私保护管理目标的达成,制定包括对人员、技术、环境、设施、信息和财务等资源的需求预算。 | 检查是否制定网络安全与隐私保护的预算规划,预算规划包括人员、技术、环境、设施、信息和财务等,例如指定特定人员,每天 24 小时随时响应警报。 |
| 您是否已由管理层正式授权或指定了专门的团队或个人来负责网络安全与隐私保护工作并且明确了这些角色的具体职责和权限。 |
|
| 您是否根据持续监测和定期评估中获得的信息,至少每年一次审核并更新网络安全与隐私保护的管理策略、流程、标准及相关文件,并明确制定、分发和更新相关文档的人员。 |
|
| 您是否已识别您范围内的资产(物理设备、系统、虚拟设备、软件和数据流等),根据资产的关键性、威胁影响和可能性来确定相关的风险。 | 检查资产风险威胁报告,是否识别出范围内的资产,根据资产的关键性、威胁影响和可能性来确定相关的风险,其中资产包括:
|
| 您是否建立和维护资产清单,内容需覆盖您拥有的所有组件,且资产清单包括资产重要性、责任人、位置、状态和资产关联关系等内容。 |
|
| 您是否根据制定的数据安全治理策略,应明确数据的责任归属,和数据采集、使用、存储、传输、共享、披露和销毁等数据生命周期中各方的角色、职责。 |
|
| 您是否针对不同岗位制定相应的安全意识培训和岗位技能培训计划,并定期刷新计划和培训内容。 |
|
| 您是否至少每年一次或当发生重大变更时执行内部和外部审计,以确保符合安全策略、标准和要求。若您作为服务提供商,是否每季度进行一次审查并维护季度审查流程文档记录。 | 检查审计记录,是否每年一次或发生重大变更时执行内部和外部审计,包括但不限于以下方面:
检查审计记录,作为个人数据控制者,在执行内部审计时,是否做到以下:
如作为服务供应商,是否每季度进行一次审查并维护季度审查流程文档记录,审查内容包括但不限于:
|
PCI-DSS-实施强有力的访问控制措施
| 检查项目 | 检查内容 |
|---|---|
| 您是否根据业务关键性、数据敏感性等要素对资产进行分级分类和标识。 | 检查是否有资产分级分类记录,对资产进行分级分类和标识。 检查是否有资产标识记录,记录对资产的保护需求。 |
| 您是否至少每年一次或在重大变更时对资产进行盘点。 | 询问资产管理人员是否至少每年一次,对资产进行盘点。 询问资产管理人员否在重大变更时,对资产进行盘点。 |
| 您是否建立介质管理机制,对介质的使用和访问进行限制和保护,并实施物理保护和逻辑保护等措施。 | 询问资产管理人员是否对介质的使用采用物理、逻辑保护措施。 询问资产管理人员采用哪些措施限制介质使用。 |
| 您是否对介质的转移建立授权机制并实施了安全控制。运送过程中是否采取了保护措施。 | 检查介质保护策略,是否建立机制以保护存储了信息的介质:
检查在运送或转移机制的过程中是否实施保护措施,包括但不限于以下内容:
|
| 当硬件资产下线时,您是否针对承载数据的资产,进行安全销毁,包括对数据的永久删除与介质销毁。 | 询问资产管理人员是否在硬件资产下线时,针对承载数据的资产,进行安全销毁。 询问资产管理人员是否采用粉碎、焚烧等方式进行物理销毁。 如果由有资质的第三方进行销毁,询问资产管理人员销毁要求是否采用物理销毁,是否获得数据销毁证明。 |
| 您是否实施了适当的用户标识管理策略,包括为用户分配了唯一账号名、唯一身份鉴别码、设置有效期,并对跨组织的账号进行标识等。 | 检查用户账号管理系统配置,是否满足:
检查是否有跨组织的账号区分机制。 |
| 您是否有符合标准要求的账号登录失败自动锁定的安全控制。 | 检查是否有账号自动锁定的机制。 账号锁定的配置是否满足锁定6次以上尝试失败的账号,锁定持续时间至少为30分钟。 |
| 您现有的权限管理机制是否遵循了按需分配、最小授权及职责分离原则。 | 检查现有的权限管理规范,是否包含以下原则:
|
| 您是否已采用了基于角色或属性的访问控制机制, 定义每个角色的访问需求,根据角色需求分配访问权限。 | 检查权限管理策略,是否包括但不限于以下内容:
如涉及管理持卡人数据,还应检查是否限制对任何包含持卡人数据的数据库的所有访问(包括应用程序、管理员和其他所有用户的访问)。 |
| 当内外部职员工作职责发生变化时,您是否在24小时内完成账号与权限的变更。 | 检查转岗或离职的人员账号与权限是否在24小时内完成变更。 |
| 您的密码策略是否遵循了行业标准,并禁止使用通用、共享、与账号一样的密码。 | 检查系统密码策略是否满足强度要求:
|
| 您是否建立了密码分配的策略。例如在首次登录时分配随机的初始密码,并在首次登录后强制要求更改密码且更改后的密码应满足公司的密码复杂度要求。 | 检查对密码是否有管理规范相关文档,包括但不限于以下内容:
检查密码分配记录,是否对初始密码和密码复杂度有要求。 |
| 您在对验证凭证(例如密码/口令)进行传输、存储时,是否对验证凭证使用AES、RSA、IDES等加密算法进行加密,并在传输时使用加密通道。 | 检查密码传输和存储策略,是否对验证凭证(例如密码/口令)使用加密算法(例如AES、TDES/TDEA、RSA)等加密。 检查密码传输时是否对传输通道进行加密。 检查是否禁止未加密的静态鉴别凭证嵌入到应用、访问脚本中。 |
| 您实施多因素认证时,是否满足相应标准的要求,确保多因素认证是否绑定唯一的账号,禁止在多个账号之间共享;并且至少对其中一种鉴别技术使用密码技术来实现。 | 检查制定的权限管理规范中对于多因素认证鉴别因子的管理要求是否包括但不限于以下:
注:多因素认证的鉴别因子为采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。 |
| 您是否至少定期,如一个月审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。 | 检查是否有维护所有账号与权限的清单。 检查维护清单的记录,是否至少定期审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。 |
| 您是否实施物理访问控制措施,限制对物理端口、网络插孔、无线接入点、电信线路等资产的物理访问。 | 检查是否制定资产的物理访问控制策略文档,文档里包括但不限于以下内容:
检查访问控制的资产是否包括:
|
PCI-DSS-建立和维护安全网络和系统
| 检查项目 | 检查内容 |
|---|---|
| 您是否维护数据流图和数据清单,对数据存储、处理和传输的过程、数据的位置进行记录。 | 检查是否有制定和维护数据流和数据清单,记录数据的位置,内容参考如下:
|
| 您是否已根据安全配置基线对所有软硬件资产进行了适当的加固处理。 | 检查是否有正式的安全配置基线文档,该文档应详细列出针对不同类型的软硬件资产(如操作系统、数据库、网络设备等)的具体安全配置要求。 通过自动化工具或手动方式审计现有的软硬件配置,确保它们符合既定的安全配置基线。这包括但不限于防火墙规则、用户权限设置、服务和端口的状态等。 确认在部署新系统或更新现有系统时,是否遵循了基于安全配置基线的加固步骤,并且这些步骤被纳入到变更管理流程中。 |
| 您是否已建立符合行业标准的安全配置基线,并满足以下要求:
| 检查是否有安全配置基线。 检查安全配置基线的配置是否满足以下要求:
检查时钟同步服务器的时间源是否符合行业标准。 |
| 您是否提供自动化检查工具,集中管理安全配置基线,定期检测配置文件的更改、内容文件的完整性。 | 检查是否有对安全配置基线的管理与验证部署自动化检查工具。 检查自动化检查工具是否满足以下要求:
|
| 您是否根据风险影响分析,进行了变更与回退方案的测试,以确保对组织的运行和安全没有负面影响。 | 检查是否有变更与回退测试的流程规范。 检查变更与回退测试是否满足以下要求:
|
| 您是否集中部署防恶意软件工具,确保能够检测、删除和抵御所有已知类型的恶意软件或代码。 | 检查是否集中部署防恶意软件工具,确保能够检查、删除和抵御所有已知类型的恶意软件或代码。 检查部署的恶意软件防护工具的配置是否满足但不限于以下要求:
