适用于管理与监管服务的最佳实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
|---|---|---|---|---|---|
alarm-action-enabled-check |
启用了CES告警操作 |
ces |
确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则,当监控指标触发用户设置的告警条件时,云监控服务使用消息通知服务向用户通知告警信息。 |
CES告警操作未启用,视为“不合规” |
您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者,然后在添加告警规则的时候,您需要开启消息通知服务并选择创建的主题,这样在云服务发生异常时,云监控服务可以实时的将告警信息以广播的方式通知这些订阅者。 |
alarm-kms-disable-or-delete-key |
CES配置监控KMS禁用或计划删除的事件监控告警 |
ces,kms |
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持密钥管理服务(KMS)的相关事件,包含禁用密钥和计划删除密钥等。 |
CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” |
用户可以在事件监控中创建告警规则,选择对应的监控对象,配置告警内容参数。 |
alarm-obs-bucket-policy-change |
CES配置监控OBS桶策略变更的事件监控告警 |
ces,obs |
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持对象存储服务(OBS)的相关事件,包含设置桶的策略和删除桶policy配置等。 |
CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规” |
用户可以在事件监控中创建告警规则,选择对应的监控对象,配置告警内容参数。 |
alarm-vpc-change |
CES配置监控VPC变更的事件监控告警 |
ces,vpc |
事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务,并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持弹性公网IP和带宽的相关事件,包含删除VPC和修改VPC等。 |
CES未配置监控VPC变更的事件监控告警,视为“不合规” |
用户可以在事件监控中创建告警规则,选择对应的监控对象,配置告警内容参数。 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
cts |
确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。 |
CTS追踪器未通过KMS进行加密,视为“不合规” |
建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 |
cts-lts-enable |
CTS追踪器启用事件分析 |
cts |
确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。 |
CTS追踪器未启用事件分析,视为“不合规” |
开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流 |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
cts |
在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 |
CTS追踪器未打开事件文件校验,视为“不合规” |
在配置转储页面打开“文件校验”开关,即可开启事件文件完整性校验功能。 |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 |
账号未创建CTS追踪器,视为“不合规” |
可进入云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
tracker-config-enabled-check |
账号开启资源记录器 |
config |
资源记录器为您提供面向资源的配置记录监控能力,您必须先开启资源记录器,然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。 |
如果账号未开启资源记录器,视为“不合规” |
用户可以进入Config页面,打开资源记录器开关,根据提示选择相关配置,单击保存。 |
