适用于自动驾驶场景的合规实践

css-cluster-disk-encryption-check

CSS集群开启磁盘加密

css

确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。

CSS集群未开启磁盘加密，视为“不合规”

建议对磁盘进行加密。

css-cluster-https-required

CSS集群启用HTTPS

css

开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。

CSS集群未启用https，视为“不合规”

仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书，用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。

css-cluster-no-public-zone

CSS集群不能公网访问

css

确保CSS集群不能公网访问。由于敏感数据可能存在，请将css集群关闭公网访问。

CSS集群开启公网访问，视为“不合规”

您可以对已经创建集群的公网访问进行修改，查看，解绑。

css-cluster-security-mode-enable

CSS集群开启安全模式

css

集群支持选择是否开启安全模式，开启之后将对集群进行通讯加密和安全认证。

CSS集群未开启安全模式，视为“不合规”

用户可以选择开启安全模式。开启后，管理员账户名默认为admin。设置并确认管理员密码。要记住设置的密码，后续访问集群需要输入密码。

cts-kms-encrypted-check

CTS追踪器通过KMS进行加密

cts

确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。

CTS追踪器未通过KMS进行加密，视为“不合规”

建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。

cts-obs-bucket-track

CTS追踪器追踪指定的OBS桶

cts

由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。

账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规”

云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。

cts-support-validate-check

CTS追踪器打开事件文件校验

cts

在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。

CTS追踪器未打开事件文件校验，视为“不合规”

在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。

cts-tracker-exists

创建并启用CTS追踪器

cts

云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。

账号未创建CTS追踪器，视为“不合规”

可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。

dcs-redis-no-public-ip

DCS Redis实例不存在公网IP

dcs

确保不可以通过公网访问redis资源。

dcs redis资源存在公网IP，视为“不合规”

目前只有Redis 3.0版本密码模式的实例支持公网访问，用户可以选择关闭公网访问开关。

dcs-redis-password-access

DCS Redis实例需要密码访问

dcs

确保dcs redis资源需要密码访问。Redis实例支持密码模式和免密模式。Redis本身支持不设置密码，客户端可以直接连接Redis缓存服务并使用，但出于安全考虑，建议尽量选用密码模式，通过密码来鉴权验证，提升安全性。

dcs redis资源不需要密码访问，视为“不合规”

若选用密码模式，您需要在创建实例时自定义密码。

ecs-instance-no-public-ip

ECS资源不能公网访问

ecs

由于华为云ecs实例可能包含敏感信息，确保华为云ecs实例无法公开访问来管理对华为云的访问。

ECS资源具有公网IP，视为“不合规”

您可以登录弹性云服务器页面，在弹性云服务器列表中，在待调整带宽的弹性云服务器操作列下，单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”，将不合规的ECS资源解除弹性公网绑定。

elb-loadbalancers-no-public-ip

ELB资源不具有公网IP

elb

确保弹性负载均衡（ELB）无法公网访问，管理对华为云中资源的访问。

ELB资源具有公网IP，视为“不合规”

用户可以解除不合规资源的公网绑定。

elb-tls-https-listeners-only

ELB监听器配置HTTPS监听协议

elb

确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。

负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规”

您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时，后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时，后端协议默认为“HTTP”，且不支持修改。如果您的独享型负载均衡实例类型为网络型（TCP/UDP），则无法创建HTTPS监听器。

iam-password-policy

IAM用户密码策略符合要求

iam

确保IAM用户密码强度满足密码强度要求。

IAM用户密码强度不满足密码强度要求，视为“不合规”

用户可以根据提示修改密码达到需要的密码强度。

iam-user-last-login-check

IAM用户在指定时间内有登录行为

iam

管理员创建IAM用户后，这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。

IAM用户在指定时间范围内无登录行为，视为“不合规”

您可以在华为云登录页面或者打开IAM用户专属链接，输入用户名和密码的方式登录IAM用户。

iam-user-mfa-enabled

IAM用户开启MFA

iam

确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账户被盗用的事件。

IAM用户未开启MFA认证，视为“不合规”

您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。

rds-instance-no-public-ip

RDS实例不具有公网IP

rds

确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账户需要原则和访问控制。

RDS资源具有公网IP，视为“不合规”

对于不合规的RDS资源，用户可以解除其与弹性公网IP的绑定。

root-account-mfa-enabled

根账号开启MFA认证

iam

确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。多因素认证Multi-Factor Authentication（MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。

根账号未开启MFA认证，视为“不合规”

您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。

volumes-encrypted-check

已挂载的云硬盘开启加密

ecs，evs

由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。

已挂载的云硬盘未进行加密，视为“不合规”

当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您拥有“Security Administrator”权限，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS，然后再重新操作。

vpc-flow-logs-enabled

VPC启用流日志

vpc

VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规”

您可以为不合规的VPC资源开启流日志记录，方式为：创建日志组、日志流之后，进入VPC流日志列表页面创建VPC流日志，按照提示配置参数。

vpc-sg-ports-check

安全组端口检查

vpc

确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。

当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规”

用户可以修改不合规的安全组的规则。