|
| 您是否在网络拓扑文档中记录网络安全相关的设计与配置信息,并保持更新。 | 检查是否有网络拓扑文档,文档中是否记录网络安全相关的设计与配置信息,并保持更新,文档内容是否包括但不限于以下内容:
|
| 您是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控。 | 检查网络边界部署策略,是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控,部署的安全设备/服务包括但不限于:
|
| 您是否对网络区域边界实施了访问控制,并设置满足行业标准要求的访问控制规则以控制数据包进出。 | 检查访问控制列表(ACL)是否拒绝恶意IP地址或默认拒绝受控端口和IP以外的通信。 检查访问控制列表(ACL)的维护记录,是否删除无效规则。 检查跨网络的访问是否需要经过评估与授权。 |
| 您是否根据已识别的漏洞制定了详细的修补方案,并确保所有关键资产都得到了适当的保护。 | 检查是否有正式的漏洞管理策略或流程文档,明确规定了如何识别、评估和修复系统中的漏洞。该文档应包括漏洞扫描工具的选择与使用、漏洞优先级排序、修补时间表及验证修补效果的方法。 查看修补计划文档和相关日志文件,确认针对每个已识别的漏洞都制定了具体的修补方案,并且这些修补活动都被详细记录下来,包括修补的具体步骤、责任人、预计完成时间和实际执行结果。 |
PCI-DSS-维护漏洞管理计划
| 检查项目 | 检查内容 |
|---|---|
| 您是否定期对承担安全角色和关键职责的内外部员工开展岗位安全技能培训和考核,并检查对员工的绩效机制已包含信息安全的有关要求。 |
|
| 您是否存在正式的设计规范和安全架构文档,指导软件开发与系统部署,涵盖了关键的安全领域,如身份验证、授权、加密、日志记录与监控等。 |
|
| 您是否制定了详细的代码编写安全规范,并确保开发人员参照这些规范进行编码,涵盖关键的安全实践如输入验证、错误处理、数据加密和会话管理等。 |
|
| 您是否对主机、容器、服务器等实施恶意软件防护。 |
|
PCI-DSS-定期监控和测试网络
| 检查项目 | 检查内容 |
|---|---|
| 您是否制定了渗透测试计划,并至少每年一次以及应用程序有任何重要升级或修改时,在授权后由专人对Web应用程序、内部支撑系统等进行渗透测试。 |
|
| 您是否部署了变更检测机制以发现未经授权的修改,并对于此类发现进行整改。 |
|
| 您是否对网络设备、主机、虚拟化平台、应用软件等系统开启了日志功能。 |
|
| 您是否对访问控制、运维操作、敏感数据访问、系统事件等类型开启了日志功能。 |
|
| 您是否使用了满足相应外部标准或内部管理要求的日志管理系统,对日志进行集中收集和分析。 |
|
| 您是否定期备份日志,并对日志及其备份采取保护措施。 |
|
| 您是否确保了安全审计日志记录保留至少一年,并且至少三个月内可在线查询或立即可从备份中恢复。 |
|
| 您是否制定漏洞扫描计划,并有专人负责通过手动检测或自动的漏洞扫描工具,定期(至少每季度一次)对网络环境进行漏洞扫描。 |
|
| 您是否已实施入侵检测、防火墙、DDoS防护系统等技术措施,集中监控针对网络设备、主机与容器、应用系统、安全设备的网络攻击。 |
|
| 您是否已通过安全监控平台对采集的安全日志进行持续监控,识别与记录对关键系统的未授权更改、日志文件完整性监控或更改检测、特权账号异常行为、无效逻辑访问尝试等攻击或异常行为。 |
|
| 系统在发生网络攻击或异常情况时,是否触发告警并分配相关责任人对告警进行跟踪、验证和处理。 |
|
PCI-DSS-保护账户数据
| 检查项目 | 检查内容 |
|---|---|
| 您是否根据数据的分级分类,识别出需要加密传输的场景。 | 检查是否根据数据的分级分类,识别出需要加密传输的场景,包括但不限于:
|
| 您是否实施技术措施,以确保数据在传输的真实性、保密性和完整性。 | 检查是否采取技术措施确保数据传输时的真实性、保密性和完整性,技术措施包括但不限于以下:
检查是否有禁止使用不安全的协议:SSL2.0,SSL3.0,TLS1.0,TLS1.1,SSHv1,IKEv1等。 |
| 您是否已实施技术措施,确保数据在存储过程中的保密性和完整性。 |
|
| 您是否已建立了定期识别并删除超出保留期限或不再需要的数据的机制。 |
|
| 您是否已制定密钥使用和保护策略,并贯穿其整个生命周期。 | 检查是否已制定满足以下要求的密钥使用和保护策略,并贯穿其整个生命周期:
|
PCI-DSS-其他
| 检查项目 | 检查内容 |
|---|---|
| 您是否对变更进行记录,并进行风险评估和分类分级。 | 检查是否有对变更进行风险评估与分级记录。 检查变更风险评估分析维度是否包括如下内容:
|
| 您是否有变更通知与实施策略,在变更实施后,对变更有效性进行验证,并同步更新配置库及适用的文件。 | 检查是否有变更通知与实施策略等文件,包括以下要求:
|
NIST SP 800-53-系统和服务采购
| 检查项目 | 检查内容 |
|---|---|
| 您是否制定了详细的代码编写安全规范,并确保开发人员参照这些规范进行编码,涵盖关键的安全实践如输入验证、错误处理、数据加密和会话管理等。 |
|
NIST SP 800-53-项目管理
| 检查项目 | 检查内容 |
|---|---|
| 您是否已准备充足的资源以确保网络安全与隐私保护管理目标的达成,制定包括对人员、技术、环境、设施、信息和财务等资源的需求预算。 | 检查是否制定网络安全与隐私保护的预算规划,预算规划包括人员、技术、环境、设施、信息和财务等,例如指定特定人员,每天 24 小时随时响应警报。 |
| 您是否已由管理层正式授权或指定了专门的团队或个人来负责网络安全与隐私保护工作并且明确了这些角色的具体职责和权限。 |
|
| 您是否根据制定的数据安全治理策略,应明确数据的责任归属,和数据采集、使用、存储、传输、共享、披露和销毁等数据生命周期中各方的角色、职责。 |
|
NIST SP 800-53-评估、授权和监控
| 检查项目 | 检查内容 |
|---|---|
| 您是否制定了渗透测试计划,并至少每年一次以及应用程序有任何重要升级或修改时,在授权后由专人对Web应用程序、内部支撑系统等进行渗透测试。 |
|
| 您是否至少每年一次或当发生重大变更时执行内部和外部审计,以确保符合安全策略、标准和要求。若您作为服务提供商,是否每季度进行一次审查并维护季度审查流程文档记录。 |
|
| 您是否根据已识别的漏洞制定了详细的修补方案,并确保所有关键资产都得到了适当的保护。 |
|
NIST SP 800-53-审计与问责
| 检查项目 | 检查内容 |
|---|---|
| 您是否根据数据的分级分类,识别出需要加密传输的场景。 | 检查是否根据数据的分级分类,识别出需要加密传输的场景,包括但不限于:
|
| 您是否对网络设备、主机、虚拟化平台、应用软件等系统开启了日志功能。 | 检查日志管理策略文档。 检查系统类型是否满足以下要求:
|
| 您是否对访问控制、运维操作、敏感数据访问、系统事件等类型开启了日志功能。 | 检查是否有日志管理策略文档。 检查日志类型是否满包括以下:
|
| 您是否使用了满足相应外部标准或内部管理要求的日志管理系统,对日志进行集中收集和分析。 |
|
| 您是否定期备份日志,并对日志及其备份采取保护措施。 | 检查是否有日志保护策略文档。 检查日志保护措施是否满足以下要求: 通过访问控制防止未授权更改。
|
| 您是否确保了安全审计日志记录保留至少一年,并且至少三个月内可在线查询或立即可从备份中恢复。 |
|
| 您是否已通过安全监控平台对采集的安全日志进行持续监控,识别与记录对关键系统的未授权更改、日志文件完整性监控或更改检测、特权账号异常行为、无效逻辑访问尝试等攻击或异常行为。 |
