更新时间:2024-10-24 GMT+08:00
分享

适用于PCI-DSS的标准合规包

本文为您介绍适用于PCI-DSS的标准合规包的业务背景、应用场景,以及合规包中的默认规则。

业务背景

支付卡行业数据安全标准(PCI DSS)的制定旨在鼓励和增强支付卡账号的数据安全,并促进全球范围内广泛采用一致的数据安全措施。PCI DSS提供技术和运营基线,旨在保护账号数据的要求。虽然专门设计用于关注具有支付卡账号数据的环境,但PCI DSS还可用于防范威胁并保护支付生态系统中的其他元素。有关PCI DSS的更多信息,请参见PCI DSS: v3.2.1

应用场景

适用于PCI-DSS的标准合规包应用于需要满足支付卡行业数据安全标准的企业,帮助其满足相关的法律法规要求,但需要根据具体情况进行评估和实施。

免责条款

本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。

默认规则

此表中的建议项编号对应PCI DSS: v3.2.1中参考文档的章节编号,供您查阅参考。

表1 适用于适用于PCI-DSS的标准合规包默认规则说明

建议项编号

建议项说明

合规规则

指导说明

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

drs-data-guard-job-not-public

确保DRS实时灾备任务不能公开访问。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

drs-migration-job-not-public

确保DRS实时迁移任务不能公开访问。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

drs-synchronization-job-not-public

确保DRS实时同步任务不能公开访问。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

function-graph-inside-vpc

确保函数工作流(FunctionGraph)的所有流量都安全地位于虚拟私有云(VPC)中。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

function-graph-public-access-prohibited

确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

mrs-cluster-no-public-ip

确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

1.3

禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。

2.1

在网络上安装系统之前,请务必更改供应商提供的默认值,并删除或禁用不必要的默认账号。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点(POS)终端、支付应用程序、简单网络管理协议(SNMP)社区字符串等使用的密码。

root-account-mfa-enabled

确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

2.1

在网络上安装系统之前,请务必更改供应商提供的默认值,并删除或禁用不必要的默认账号。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点(POS)终端、支付应用程序、简单网络管理协议(SNMP)社区字符串等使用的密码。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

access-keys-rotated

确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

access-keys-rotated

确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

cts-kms-encrypted-check

确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

cts-lts-enable

确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

cts-obs-bucket-track

确保存在至少一个CTS追踪器追踪指定的OBS桶。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

cts-support-validate-check

确保云审计服务(CTS)追踪器已打开事件文件校验,以避免日志文件存储后被修改、删除。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

ecs-in-allowed-security-groups

安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后,即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组,保证安全组的性能。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

ecs-multiple-public-ip-check

此规则检查您的ECS实例是否具有多个弹性公网IP。拥有多个弹性公网IP可能会增加网络安全的复杂性。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

iam-policy-no-statements-with-admin-access

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

iam-root-access-key-check

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

iam-user-group-membership-check

确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

kms-rotation-enabled

确保数据加密服务(KMS)密钥启用密钥轮换。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

mfa-enabled-for-iam-console-access

确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

root-account-mfa-enabled

确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

volumes-encrypted-check

由于敏感数据可能存在并帮助保护静态数据,因此请确保为华为云ElasticVolumeService(华为云EVS)卷启用加密。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

vpc-flow-logs-enabled

VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

2.2

为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于:互联网安全中心(CIS)国际标准化组织(ISO)SysAdmin审计网络安全(SANS)研究所美国国家标准技术研究院(NIST)。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(23)端口时认为不合规,确保对服务器的远程访问安全性。

2.3

使用强加密技术对所有非控制台管理访问进行加密。

apig-instances-ssl-enabled

确保使用SSL证书配置华为云API Gateway REST API阶段,以允许后端系统对来自API Gateway的请求进行身份验证。

2.3

使用强加密技术对所有非控制台管理访问进行加密。

css-cluster-https-required

开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。

2.3

使用强加密技术对所有非控制台管理访问进行加密。

dws-enable-ssl

确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在,因此在传输过程中启用加密以帮助保护该数据。

2.3

使用强加密技术对所有非控制台管理访问进行加密。

elb-tls-https-listeners-only

确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。

2.4

维护PCIDSS范围内的系统组件清单。

ecs-in-allowed-security-groups

安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后,即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组,保证安全组的性能。

