华为云网络安全合规实践
该示例模板中对应的合规规则的说明如下表所示:
|
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
|---|---|---|---|
|
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
iam |
IAM用户的访问密钥未在指定天数内轮转,视为“不合规” |
|
alarm-kms-disable-or-delete-key |
CES配置监控KMS禁用或计划删除密钥的事件监控告警 |
ces, kms |
CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” |
|
alarm-obs-bucket-policy-change |
CES配置监控OBS桶策略变更的事件监控告警 |
ces, obs |
CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规” |
|
alarm-vpc-change |
CES配置监控VPC变更的事件监控告警 |
ces, vpc |
CES未配置监控VPC变更的事件监控告警,视为“不合规” |
|
css-cluster-https-required |
CSS集群启用HTTPS |
css |
CSS集群未启用https,视为“不合规” |
|
css-cluster-in-vpc |
CSS集群绑定指定VPC资源 |
css |
CSS集群未与指定的vpc资源绑定,视为“不合规” |
|
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
cts |
CTS追踪器未通过KMS进行加密,视为“不合规” |
|
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
CTS追踪器未转储到LTS,视为“不合规” |
|
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
|
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
cts |
CTS追踪器未打开事件文件校验,视为“不合规” |
|
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
账号未创建并启用CTS追踪器,视为“不合规” |
|
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
ecs, vpc |
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
|
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
ECS资源具有弹性公网IP,视为“不合规” |
|
eip-unbound-check |
弹性公网IP未进行任何绑定 |
vpc |
弹性公网IP未进行任何绑定,视为“不合规” |
|
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
|
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
iam |
IAM用户组未添加任意IAM用户,视为“不合规” |
|
iam-password-policy |
IAM用户密码策略符合要求 |
iam |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
|
iam-root-access-key-check |
根用户存在可使用的访问密钥 |
iam |
根用户存在可使用的访问密钥,视为“不合规” |
|
iam-user-console-and-api-access-at-creation |
IAM用户创建时设置AccessKey |
iam |
对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” |
|
iam-user-group-membership-check |
IAM用户归属指定用户组 |
iam |
IAM用户不属于指定IAM用户组,视为“不合规” |
|
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
|
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
IAM用户未开启MFA认证,视为“不合规” |
|
iam-user-single-access-key |
IAM用户单访问密钥 |
iam |
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” |
|
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
iam |
通过console密码登录的IAM用户未开启MFA认证,视为“不合规” |
|
mrs-cluster-kerberos-enabled |
MRS集群开启kerberos认证 |
mrs |
MRS集群未开启kerberos认证,视为“不合规” |
|
mrs-cluster-no-public-ip |
MRS集群未绑定弹性公网IP |
mrs |
MRS集群绑定弹性公网IP,视为“不合规” |
|
private-nat-gateway-authorized-vpc-only |
NAT私网网关绑定指定VPC资源 |
nat |
NAT私网网关未与指定的VPC资源绑定,视为“不合规” |
|
rds-instance-multi-az-support |
RDS实例支持多可用区 |
rds |
RDS实例仅支持一个可用区,视为“不合规” |
|
rds-instance-no-public-ip |
RDS实例不具有弹性公网IP |
rds |
RDS资源具有弹性公网IP,视为“不合规” |
|
root-account-mfa-enabled |
根用户开启MFA认证 |
iam |
根用户未开启MFA认证,视为“不合规” |
|
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
ecs |
关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” |
|
volume-unused-check |
云硬盘闲置检测 |
evs |
云硬盘未挂载给任何云服务器,视为“不合规” |
|
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
ecs, evs |
已挂载的云硬盘未进行加密,视为“不合规” |
|
vpn-connections-active |
VPN连接状态为“正常” |
vpnaas |
VPN连接状态不为“正常”,视为“不合规” |
|
bms-key-pair-security-login |
BMS资源使用密钥对登录 |
bms |
裸金属服务器未启用密钥对安全登录,视为“不合规” |
|
cbr-backup-encrypted-check |
CBR备份被加密 |
cbr |
CBR服务的备份未被加密,视为“不合规” |
|
cfw-policy-not-empty |
CFW防火墙配置防护策略 |
cfw |
CFW防火墙未配置防护策略,视为“不合规” |
|
csms-secrets-auto-rotation-enabled |
CSMS凭据启动自动轮转 |
csms |
CSMS凭据未启动自动轮转,视为“不合规” |
|
csms-secrets-rotation-success-check |
检查CSMS凭据轮转成功 |
csms |
CSMS凭据轮转失败,视为“不合规” |
|
csms-secrets-using-cmk |
CSMS凭据使用指定KMS |
csms |
CSMS凭据未使用指定的KMS,视为“不合规” |