|
NIST SP 800-53-媒体介质保护
| 检查项目 | 检查内容 |
|---|---|
| 您是否建立介质管理机制,对介质的使用和访问进行限制和保护,并实施物理保护和逻辑保护等措施。 |
|
| 您是否对介质的转移建立授权机制并实施了安全控制。运送过程中是否采取了保护措施。 |
|
NIST SP 800-53-系统和通信保护
| 检查项目 | 检查内容 |
|---|---|
| 您是否实施技术措施,以确保数据在传输的真实性、保密性和完整性。 | 检查是否采取技术措施确保数据传输时的真实性、保密性和完整性,技术措施包括但不限于以下:
检查是否有禁止使用不安全的协议:SSL2.0,SSL3.0,TLS1.0,TLS1.1,SSHv1,IKEv1等。 |
| 您是否已实施技术措施,确保数据在存储过程中的保密性和完整性。 |
|
| 您是否已制定密钥使用和保护策略,并贯穿其整个生命周期。 | 检查是否已制定满足以下要求的密钥使用和保护策略,并贯穿其整个生命周期:
|
| 您是否已建立符合行业标准的安全配置基线,并满足以下要求:(1)按照最小化原则,仅启用必要且安全的服务、协议、端口等;(2)网络设备默认拒绝所有网络通信流量,并保持最新稳定版本;(3)禁用不必要的服务、协议、功能、端口等;(4)删除默认账号,或修改默认账号名及口令;(5)如需启用不安全的功能,应实施额外的安全控制措施;(6)时钟同步服务器符合行业标准,及使用三种同步的时间源;(7)保留文档化记录;(8)获取审批 |
|
| 您是否集中部署防恶意软件工具,确保能够检测、删除和抵御所有已知类型的恶意软件或代码。 |
|
| 您是否在网络拓扑文档中记录网络安全相关的设计与配置信息,并保持更新。 | 检查是否有网络拓扑文档,文档中是否记录网络安全相关的设计与配置信息,并保持更新,文档内容是否包括但不限于以下内容:
|
| 您是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控。 | 检查网络边界部署策略,是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控,部署的安全设备/服务包括但不限于:
|
| 您是否对网络区域边界实施了访问控制,并设置满足行业标准要求的访问控制规则以控制数据包进出。 |
|
| 您是否已实施入侵检测、防火墙、DDoS防护系统等技术措施,集中监控针对网络设备、主机与容器、应用系统、安全设备的网络攻击。 |
|
NIST SP 800-53-事件与响应
| 检查项目 | 检查内容 |
|---|---|
| 系统在发生网络攻击或异常情况时,是否触发告警并分配相关责任人对告警进行跟踪、验证和处理。 |
|
NIST SP 800-53-物理环境保护
| 检查项目 | 检查内容 |
|---|---|
| 当硬件资产下线时,您是否针对承载数据的资产,进行安全销毁,包括对数据的永久删除与介质销毁。 |
|
| 您是否实施物理访问控制措施,限制对物理端口、网络插孔、无线接入点、电信线路等资产的物理访问。 |
|
NIST SP 800-53-规划和策略
| 检查项目 | 检查内容 |
|---|---|
| 您是否已经制定了网络安全与隐私保护的战略规划,并设定了明确的里程碑,同时确保这些规划和目标与企业的整体业务战略相一致。 |
|
| 您是否存在正式的设计规范和安全架构文档,指导软件开发与系统部署,涵盖了关键的安全领域,如身份验证、授权、加密、日志记录与监控等。 |
|
NIST SP 800-53-系统和信息完整性
| 检查项目 | 检查内容 |
|---|---|
| 您是否已建立了定期识别并删除超出保留期限或不再需要的数据的机制。 |
|
| 您是否部署了变更检测机制以发现未经授权的修改,并对于此类发现进行整改。 |
|
| 您是否已制定变更与回退方案,明确只有在评审、审批通过后才可实施方案,并采取技术手段限制未授权的变更。 |
|
| 您是否根据风险影响分析,进行了变更与回退方案的测试,以确保对组织的运行和安全没有负面影响。 |
|
| 您是否对主机、容器、服务器等实施恶意软件防护。 |
|
NIST SP 800-53-访问控制
| 检查项目 | 检查内容 |
|---|---|
| 您是否有符合标准要求的账号登录失败自动锁定的安全控制。 |
|
| 您现有的权限管理机制是否遵循了按需分配、最小授权及职责分离原则。 | 检查现有的权限管理规范,是否包含以下原则:
|
| 您是否已采用了基于角色或属性的访问控制机制, 定义每个角色的访问需求,根据角色需求分配访问权限。 |
|
| 当内外部职员工作职责发生变化时,您是否在24小时内完成账号与权限的变更。 | 检查转岗或离职的人员账号与权限是否在24小时内完成变更。 |
| 您是否至少定期,如一个月审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。 | 检查是否有维护所有账号与权限的清单。 检查维护清单的记录,是否至少定期审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。 |
NIST SP 800-53-风险评估
| 检查项目 | 检查内容 |
|---|---|
| 您是否已识别您范围内的资产(物理设备、系统、虚拟设备、软件和数据流等),根据资产的关键性、威胁影响和可能性来确定相关的风险。 | 检查资产风险威胁报告,是否识别出范围内的资产,根据资产的关键性、威胁影响和可能性来确定相关的风险,其中资产包括:
|
| 您是否制定漏洞扫描计划,并有专人负责通过手动检测或自动的漏洞扫描工具,定期(至少每季度一次)对网络环境进行漏洞扫描。 |
|
NIST SP 800-53-配置管理
| 检查项目 | 检查内容 |
|---|---|
| 您是否建立和维护资产清单,内容需覆盖您拥有的所有组件,且资产清单包括资产重要性、责任人、位置、状态和资产关联关系等内容。 | 检查是否制定与维护资产清单。 检查是否将拥有的所有组件均列入清单。 检查资产清单是否包括资产重要性、责任人、位置、状态和资产关联关系等内容。 |
| 您是否至少每年一次或在重大变更时对资产进行盘点。 | 询问资产管理人员是否至少每年一次,对资产进行盘点。 询问资产管理人员否在重大变更时,对资产进行盘点。 |
| 您是否维护数据流图和数据清单,对数据存储、处理和传输的过程、数据的位置进行记录。 | 检查是否有制定和维护数据流和数据清单,记录数据的位置,内容参考如下:
|
| 您是否已根据安全配置基线对所有软硬件资产进行了适当的加固处理。 |
|
| 您是否提供自动化检查工具,集中管理安全配置基线,定期检测配置文件的更改、内容文件的完整性。 | 检查是否有对安全配置基线的管理与验证部署自动化检查工具。 检查自动化检查工具是否满足以下要求:
|
| 您是否对变更进行记录,并进行风险评估和分类分级。 |
|
| 您是否有变更通知与实施策略,在变更实施后,对变更有效性进行验证,并同步更新配置库及适用的文件。 | 检查是否有变更通知与实施策略等文件,包括以下要求:
|
NIST SP 800-53-意识与培训
| 检查项目 | 检查内容 |
|---|---|
| 您是否根据持续监测和定期评估中获得的信息,至少每年一次审核并更新网络安全与隐私保护的管理策略、流程、标准及相关文件,并明确制定、分发和更新相关文档的人员 | 检查是否有审核记录,每年审核网络安全与隐私保护管理策略、流程、标准及相关文件。 检查网络安全与隐私保护的相关文件是否有指定的人员去制定、分发和更新。 |
| 您是否针对不同岗位制定相应的安全意识培训和岗位技能培训计划,并定期刷新计划和培训内容。 | 检查是否有根据不同岗位举行安全意识培训和岗位技能培训的记录。 检查是否有对培训计划内容更新的记录。 |
