华为云网络安全合规实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
|---|---|---|---|---|---|
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
iam |
企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 |
IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. |
用户可以通过使用API调用的方式轮换访问密钥。 |
alarm-kms-disable-or-delete-key |
CES配置监控KMS禁用或计划删除的事件监控告警 |
ces,kms |
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持密钥管理服务(KMS)的相关事件,包含禁用密钥和计划删除密钥等。 |
CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” |
用户可以在事件监控中创建告警规则,选择对应的监控对象,配置告警内容参数。 |
alarm-obs-bucket-policy-change |
CES配置监控OBS桶策略变更的事件监控告警 |
ces,obs |
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持对象存储服务(OBS)的相关事件,包含设置桶的策略和删除桶policy配置等。 |
CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规” |
用户可以在事件监控中创建告警规则,选择对应的监控对象,配置告警内容参数。 |
alarm-vpc-change |
CES配置监控VPC变更的事件监控告警 |
ces,vpc |
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持弹性公网IP和带宽的相关事件,包含删除VPC和修改VPC等。 |
CES未配置监控VPC变更的事件监控告警,视为“不合规” |
用户可以在事件监控中创建告警规则,选择对应的监控对象,配置告警内容参数。 |
css-cluster-https-required |
CSS集群启用HTTPS |
css |
开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 |
CSS集群未启用https,视为“不合规” |
仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书,用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。 |
css-cluster-in-vpc |
CSS集群绑定指定VPC资源 |
css |
云搜索服务CSS的集群创建在虚拟私有云(VPC)的子网内,VPC通过逻辑方式进行网络隔离,为用户的集群提供安全、隔离的网络环境。此规则确保云搜索服务(CSS)位于虚拟私有云(VPC)中。 |
CSS集群未与指定的VPC资源绑定,视为“不合规” |
可以将不合规的CSS集群与指定VPC关联。 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
cts |
确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。 |
CTS追踪器未通过KMS进行加密,视为“不合规” |
建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 |
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。 |
CTS追踪器未启用事件分析,视为“不合规” |
开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶。 |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
cts |
在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 |
CTS追踪器未打开事件文件校验,视为“不合规” |
在配置转储页面打开“文件校验”开关,即可开启事件文件完整性校验功能。 |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 |
账号未创建CTS追踪器,视为“不合规” |
可进入云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
ecs,vpc |
虚拟私有云(VPC)为弹性云服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域,确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
您可以通过网络配置,为不合规的ECS资源选择特定的虚拟私有云。 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
ECS资源具有公网IP,视为“不合规” |
您可以登录弹性云服务器页面,在弹性云服务器列表中,在待调整带宽的弹性云服务器操作列下,单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”,将不合规的ECS资源解除弹性公网绑定。 |
eip-unbound-check |
弹性公网IP未进行任何绑定 |
vpc |
弹性公网IP(EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。 |
弹性公网IP未进行任何绑定,视为“不合规” |
用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时,后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。如果您的独享型负载均衡实例类型为网络型(TCP/UDP),则无法创建HTTPS监听器。 |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
iam |
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 |
IAM用户组未添加任意IAM用户,视为“不合规” |
管理员在用户组列表中,单击新建的用户组,选择“用户组管理”,在“可选用户”中选择需要添加至用户组中的用户。 |
iam-password-policy |
IAM用户密码策略符合要求 |
iam |
确保IAM用户密码强度满足密码强度要求。 |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
用户可以根据提示修改密码达到需要的密码强度。 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
iam |
确保根访问密钥已删除。 |
账号存在可使用的访问密钥,视为“不合规” |
用户可以根据规则评估结果删除账号可使用的访问密钥。 |
iam-user-console-and-api-access-at-creation |
IAM用户创建时设置AccessKey |
iam |
访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不能登录控制台。 |
对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” |
用户可以根据规则评估结果删除或停用访问密钥。 |
iam-user-group-membership-check |
IAM用户归属用户组 |
iam |
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 |
IAM用户不属于任意一个IAM用户组,视为“不合规” |
可以选择一个用户组,以管理员的身份,将不合规的IAM用户添加到用户组中。 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 |
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账户被盗用的事件。 |
IAM用户未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
iam-user-single-access-key |
IAM用户单访问密钥 |
iam |
账号和IAM用户的访问密钥是单独的身份凭证,即账号和IAM用户仅能使用自己的访问密钥进行API调用。 |
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” |
用户可以根据规则评估结果删除或停用多余的访问密钥。 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
iam |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA,您可以减少账户被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
mrs-cluster-kerberos-enabled |
MRS集群开启kerberos认证 |
mrs |
MRS 1.8.0版本之前未开启Kerberos认证的集群不支持访问权限细分。只有开启Kerberos认证才有角色管理权限,MRS 1.8.0及之后版本的所有集群均拥有角色管理权限。 |
MRS集群未开启kerberos认证,视为“不合规” |
MRS服务暂不支持集群创建完成后手动开启和关闭Kerberos服务,如需更换Kerberos认证状态,建议重新创建MRS集群,然后进行数据迁移。 |
mrs-cluster-no-public-ip |
MRS集群未绑定公网IP |
mrs |
确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账户需要访问控制。 |
MRS集群绑定公网IP,视为“不合规” |
对于不合规的MRS资源,用户可以解除其与弹性公网IP的绑定。 |
private-nat-gateway-authorized-vpc-only |
NAT私网网关绑定指定VPC资源 |
nat |
确保NAT私网网关仅连接到授权的虚拟私有云(VPC)中,管理对华为云中资源的访问。 |
NAT私网网关未与指定的VPC资源绑定,视为“不合规” |
用户可以修改NAT私网网关关联的子网。 |
rds-instance-multi-az-support |
RDS实例支持多可用区 |
rds |
华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云 RDS 会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。 |
RDS实例仅支持一个可用区,视为“不合规” |
华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。 |
rds-instance-no-public-ip |
RDS实例不具有公网IP |
rds |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 |
RDS资源具有公网IP,视为“不合规” |
对于不合规的RDS资源,用户可以解除其与弹性公网IP的绑定。 |
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 |
根账号未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
ecs |
启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数,确保弹性云服务器(ECS)未闲置。 |
关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” |
包年/包月资源一次性付费,到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费,请删除实例。 |
volume-unused-check |
云硬盘闲置检测 |
evs |
云硬盘可以挂载至云服务器,用作提供系统盘和数据盘。此规则可以确保云硬盘(EVS)未闲置。 |
云硬盘未挂载给任何云服务器,视为“不合规” |
对非合规的EVS资源,用户可以在云硬盘页面或在弹性云服务器页面,将其挂载到云服务器上。 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
ecs,evs |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
已挂载的云硬盘未进行加密,视为“不合规” |
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。 |
vpc-acl-unused-check |
未与子网关联的网络ACL |
vpc |
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联,实现对子网的防护。 |
检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” |
您可以将网络ACL关联至VPC子网,为子网内的资源提供安全防护。 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
您可以为不合规的VPC资源开启流日志记录,方式为:创建日志组、日志流之后,进入VPC流日志列表页面创建VPC流日志,按照提示配置参数。 |
