适用于弹性云服务器(ECS)的最佳实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
---|---|---|---|---|---|
ecs-instance-key-pair-login |
ECS资源配置秘钥对 |
ecs |
密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账号密码泄露,从而提高Linux云服务器的安全性。 |
ECS未配置秘钥对,视为“不合规” |
您可以使用已有密钥对或新建一个密钥对,用于远程登录身份验证。 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
ECS资源具有公网IP,视为“不合规” |
您可以登录弹性云服务器页面,在弹性云服务器列表中,在待调整带宽的弹性云服务器操作列下,单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”,将不合规的ECS资源解除弹性公网绑定。 |
ecs-multiple-public-ip-check |
检查ECS资源是否具有多个公网IP |
ecs |
此规则检查您的华为云ECS实例是否具有多个公网IP。拥有多个公网IP可能会增加网络安全的复杂性。 |
ECS资源具有多个公网IP,视为“不合规” |
当云服务器拥有多张网卡时,如果需要配置多个弹性公网IP,此时需要在云服务器内部为这些网卡配置策略路由,才可以确保多张网卡均可以和外部正常通信。 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
ecs |
启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数,确保弹性云服务器(ECS)未闲置。 |
关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” |
包年/包月资源一次性付费,到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费,请删除实例。 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
ecs,evs |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
已挂载的云硬盘未进行加密,视为“不合规” |
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。 |