| 您是否定期对承担安全角色和关键职责的内外部员工开展岗位安全技能培训和考核,并检查对员工的绩效机制已包含信息安全的有关要求。 | 检查是否有对担任安全角色和关键职责的人员进行岗位技能培训。 检查员工的绩效考虑机制是否有包括信息安全的要求。 检查技术技能考核记录,包括对开发人员进行最新的安全编码技术进行培训和考核。 |
NIST SP 800-53-识别与认证
| 检查项目 | 检查内容 |
|---|---|
| 您是否根据业务关键性、数据敏感性等要素对资产进行分级分类和标识。 | 检查是否有资产分级分类记录,对资产进行分级分类和标识。 检查是否有资产标识记录,记录对资产的保护需求。 |
| 您是否实施了适当的用户标识管理策略,包括为用户分配了唯一账号名、唯一身份鉴别码、设置有效期,并对跨组织的账号进行标识等。 |
|
| 您的密码策略是否遵循了行业标准,并禁止使用通用、共享、与账号一样的密码。 | 检查系统密码策略是否满足强度要求:
|
| 您是否建立了密码分配的策略。例如在首次登录时分配随机的初始密码,并在首次登录后强制要求更改密码且更改后的密码应满足公司的密码复杂度要求。 | 检查对密码是否有管理规范相关文档,包括但不限于以下内容:
检查密码分配记录,是否对初始密码和密码复杂度有要求。 |
| 您在对验证凭证(例如密码/口令)进行传输、存储时,是否对验证凭证使用AES、RSA、IDES等加密算法进行加密,并在传输时使用加密通道。 |
|
| 您实施多因素认证时,是否满足相应标准的要求,确保多因素认证是否绑定唯一的账号,禁止在多个账号之间共享;并且至少对其中一种鉴别技术使用密码技术来实现。 |
注:多因素认证的鉴别因子为采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。 |
NIST SP 800-53-个人信息处理和透明度
| 检查项目 | 检查内容 |
|---|---|
| 您是否在收集个人信息时遵循了最小化原则,仅收集与处理目睹直接相关的必要信息。 |
|
| 您是否建立了有效的机制来响应个人信息主体关于访问、更正、删除其个人信息以及撤回同意等请求。 |
|
| 您是否已制定合适的个人信息保留期限或策略。 |
|
| 您是否确保在收集个人信息之前,以完整、透明、及时、清晰易懂且易于访问的方式告知个人信息主体,并定期审核这些告知内容以确保其符合法律法规及数据处理操作的要求。 |
|
| 您是否确保在收集个人信息时基于主体的同意、合同协议的履行或者其他法定事由,并提供了部分统一及撤销同意的机制。 |
|
| 您是否确保在进行个人信息活动时遵循了隐私保护的基本原则。 |
|
NIST SP 800-53-人员安全
| 检查项目 | 检查内容 |
|---|---|
| 您是否至少每年一次审核保密协议的内容,并及时通知所有利益相关方重新确认这些协议。 |
|
| 您是否在人员终止任用时,将离职信息通知了所有相关的利益相关方,进行了离职面谈,并及时删除了该员工的访问权限以及确保其归还了名下的所有云服务提供商资产。 |
|
| 您是否在人员岗位变更时,及时告知利益相关方,并评估及更新相关人员的逻辑和物理访问权限,确保在规定时间内完成所有必要的调整。 |
|
| 您是否在发现内外部员工存在违规行为时,进行了再次确认,并对违规行为的严重性和影响程度进行了评估。 |
|
| 您是否在雇佣员工前,对内外部所有可访问客户数据、交付网络或操作生产环境系统的员工进行背景调查,再由指定或授权的人员负责录用员工。 |
|
| 您是否已经与内部人员和外部服务提供商签订了包含遵循网络安全规章制度的协议,并确认用户理解并同意这些条款。 |
|
| 您是否有专门的安全管理团队并明确定义其职责,职责可包括发布网络安全、隐私保护、信息安全相关管理策略,监督管理策略的落地执行,与内外部利益相关方进行沟通等。 | 检查是否制定网络安全与隐私保护的预算规划,预算规划包括人员、技术、环境、设施、信息和财务等,例如指定特定人员,每天 24 小时随时响应警报。 |
NIST SP 800-53-应急计划
| 检查项目 | 检查内容 |
|---|---|
| 您是否在员工上岗前以及至少每年一次定期对内外部员工进行安全意识培训。 |
|
| 您是否已经针对所识别的关键产品和服务及其面临的威胁场景制定了详细的业务连续性及灾难恢复计划。 |
|
| 您是否至少每年一次或在发生重大变更时进行了业务连续性测试和演练,并基于演练结果对业务连续性计划(BCP)和灾难恢复计划(DRP)进行了必要的调整。 |
|
| 您是否已提供冗余的通信线路以确保云服务的高可用性。 |
|
| 您是否对安全事件和应急演练进行了经验总结,包括进行了根本原因分析,并将这些分析结果纳入了事件响应、培训和演练计划中。 |
|
| 您是否已经建立了异地灾备中心,并实现了主站点和备站点之间的高可用性,确保关键业务能够进行异地实时备份与切换。 |
|
| 您是否每年或发生重大变更时,对于安全事件响应计划、应急预案及流程指引进行审核并测试,根据审核和测试结果优化计划、预案及流程指引。 |
|
NIST SP 800-53-供应链风险管理
| 检查项目 | 检查内容 |
|---|---|
| 您是否对供应商提供的服务进行定期审查或审核,并跟踪发现的问题。 |
|
| 您是否在采购前对供应商进行风险评估,以确保其具备相应等级的安全保护能力。 |
|
| 您是否已与供应商签订了包含详细安全要求的合同协议,并明确了供应商的责任与义务。 |
|
| 您是否在采购过程中采取了适当的保护措施,以减少因供应链恶意利用而带来的安全风险。 |
|
| 您是否确保所采购的产品或服务符合相关的法律法规和行业标准认证要求,并对关键产品进行了专项测试。 |
|
NIST SP 800-53-维护与运维
| 检查项目 | 检查内容 |
|---|---|
| 您是否建立管理机制来正确地维护数据中心设施和防护设备等,以保持设备持续的可用性和完整性。 | 检查设备维护文档,是否建立机制正确地维护设备以保持持续的可用性和完整性。 例如是否定期对于设施和设备进行巡检和维护(包括不限于建筑结构、物理边界访问控制、巡检记录、防盗装置)、每年或发生重大变更时对设施和设备进行有效性和冗余功能检查等。 |
ISO/IEC 27002:2022-备份与恢复
| 检查项目 | 检查内容 |
|---|---|
| TaurusDB实例应开启备份 | 创建TaurusDB数据库实例时,系统默认开启自动备份策略。实例创建成功后,您可根据业务需要设置自动备份策略。TaurusDB按照用户设置的自动备份策略对数据库进行备份。 TaurusDB的备份操作是实例级的,而不是数据库级的。当数据库故障或数据损坏时,可以通过备份恢复数据库,从而保证数据可靠性。由于开启备份会损耗数据库读写性能,建议您选择业务低峰时间段启动自动备份。 设置自动备份策略后,会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时,按照策略中的保留天数进行存放,备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟会自动生成增量备份,用户不需要设置。生成的增量备份可以用来将库表数据恢复到指定时间点。 |
| 确保开启存储库中的备份策略 | 需要对备份对象执行自动备份操作时,可以设置备份策略。通过在策略中设置备份任务执行的时间、周期以及备份数据的保留规则,将备份存储库绑定备份策略,可以为存储库执行自动备份。备份策略需要绑定存储库才可以生效,若存储库未执行备份,确保绑定的备份策略状态为开启,防范数据丢失风险(如误删除、硬件故障)和业务中断风险,确保关键数据可恢复,满足合规性要求(如等保2.0)。若未开启备份策略,可能导致备份缺失,数据损坏或丢失后无法恢复,业务连续性受损,且可能违反数据保护法规。开启备份策略后: 1、存储成本增加:频繁备份可能占用更多存储空间,需合理规划保留周期。 2、资源占用:备份任务可能轻微影响I/O性能,但对业务运行无显著影响。 |
