适用于SWIFT CSP的标准合规包
本文为您介绍适用于SWIFT CSP的标准合规包的业务背景以及合规包中的默认规则。
业务背景
SWIFT CSP是SWIFT公司推出的一种云安全解决方案,旨在为金融机构提供更加安全、可靠的SWIFT交易网络服务。有关SWIFT CSP的更多信息,请参见SWFIT官网https://www.swift.com/。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应https://www.swift.com/中参考文档的章节编号,供您查阅参考。
|
建议项编号 |
合规规则 |
指导 |
|---|---|---|
|
1.1 |
ecs-instance-no-public-ip |
由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 |
|
1.1 |
ecs-instance-in-vpc |
确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 |
|
1.1 |
vpc-default-sg-closed |
确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 |
|
1.1 |
vpc-acl-unused-check |
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联,实现对子网的防护。 |
|
1.1 |
vpc-sg-ports-check |
确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 |
|
1.2 |
iam-customer-policy-blocked-kms-actions |
帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 |
|
1.2 |
iam-group-has-users-check |
确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 |
|
1.2 |
vpc-sg-restricted-ssh |
当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 |
|
1.2 |
smn-lts-enable |
确保为指定SMN主题绑定一个云日志,用于记录主题消息发送状态等信息。 |
|
1.4 |
private-nat-gateway-authorized-vpc-only |
确保NAT私网网关仅连接到授权的虚拟私有云中,管理对华为云中资源的访问。 |
|
1.4 |
vpc-sg-restricted-common-ports |
在华为云VPC安全组上限制通用端口的ip地址,确保对安全组内资源实例的访问。 |
|
1.4 |
function-graph-public-access-prohibited |
确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 |
|
2.3 |
ecs-multiple-public-ip-check |
此规则检查您的ECS实例是否具有多个公网IP。拥有多个弹性公网IP可能会增加网络安全的复杂性。 |
|
2.3 |
volume-unused-check |
确保云硬盘未闲置。 |
|
2.3 |
kms-not-scheduled-for-deletion |
确保数据加密服务密钥未处于“计划删除”状态,以防止误删除密钥。 |
|
2.5A |
sfsturbo-encrypted-check |
由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务已通过KMS进行加密。 |
|
2.5A |
volumes-encrypted-check |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
|
4.1 |
iam-password-policy |
确保IAM用户密码强度满足密码强度要求。 |
|
4.1 |
access-keys-rotated |
确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。 |
|
4.2 |
iam-user-mfa-enabled |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
|
4.2 |
mfa-enabled-for-iam-console-access |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
|
4.2 |
root-account-mfa-enabled |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 |
|
5.1 |
iam-role-has-all-permissions |
确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 |
|
5.1 |
iam-root-access-key-check |
确保根访问密钥已删除。 |
|
5.1 |
iam-user-group-membership-check |
确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。 |
|
6.4 |
cts-lts-enable |
确保使用云日志服务集中收集云审计服务的数据。 |
|
6.4 |
cts-tracker-exists |
确保账号已经创建了CTS追踪器,云审计服务用于记录华为云管理控制台操作。 |
|
6.4 |
multi-region-cts-tracker-exists |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 |
|
6.4 |
cts-kms-encrypted-check |
确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 |
|
6.4 |
cts-support-validate-check |
确保云审计服务追踪器已打开事件文件校验,以避免日志文件存储后被修改、删除。 |
|
6.4 |
stopped-ecs-date-diff |
启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数,确保弹性云服务器未闲置。 |
|
6.4 |
vpc-flow-logs-enabled |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