2.4

维护PCIDSS范围内的系统组件清单。

eip-unbound-check

确保弹性公网IP未闲置。

2.4

维护PCIDSS范围内的系统组件清单。

eip-use-in-specified-days

确保弹性公网IP未闲置。

2.4

维护PCIDSS范围内的系统组件清单。

vpc-acl-unused-check

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联,实现对子网的防护。

3.4

使用以下任一方法使PAN在存储的任何位置(包括便携式数字媒体、备份媒体和日志中)都不可读:基于强加密的单向哈希,(哈希必须是整个PAN的哈希)截断(哈希不能用于替换PAN的截断段)索引令牌和垫子(垫子必须安全存放)具有相关密钥管理流程和程序的强加密技术。注意:如果恶意个人可以访问PAN的截断版本和散列版本,则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本,则必须实施其他控制措施,以确保哈希和截断版本无法关联以重建原始PAN。

cts-kms-encrypted-check

确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。

3.4

使用以下任一方法使PAN在存储的任何位置(包括便携式数字媒体、备份媒体和日志中)都不可读:基于强加密的单向哈希,(哈希必须是整个PAN的哈希)截断(哈希不能用于替换PAN的截断段)索引令牌和垫子(垫子必须安全存放)具有相关密钥管理流程和程序的强加密技术。注意:如果恶意个人可以访问PAN的截断版本和散列版本,则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本,则必须实施其他控制措施,以确保哈希和截断版本无法关联以重建原始PAN。

rds-instances-enable-kms

为了帮助保护静态数据,请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中,因此启用静态加密有助于保护该数据。

3.4

使用以下任一方法使PAN在存储的任何位置(包括便携式数字媒体、备份媒体和日志中)都不可读:基于强加密的单向哈希,(哈希必须是整个PAN的哈希)截断(哈希不能用于替换PAN的截断段)索引令牌和垫子(垫子必须安全存放)具有相关密钥管理流程和程序的强加密技术。注意:如果恶意个人可以访问PAN的截断版本和散列版本,则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本,则必须实施其他控制措施,以确保哈希和截断版本无法关联以重建原始PAN。

sfsturbo-encrypted-check

由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务(SFSTurbo)已通过KMS进行加密。

3.4

使用以下任一方法使PAN在存储的任何位置(包括便携式数字媒体、备份媒体和日志中)都不可读:基于强加密的单向哈希,(哈希必须是整个PAN的哈希)截断(哈希不能用于替换PAN的截断段)索引令牌和垫子(垫子必须安全存放)具有相关密钥管理流程和程序的强加密技术。注意:如果恶意个人可以访问PAN的截断版本和散列版本,则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本,则必须实施其他控制措施,以确保哈希和截断版本无法关联以重建原始PAN。

volumes-encrypted-check

由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

apig-instances-ssl-enabled

确保使用SSL证书配置华为云API Gateway REST API阶段,以允许后端系统对来自API Gateway的请求进行身份验证。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

css-cluster-disk-encryption-check

确保CSS集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

css-cluster-disk-encryption-check

确保CSS集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

css-cluster-https-required

开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

dws-enable-ssl

确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在,因此在传输过程中启用加密以帮助保护该数据。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

elb-tls-https-listeners-only

确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

pca-certificate-authority-expiration-check

华为云云证书管理服务提供有PCA服务,可以帮助您通过简单的可视化操作,以低投入的方式创建企业内部CA并使用它签发证书。确保用户明确该私有CA的过期时间。此规则需要daysToExpiration(默认值14)。实际值应反映组织的策略。

4.1

使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据,包括:仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于:互联网无线技术,包括802.11和蓝牙蜂窝技术,例如全球移动通信系统(GSM)、码分多址(CDMA)通用分组无线业务(GPRS)卫星通信

pca-certificate-expiration-check

PCA是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作,建立用户自己完整的CA层次体系并使用它签发证书。确保用户明确该私有证书的过期时间。此规则需要daysToExpiration(默认值14)。实际值应反映组织的策略。

6.2

通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意:应根据要求6.1中定义的风险排序过程来识别关键安全补丁。

cce-cluster-end-of-maintenance-version

确保CCE集群版本为处于维护中的版本。

6.2

通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意:应根据要求6.1中定义的风险排序过程来识别关键安全补丁。

cce-cluster-oldest-supported-version

系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题,华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理,请更新您服务的独立任务以使用最新的平台版本。

