适用于自动驾驶场景的合规实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
---|---|---|---|---|---|
css-cluster-disk-encryption-check |
CSS集群开启磁盘加密 |
css |
确保CSS集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。 |
CSS集群未开启磁盘加密,视为“不合规” |
建议对磁盘进行加密。 |
css-cluster-https-required |
CSS集群启用HTTPS |
css |
开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 |
CSS集群未启用https,视为“不合规” |
仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书,用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。 |
css-cluster-no-public-zone |
CSS集群不能公网访问 |
css |
确保CSS集群不能公网访问。由于敏感数据可能存在,请将css集群关闭公网访问。 |
CSS集群开启公网访问,视为“不合规” |
您可以对已经创建集群的公网访问进行修改,查看,解绑。 |
css-cluster-security-mode-enable |
CSS集群开启安全模式 |
css |
集群支持选择是否开启安全模式,开启之后将对集群进行通讯加密和安全认证。 |
CSS集群未开启安全模式,视为“不合规” |
用户可以选择开启安全模式。开启后,管理员账户名默认为admin。设置并确认管理员密码。要记住设置的密码,后续访问集群需要输入密码。 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
cts |
确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。 |
CTS追踪器未通过KMS进行加密,视为“不合规” |
建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
cts |
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶。 |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
cts |
在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,而导致操作记录的真实性受到影响,无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 |
CTS追踪器未打开事件文件校验,视为“不合规” |
在配置转储页面打开“文件校验”开关,即可开启事件文件完整性校验功能。 |
cts-tracker-exists |
创建并启用CTS追踪器 |
cts |
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 |
账号未创建CTS追踪器,视为“不合规” |
可进入云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
dcs-redis-no-public-ip |
DCS Redis实例不存在公网IP |
dcs |
确保不可以通过公网访问redis资源。 |
dcs redis资源存在公网IP,视为“不合规” |
目前只有Redis 3.0版本密码模式的实例支持公网访问,用户可以选择关闭公网访问开关。 |
dcs-redis-password-access |
DCS Redis实例需要密码访问 |
dcs |
确保dcs redis资源需要密码访问。Redis实例支持密码模式和免密模式。Redis本身支持不设置密码,客户端可以直接连接Redis缓存服务并使用,但出于安全考虑,建议尽量选用密码模式,通过密码来鉴权验证,提升安全性。 |
dcs redis资源不需要密码访问,视为“不合规” |
若选用密码模式,您需要在创建实例时自定义密码。 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
ECS资源具有公网IP,视为“不合规” |
您可以登录弹性云服务器页面,在弹性云服务器列表中,在待调整带宽的弹性云服务器操作列下,单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”,将不合规的ECS资源解除弹性公网绑定。 |
elb-loadbalancers-no-public-ip |
ELB资源不具有公网IP |
elb |
确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。 |
ELB资源具有公网IP,视为“不合规” |
用户可以解除不合规资源的公网绑定。 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
elb |
确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” |
您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时,后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。如果您的独享型负载均衡实例类型为网络型(TCP/UDP),则无法创建HTTPS监听器。 |
iam-password-policy |
IAM用户密码策略符合要求 |
iam |
确保IAM用户密码强度满足密码强度要求。 |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
用户可以根据提示修改密码达到需要的密码强度。 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 |
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账户被盗用的事件。 |
IAM用户未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
rds-instance-no-public-ip |
RDS实例不具有公网IP |
rds |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 |
RDS资源具有公网IP,视为“不合规” |
对于不合规的RDS资源,用户可以解除其与弹性公网IP的绑定。 |
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 |
根账号未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
ecs,evs |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
已挂载的云硬盘未进行加密,视为“不合规” |
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。 |
vpc-flow-logs-enabled |
VPC启用流日志 |
vpc |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
您可以为不合规的VPC资源开启流日志记录,方式为:创建日志组、日志流之后,进入VPC流日志列表页面创建VPC流日志,按照提示配置参数。 |
vpc-sg-ports-check |
安全组端口检查 |
vpc |
确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 |
当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” |
用户可以修改不合规的安全组的规则。 |