| Workspace资源应开启备份存储库 | 云桌面支持备份存储库功能,当发生病毒入侵、人为误删除、软硬件故障等事件时,可通过CBR的备份服务将云桌面的数据恢复至任意备份点。备份恢复过程中,CBR会保障用户数据的安全性和正确性,确保业务安全。 |
| 确保SFS Turbo文件系统在备份存储库中 | 云备份(CBR)可以为SFS Turbo文件系统提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。 |
| 启用备份功能并配置备份策略 | SQLServer实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时, 可以通过备份文件恢复数据库,从而保证数据可靠性。 |
| GeminiDB实例开启备份 | GeminiDB支持数据库实例的备份,以保证数据可靠性。实例删除后,手动备份数据保留。自动备份的数据和实例一起释放,备份的数据不支持下载导出。强烈建议您配置合适的自动备份策略,防止客户误操作或者服务异常的情况下,因没有开启备份而造成数据丢失的情况。 |
| 启跨区域复制功能 | 启用跨区域复制功能,可为用户提供的跨区域数据容灾能力。 |
| 确保ECS资源开启备份功能 | ECS实例没有关联备份存储库,视为“不合规”。云备份(CBR)可以为云服务器、云硬盘提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。详见云备份概述。相比数据丢失后的恢复,备份的成本更低。 |
| Workspace应设置合理的备份周期 | 云桌面使用云备份服务中的“云桌面备份”功能进行桌面备份。保障用户数据的安全性和正确性,确保业务安全。当备份的时间间隔过大时,数据丢失风险增加:如果在两次备份之间发生了数据损坏或丢失的情况,那么从最近一次备份恢复时,会丢失这段时间内的所有更改和新增数据。这可能对业务造成严重影响。 |
| 建议CBR备份策略执行频率不低于最小频率 | 华为云CBR支持配置最小备份频率策略,通过策略引擎强制要求备份周期(如每天/每周),确保关键数据定期保护,避免备份遗漏。 应对风险:防范因备份间隔过长导致的数据丢失风险(如系统故障时丢失过多增量数据),满足RPO(恢复点目标)要求,确保业务数据可回溯。 若不满足:可能导致备份间隔超出安全阈值,故障时丢失大量未备份数据,延长恢复时间,违反行业合规性要求(如等保)。 潜在影响: 1、资源消耗:高频备份增加存储和计算负载; 2、性能波动:备份时可能短暂影响业务I/O性能。 |
| 确保CBR存储库备份库有足够长的备份保留周期 | 确保备份保留时间足够长。防止需要使用备份进行业务恢复时,备份被过早清理,满足数据可恢复性和合规性要求。主要防范因备份保留周期过短导致数据无法恢复的风险,例如误删、恶意删除或自动化策略误清理关键备份,影响业务连续性。CBR备份保留日期过短可能导致备份被提前删除,灾难恢复时无可用备份,业务中断风险增加,且可能违反数据保留法规(如金融、医疗行业)。潜在影响:
|
| 确保ECS云服务器在指定周期内创建备份 | ECS实例最近一次备份创建时间超过参数要求,视为“不合规”。 云备份(CBR)可以为云服务器、云硬盘提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。详见云备份概述。当备份的时间间隔过大时,数据丢失风险增加:如果在两次备份之间发生了数据损坏或丢失的情况,那么从最近一次备份恢复时,会丢失这段时间内的所有更改和新增数据,这可能对业务造成严重影响。 |
| 启用多版本控制功能 | 利用 OBS 多版本控制功能,可以在一个桶中保留一个对象的多个版本,提升数据异常场景快速恢复能力。 |
| 确保SFS Turbo文件在最近一次备份距离现在不超过指定时间。 | 云备份(CBR)可以为SFS Turbo文件系统提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。 当备份的时间间隔过大时,数据丢失风险增加:如果在两次备份之间发生了数据损坏或丢失的情况,那么从最近一次备份恢复时,会丢失这段时间内的所有更改和新增数据。这可能对业务造成严重影响。 |
| 确保CSS集群多AZ部署 | 可用区(Availability Zone,AZ)指在同一区域(Region)下,电力、网络隔离的物理区域。同一地域内的可用区之间通过内网互通,但彼此在物理层面保持隔离,以降低单点故障风险。 多可用区部署是CSS服务提供的高可用性解决方案。通过在同一个地域内选择2个或3个不同的可用区部署集群,可有效防止数据丢失并降低服务中断风险。 为防止数据丢失,并确保在服务中断情况下能降低集群的停机时间,从而增强集群的高可用性,CSS服务支持跨可用区(即多可用区)部署。创建集群时,如果选择多可用区部署,CSS服务会自动启用跨AZ高可用特性,确保节点在所选可用区中均匀分布(各AZ的节点数量差异不超过1)。 多可用区部署时,建议优先选择3个可用区,而非2个可用区。当仅选择2个可用区时,如果其中一个可用区发生故障,可能导致无法选举Master节点,从而引发集群不可用风险。 影响:在创建集群时,选择的任意类型的节点数需大于或等于所选AZ数,否则跨可用区部署会失败。当集群中数据节点数或冷数据节点数和可用区数不是整数倍关系时,集群的数据分布可能会不均匀,从而影响数据查询或写入业务。 |
| 建议CBR存储库开启多AZ备份 | CBR支持创建多AZ存储库,将备份数据存储到同区域的多个AZ。当某个AZ不可用时,仍然能够从其他AZ正常访问数据,适用于对可靠性要求较高的场景。主要防范单AZ故障(如硬件损坏、电力中断等)导致备份数据不可用,确保业务连续性,满足金融、医疗等行业的高可用性要求。若仅单AZ存储,一旦该AZ故障,可能导致备份数据无法访问,影响灾难恢复能力,增加业务中断风险。 潜在影响: 1、存储成本略增:多AZ存储会占用额外空间,但相比数据丢失风险可接受; 2、备份/恢复延迟:跨AZ同步可能轻微增加备份时间,但对业务影响有限。 约束限制:
|
ISO/IEC 27002:2022-身份与访问控制
| 检查项目 | 检查内容 |
|---|---|
| 确保管理员账号禁用AK/SK | 为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。 |
| 确保IAM密码策略要求符合密码复杂度 | IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 包含以下字符中的 3-4 种:大写字母、小写字母、数字和特殊字符 密码中允许同一字符连续出现次数(最大次数设置为 1)。 |
| 应避免根用户以外的IAM用户加入admin用户组,防止授权过大 | 根用户以外的IAM用户加入admin用户组,视为“不合规”。“admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 |
| 确保不创建允许“*:*”管理权限的IAM策略 | 为了提高账号资源的安全性,不创建允许“*:*”管理权限的 IAM 策略。 |
| 确保创建的IAM策略已正确附加到IAM用户、用户组或委托 | IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。避免长期存在未绑定的IAM策略,防止因管理疏漏引发计划外授权,从而导致恶意操作。长期未绑定的IAM策略,建议删除处理。 |
| 应确保CSMS轮转凭据启用自动轮转 | 如果长时间不更新凭据,凭据内保护的重要信息(例如:重要密码、令牌、证书、SSH密钥、API密钥等)的泄露风险也会增加,定期轮换凭据会增加所保护的明文信息安全性。 |
| 应确保CSMS凭据在指定天数内轮转 | CSMS凭据可以配置轮转,可以使用轮转来将长期机密信息替换为短期机密信息。如果长时间不更新凭据,凭据内保护的重要信息(例如:重要密码、令牌、证书、SSH密钥、API密钥等)的泄露风险也会增加,轮转机密信息可以增加所保护的明文信息安全性、限制非授权用户使用被泄露机密信息的时间。因此,应该定期轮转CSMS凭据。PCI DSS要求至少每90天更改一次用户密码或凭据轮转。 |
| 确保禁用ACL,并使用OBS存储桶策略实现更精细的访问控制。 | OBS提供多种权限控制方式,包括IAM权限、桶策略、对象ACL、桶ACL。访问控制列表(Access Control List,ACL)用于资源拥有者给其他账号授予资源的访问权限。OBS ACL是基于账号级别的读写权限控制,且主要用于授予基本的读/写权限,权限控制细粒度不如桶策略和IAM权限。一般情况下,建议使用IAM权限和桶策略进行访问控制。否则会泄露权限配置规则及相应的domain id,domain name。在特定的权限配置场景下,攻击者可能会根据泄露的权限配置规则,构造请求非法操作桶内资源。 |
| 确保IAM用户组已添加权限 | IAM用户组未添加任意权限,视为“不合规”。管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。如果您的用户组没有配置任何授权,则不会带来任何有效授权行为,建议您定时检查并清理无效的IAM用户组,提升运行和管理效率。 |
| 应确保配置了自动轮转的CSMS凭据轮转成功 | CSMS凭据轮转成功或不涉及轮转,视为合规。当您为凭据开启轮转后,您需要确保轮转执行是成功的。如果轮转失败,可能导致以下问题: 凭据泄露风险:长期不轮转的凭据更容易被攻击者获取,增加数据泄露或服务滥用的可能性。 服务中断风险:轮转失败可能导致凭据过期,引发服务中断或应用故障。 约束:该合规规则只检查定时轮转是否成功,不检查立即轮转是否成功。该合规规则受制于Config收集资源的实时性,可能存在最多不超过24小时的滞后。 |
| 确保IAM密码每180天或更短时间轮换一次 | IAM 用户的密码有效期策略必须设置,建议满足以下要求: 设置密码过期后,系统强制要求修改密码(密码有效期设置为 180 天或更短时间)。 |
| 确保任何单个IAM用户仅有一个可用的活动访问密钥 | 为了提高账号资源的安全性,建议单个 IAM 用户仅有一个可用的活动访问密钥。 |
| 确保IAM密码策略要求最小长度为8或更大 | 密码策略IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 密码长度不小于 8 位。 |
| 确保IAM密码策略防止密码重复使用 | IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 新密码不能与最近的历史密码相同(重复次数设置为 3)。 |
ISO/IEC 27002:2022-数据安全
| 检查项目 | 检查内容 |
|---|---|
| 启用KMS 密钥轮换 | 启用密码安全中心(Data Encryption Workshop, DEW)密钥轮换策略,定期更换原密钥的密钥材料,提升加密密钥的安全性。 |
ISO/IEC 27002:2022-应用安全
| 检查项目 | 检查内容 |
|---|---|
| 配置WAF地理位置访问策略 | 用户可以通过 WAF 配置地理位置访问控制规则,以实现对指定国家、地区的来源 IP 的自定义访问控制。 |
| 应确保CDN回源方式使用HTTPS | 如果CDN节点没有缓存该资源,就会回源请求资源并缓存到CDN节点。回源协议也应当设置为HTTPS以确保数据传输的安全。 |
| GeminiDB实例开启错误日志 | GeminiDB实例的日志管理功能支持查看数据库级别的错误日志,包括数据库运行的Warning和Error级别的信息,有助于您分析系统中存在的问题。 |
| 应确保WAF防护策略配置防护规则 | WAF防护策略可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。确保防护策略不是空置状态,而是根据自己网站防护的需要,灵活配置防护规则,才能更好的防护您的网站业务。 |
| GaussDB实例应开启错误日志 | 租户开启GaussDB错误日志功能后,可以通过分析GaussDB错误日志来定位错误原因。当前错误日志功能默认开启。 |
| CSS集群开启慢日志 | Elasticsearch和OpenSearch集群备份的日志文件主要包括废弃操作日志、运行日志、慢索引日志、慢查询日志,用户可以使用日志定位问题。CSS集群默认记录慢日志,建议保持开启,并将其转储在OBS桶中进行备份。 |
| 启用VPC流量日志功能 | VPC 流日志功能可以记录虚拟私有云中的流量信息,帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。当用户想要了解虚拟私有云网卡的流量详情时,用户可以通过 LTS 实时查看虚拟私有云的网卡日志数据。 |
| 确保开启DWS数据库审计日志 | DWS(数据仓库服务)支持数据库审计日志功能,可以记录用户对数据库的访问行为、SQL操作、权限变更等关键事件。通过开启审计日志功能,可以有效追踪和分析数据库的操作历史,及时发现和应对潜在的安全威胁。该规则旨在应对以下风险:未开启审计日志功能可能会导致无法追踪和监控数据库的操作行为。攻击者可能利用未审计的环境进行未授权的访问或恶意操作,进而窃取敏感数据或破坏数据库的完整性。此外,内部人员的误操作或恶意行为也可能导致数据泄露或损坏,而无法追溯。 如未开启审计日志功能,可能会导致以下影响:无法追踪和分析数据库的操作行为,增加数据泄露和篡改的风险。此外,无法及时发现和应对潜在的安全威胁,影响数据库的稳定性和数据的完整性。审计日志的生成和存储可能会占用额外的存储空间,增加存储成本。 |
| 应确保ER服务启用安全审计日志 | 用户可以通过开启CTS服务来记录对CC服务操作的审计日志,开启审计日志对于保护信息安全、确保合规性、提高系统稳定性和透明度等方面都具有重要意义。
|
| 确保ELB监听器绑定的安全策略中使用安全的TLS版本和加密套件 | ELB(弹性负载均衡)支持在HTTPS或TLS监听器中配置安全策略,允许用户选择安全的TLS版本和加密套件。通过选择最新的TLS版本(如TLS1.2或TLS1.3)和强加密套件,ELB可以确保客户端与服务器之间的通信安全,防止数据在传输过程中被窃听或篡改。 使用安全的TLS版本和加密套件可以应对中间人攻击、降级攻击、数据泄露等风险。如果未配置,则可能导致因使用旧版本TLS协议或加密套件导致的数据泄露与篡改,并且可能面临中间人攻击的风险。 使用安全的TLS版本和加密套件可能导致兼容性问题,旧版本浏览器或客户端可能不支持最新的TLS版本。 |
| GaussDB实例应开启慢日志 | 租户在开启GaussDB实例慢日志功能后,租户可以通过GaussDB慢日志定位SQL语句执行慢的问题。当前慢日志功能默认开启。 |
| 使用桶策略限制对OBS桶的访问必须使用HTTPS协议 | 通过桶策略中的 SecureTransport 条件限制必须使用 HTTPS 协议对该桶进行操作,可确保数据上传下载的传输安全。 |
| RDS实例不应使用数据库引擎默认端口 | 使用默认SQLServer端口容易被监听,存在安全隐患,推荐使用非默认端口。 |
| 启用CTS | 用户开通云审计服务(CTS)后,系统会自动创建一个追踪器,该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。CTS 服务具备对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 |
| 启用FuctionGraph函数日志功能 | 开启函数日志功能后,用户函数每次调用执行日志都会保存在LTS,方便用户定位问题和记录函数执行过程。 |
| 启用WAF对Web基础防护的拦截模式 | Web 基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为,并不会对攻击行为进行阻断,建议开启 Web 基础防护的“拦截”模式,以在发现攻击后立即阻断并记录。 |
| 确保对IAM服务的操作已记录审计日志 | 用户可以通过开启CTS服务来记录对IAM服务操作的审计日志,开启审计日志对于保护信息安全、确保合规性、提高系统稳定性和透明度等方面都具有重要意义。
|
| 开启日志文件加密存储 | 将审计日志转储到 OBS,可以配置加密存储,防止文件被非法访问。 |
| CSS集群应启用HTTPS | CSS集群的安全模式下可以选择使用HTTP协议或者HTTPS协议。安全模式+HTTP协议的集群采用HTTP协议明文传输数据,优点是安全认证提升了集群安全性。通过HTTP协议访问集群又能保留集群的高性能。支持用户权限隔离。缺点是不支持启用公网访问。适合对安全性有一定要求,但对性能要求较高的场景。安全模式+HTTPS协议的集群采用HTTPS协议进行通信加密,使数据更安全。优点是安全认证提升了集群安全性。HTTPS协议提升了集群公网访问的安全性。支持用户权限隔离。缺点是与HTTP协议相比,通过HTTPS协议访问集群会因加密和解密操作导致集群的读写性能有所下降。适合对安全性和数据传输加密要求较高、且需要公网访问的场景。在对性能要求不高、且需要公网访问的场景,建议使用安全模式+HTTPS模式协议。 |
| 确保弹性伸缩组使用弹性负载均衡健康检查 | 华为云弹性伸缩服务(Auto Scaling,AS)与弹性负载均衡(Elastic Load Balance,ELB)结合使用时,可以自动调整计算资源,以适应业务负载的变化。通过配置ELB健康检查,可以确保只有健康状态的实例参与负载均衡,从而提高服务的可用性和稳定性。健康检查功能会定期检查后端服务器的健康状态,一旦发现异常,会自动将流量重定向到其他健康的实例,避免了单点故障对业务的影响。 不使用ELB健康检查可能会导致异常的实例继续接收流量,影响用户体验和业务连续性。在高并发场景下,异常实例可能会成为性能瓶颈,甚至导致整个服务不可用。此外,未及时发现和隔离故障实例,还可能增加安全风险,如被攻击者利用进行DDoS攻击等。 若不使用健康检查,则异常实例可能继续接收流量,可导致用户请求失败或响应时间增加,并同时造成资源的浪费。同时,未及时隔离并清理故障实例,可导致实例被攻击者利用,增加安全风险。 若健康检查频率设置不当,可能导致健康检查频率过高,增加负载并影响性能。 |
| 开启日志文件完整性校验 | 将审计日志转储到 OBS,可以同步开启文件校验,保障审计文件的完整性,防止文件被篡改。 |
| RDS实例开启慢日志 | 查询慢日志用来记录执行时间超过当前慢日志阈值“long_query_time”(默认是1秒)的语句,您可以通过慢查询日志的日志明细,查找出执行效率低的语句,进行优化。您也可以下载慢查询日志进行业务分析。 |
| 应确保启用Web应用防火墙功能 | Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 |
| 应确保配置安全的TLS版本 | 传输层安全性协议(TLS:Transport Layer Security),是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,最典型的应用就是HTTPS。目前,有四个版本的TLS协议:TLS1.0/1.1/1.2/1.3,版本越高,安全性相对更高,但是对老版本的浏览器兼容性相对较差。 |
| 启用RDS数据库审计功能 | 当用户开通 SQL 审计功能,系统会将所有的 SQL 操作记录下来存入日志文件,方便用户下载并查询。SQL 审计功能默认关闭,启用该功能可能会有一定的性能影响。 |
| GeminiDB实例开启慢查询日志 | GeminiDB实例的日志管理功能支持查看数据库级别的慢日志,执行时间的单位为ms。通过该日志,可查找出执行效率低的语句,以便优化。 |
| 应确保WAF防护域名配置防护策略 | WAF防护策略可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。确保防护策略不是空置状态,而是根据自己网站防护的需要,灵活配置防护规则,才能更好的防护您的网站业务。 |
ISO/IEC 27002:2022-运维和运营安全
| 检查项目 | 检查内容 |
|---|---|
| 启用OBS桶日志功能 | 出于分析或审计等目的,用户可以开启 OBS 桶日志记录功能。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日志记录功能后,OBS 会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶中。 |
| RDS数据库实例应将日志发布至日志跟踪服务(LTS) | 主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此, 对于需要长期存储的SQLServer日志数据,应在 LTS 中配置日志转储。 |
| 启用CES资源告警功能 | 云监控服务(CES)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。告警功能提供对监控指标的告警功能,用户对云服务的核心监控指标设置告警规则,当监控指标触发用户设置的告警条件时,支持以邮箱、短信、HTTP、HTTPS等方式通知用户,让用户在第一时间得知云服务发生异常,迅速处理故障,避免因资源问题造成业务损失。该服务应对的主要风险包括资源使用异常、业务性能下降及潜在故障风险。如果告警功能未能启用或配置不当,可能导致用户无法及时察觉资源问题,进而影响业务运行的稳定性,甚至可能造成业务停机、数据丢失或财务损失。因此,确保告警机制的正常运作对于云环境中的资源管理和故障响应至关重要。 |
| PostgreSQL开启数据库审计日志 | 通过将 PostgreSQL 审计扩展(pgAudit)与 RDS for PostgreSQL 数据库实例一起使用,可以记录用户对数据库的所有相关操作,通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 |
| 配置监控KMS禁用或计划删除密钥的事件监控告警 | CES配置监控KMS禁用或计划删除密钥的事件监控告警,旨在提供对关键云资源安全事件的实时监控与响应。通过事件监控功能,用户能够对云环境中重要的操作事件进行数据上报和查询,尤其是针对KMS密钥禁用或删除的高风险操作。一旦发生此类事件,系统将触发告警,并通过多种通知方式及时提醒用户,确保其能够迅速采取措施防止潜在的安全风险。此功能主要应对的风险是密钥管理不当带来的安全隐患,包括未经授权的密钥禁用、删除或其他操作,可能导致加密数据泄露、身份验证失败或数据完整性受损,请确保配置CES配置监控KMS禁用或计划删除密钥的事件监控告警。 |
| TaurusDB实例开启慢日志 | 慢日志用来记录执行时间超过当前慢日志阈值“long_query_time”(默认是10秒)的语句,建议设置为1s,锁等待时间不计算在执行时间内。您可以通过查询慢日志的日志明细、统计分析情况,查找出执行效率低的语句,进行优化。 |
| 启用WAF全量日志功能 | 启用 WAF 全量日志功能后,可以将攻击日志、访问日志记录到 LTS 中。通过 LTS 记录的 WAF 日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。开启全量日志功能是将 WAF 日志记录到 LTS,不影响 WAF 性能。 |
| 确保APIG专享版实例配置访问日志 | APIG提供了API的可视化分析和统计能力,支持查看API的调用日志。可以带来如下好处: 异常检测:通过审计日志,识别异常访问行为,如频繁失败请求、异常IP等,及时发现潜在攻击; 问题定位:通过日志快速定位API调用失败的原因,如参数错误、服务不可用等; 用户行为分析:分析API调用模式,了解用户行为,支持产品优化; 资源使用监控:监控API调用频率和资源消耗,防止资源浪费。 |
| 配置监控OBS桶策略变更的事件监控告警 | CES配置监控OBS桶策略变更的事件监控告警,旨在帮助用户实时监控和响应对云存储资源的安全操作,特别是针对OBS桶策略变更的事件。通过事件监控功能,用户能够收集和上报业务中的关键事件及对云资源的操作记录,一旦发现OBS桶策略发生变更,系统会立即触发告警并通知用户,帮助用户及时进行干预,确保数据存储的安全性和合规性。该服务主要应对对象存储桶策略的误配置或恶意修改,可能导致数据泄露、权限滥用或资源滥用等风险。因此,应确保CES配置监控OBS桶策略变更的事件监控告警。 |
| CES配置监控VPC变更的事件监控告警 | CES配置监控VPC变更的事件监控告警,可以帮助用户实时监控和响应VPC中网络架构的关键变化。通过事件监控功能,用户能够对VPC相关的操作事件进行数据上报和查询,尤其是针对删除VPC、修改VPC等操作。一旦发生这些高风险的配置变更,系统将触发告警,及时通知用户,帮助其快速审查和采取必要的安全措施,确保网络架构的稳定和安全。如果未及时监控VPC的配置变更,可能会导致关键网络组件暴露或无法访问,进而影响云环境中的其他服务和资源。确保VPC变更事件得到及时监控和告警,对于防止不必要的网络安全漏洞和保障业务的正常运行至关重要。 |
| 确保已开启DWS数据库审计日志转储 | DWS(数据仓库服务)具备审计日志转储功能,该功能能够记录用户对数据库的所有操作行为,包括查询、修改、删除等,并将这些日志转储到指定的存储系统(如OBS对象存储服务)。 通过审计日志转储,可以有效应对未经授权的数据库访问、潜在的安全威胁以及内部人员的不当操作风险。 如果不开启审计日志转储,将无法及时发现和追踪数据库的异常操作,可能导致数据泄露、篡改或删除等安全事件,影响业务的合规性和数据的完整性。 在开启审计日志转储后,可能会对存储资源和网络带宽产生一定影响,因此建议根据实际需求合理配置日志转储策略。 |
| TaurusDB实例开启审计日志 | 数据库审计日志是数据库安全管理和运维的重要工具,它能够提供全面的安全监控、满足合规性要求、辅助故障诊断、支持业务分析,并帮助实现有效的风险管控,虽然会带来一定的性能和存储成本,但对保障数据库安全和合规运营具有不可替代的价值。 |
| GaussDB应开启数据库审计日志功能 | 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 |
| 应确保DDoS原生基础防护开启LTS日志记录 | 启用Anti-DDoS防护功能后,您可以将攻击日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的Anti-DDoS日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 |
| 启用ELB访问日志记录功能 | ELB 在外部流量分发时,会记录 HTTP(S)详细的访问日志记录,如 URI 请求、客户端 IP 和端口、状态码。ELB 日志可用于审计,也可用于通过时间和日志中的关键词信息搜索日志,同时也可以通过各种SQL 聚合函数来分析某段时间内的外部请求统计数据,以掌握真实用户的网站使用频率等。 |
ISO/IEC 27002:2022-治理和策略
| 检查项目 | 检查内容 |
|---|---|
| GaussDB应开启备份功能设置合理的备份策略 | 当数据库或表被恶意或误删除,虽然 GaussDB 支持高可用,但备机数据库会被同步删除且无法还原。因此,数据被删除后只能依赖于实例的备份保障数据安全。 |
| CSS集群至少包含3个数据节点 | 为防止数据丢失,并确保在服务中断情况下能降低集群的停机时间,从而增强集群的高可用性,请确保CSS集群的实例个数大于2个。部署至少3个实例,可以确保当一个节点发生故障时,集群能够正常运行。 |
| 确保ELB实例多AZ部署 | ELB(弹性负载均衡)支持多AZ(可用区)部署,允许用户将ELB实例部署在多个可用区。通过多AZ部署,ELB可以提高服务的可用性和容灾能力,确保在某个可用区发生故障时,服务仍可通过其他可用区继续提供。 采用多AZ部署可以应对单点/区域故障、负载不均等风险。若未采用多AZ部署,则服务可能因可用区或可用区ELB实例发生故障而中断,并且可能会导致流量分布不均的问题。 多AZ部署会导致网络流量经过更长的网络路径,可能增加数据传输的延迟,并导致云服务网络成本的上升。 |
| CSS集群应启用快照 | 为避免数据丢失,您可以将集群的索引数据进行备份,当数据发生丢失或者想找回某一时间段数据时,您可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时,建议将所有索引数据进行备份。CSS服务的快照备份功能提供数据保护和恢复能力。通过快照备份,可以将集群的数据状态保存到OBS桶中,以便在需要时进行恢复。CSS集群快照分为两种方式:自动创建快照和手动创建快照。影响:当使用快照备份功能时,备份的快照存储在OBS桶中需要额外收费。集群快照会导致CPU、磁盘IO上升等影响,建议在业务低峰期进行操作。 |
| 确保弹性伸缩组创建的ECS实例覆盖多AZ | 华为云弹性伸缩组(AS)支持将新创建的ECS实例分布到多个可用区(AZ)。每个AZ是具备独立风火水电设施的物理数据中心隔离单元,同一Region内的多个AZ通过高速光纤互联,这是构建高可用应用架构的基础。 配置伸缩组使用多AZ部署,核心目的是应对单AZ故障风险。如果所有ECS实例都集中在单个AZ内,一旦该AZ因基础设施故障(如断电、断网)或自然灾害发生中断,将导致整个伸缩组内的实例不可用,业务服务完全中断,丧失连续性。即使伸缩组状态正常,如果所选AZ不支持伸缩配置中指定的ECS实例类型,可能导致伸缩组无法使用或扩容活动异常,资源弹性扩展能力受限。此外,即使部分AZ支持所需实例类型,扩容时实例也无法均匀分布,削弱了跨AZ的高可用性。 启用此规则(即配置多AZ)后,主要业务影响体现在跨AZ通信会引入轻微的网络时延增加(相比同AZ内通信),对于网络时延要求极高的业务(如毫秒级响应的金融交易系统)可能需注意。同时,配置时需确保所选的所有AZ都支持您需要的ECS实例类型,否则扩容仍可能集中在支持的AZ中,达不到理想的均匀分布效果。因此,建议在创建伸缩组时至少选择2个可用区,并优先采用“均衡分布”扩展策略,以实现最佳的高可用性。 |
| 承载备份数据的云硬盘选择加密盘 | CBR 备份磁盘可选为加密磁盘,成为加密备份。此特性无法手动加密和取消加密备份。 |
| RDS数据库实例应配置多可用区部署 | SQLServer实例部署在不同的可用区,可提高容灾能力。 |
| RDS数据库集群应配置多可用区部署 | SQLServer集群/主备节点部署在不同的可用区,可提高集群/主备实例的容灾能力。 |
| 确保DWS集群启用自动快照 | 华为云DWS服务支持自动快照功能,能够定期自动创建集群的数据备份。这些快照可以用于在集群发生故障或数据损坏时,快速恢复数据,确保业务的连续性。通过启用自动快照,用户可以有效保护数据,防止数据丢失。 如果DWS集群没有启用自动快照,则DWS集群将无法自动创建数据备份。一旦发生硬件故障、人为错误或恶意攻击导致数据丢失,将无法快速恢复数据,导致业务中断和数据损失。此外,缺乏定期备份还可能导致数据无法恢复到最近的稳定状态,增加数据丢失的风险。 虽然自动快照提供了数据保护,但频繁的快照创建可能会占用更多的存储空间,增加存储成本。 |