10.1

实施审计跟踪,将对系统组件的所有访问链接到每个用户。

apig-instances-execution-logging-enabled

确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。

10.1

实施审计跟踪,将对系统组件的所有访问链接到每个用户。

cts-obs-bucket-track

确保存在至少一个CTS追踪器追踪指定的OBS桶。

10.1

实施审计跟踪,将对系统组件的所有访问链接到每个用户。

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.1

实施审计跟踪,将对系统组件的所有访问链接到每个用户。

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.1

实施审计跟踪,将对系统组件的所有访问链接到每个用户。

vpc-flow-logs-enabled

VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

10.5

保护审计跟踪,使其无法更改。

cts-kms-encrypted-check

确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。

11.5

部署更改检测机制(例如,文件完整性监控工具),以提醒人员注意对关键系统文件、配置文件或内容文件的未经授权的修改(包括更改、添加和删除);并将软件配置为至少每周执行一次关键文件比较。

cts-support-validate-check

确保云审计服务(CTS)追踪器已打开事件文件校验,以避免日志文件存储后被修改、删除。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

drs-data-guard-job-not-public

确保DRS实时灾备任务不能公开访问。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

drs-migration-job-not-public

确保DRS实时迁移任务不能公开访问。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

drs-synchronization-job-not-public

确保DRS实时同步任务不能公开访问。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

function-graph-inside-vpc

确保函数工作流(FunctionGraph)的所有流量都安全地位于虚拟私有云(VPC)中。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

function-graph-public-access-prohibited

确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

mrs-cluster-no-public-ip

确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

1.2.1

将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(24)端口时认为不合规,确保对服务器的远程访问安全性。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

drs-data-guard-job-not-public

确保DRS实时灾备任务不能公开访问。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

drs-migration-job-not-public

确保DRS实时迁移任务不能公开访问。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

drs-synchronization-job-not-public

确保DRS实时同步任务不能公开访问。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

function-graph-inside-vpc

确保函数工作流(FunctionGraph)的所有流量都安全地位于虚拟私有云(VPC)中。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

function-graph-public-access-prohibited

确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

mrs-cluster-no-public-ip

确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

1.3.1

实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(25)端口时认为不合规,确保对服务器的远程访问安全性。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

drs-data-guard-job-not-public

确保DRS实时灾备任务不能公开访问。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

drs-migration-job-not-public

确保DRS实时迁移任务不能公开访问。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

drs-synchronization-job-not-public

确保DRS实时同步任务不能公开访问。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

function-graph-inside-vpc

确保函数工作流(FunctionGraph)的所有流量都安全地位于虚拟私有云(VPC)中。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

function-graph-public-access-prohibited

确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

mrs-cluster-no-public-ip

确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

1.3.2

将入站Internet流量限制为DMZ内的IP地址。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(26)端口时认为不合规,确保对服务器的远程访问安全性。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

drs-data-guard-job-not-public

确保DRS实时灾备任务不能公开访问。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

drs-migration-job-not-public

确保DRS实时迁移任务不能公开访问。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

drs-synchronization-job-not-public

确保DRS实时同步任务不能公开访问。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

function-graph-inside-vpc

确保函数工作流(FunctionGraph)的所有流量都安全地位于虚拟私有云(VPC)中。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

function-graph-public-access-prohibited

确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

mrs-cluster-no-public-ip

确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

1.3.4

不允许未经授权的出站流量从持卡人数据环境到Internet。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(27)端口时认为不合规,确保对服务器的远程访问安全性。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

css-cluster-in-vpc

确保云搜索服务(CSS)位于虚拟私有云(VPC)中。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

drs-data-guard-job-not-public

确保DRS实时灾备任务不能公开访问。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

drs-migration-job-not-public

确保DRS实时迁移任务不能公开访问。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

drs-synchronization-job-not-public

确保DRS实时同步任务不能公开访问。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

1.3.6

将存储持卡人数据(如数据库)的系统组件放置在内部网络区域中,与DMZ和其他不受信任的网络隔离。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(28)端口时认为不合规,确保对服务器的远程访问安全性。

10.2.1

对所有系统组件实施自动审计跟踪,以重建以下事件:所有个人用户访问持卡人数据

apig-instances-execution-logging-enabled

确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。

10.2.1

对所有系统组件实施自动审计跟踪,以重建以下事件:所有个人用户访问持卡人数据

cts-obs-bucket-track

确保存在至少一个CTS追踪器追踪指定的OBS桶。

10.2.1

对所有系统组件实施自动审计跟踪,以重建以下事件:所有个人用户访问持卡人数据

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.2.1

对所有系统组件实施自动审计跟踪,以重建以下事件:所有个人用户访问持卡人数据

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.2.2

对所有系统组件实施自动审计跟踪,以重建以下事件:任何具有root或管理权限的个人执行的所有操作

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.2.2

对所有系统组件实施自动审计跟踪,以重建以下事件:任何具有root或管理权限的个人执行的所有操作

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.2.3

为所有系统组件实施自动审计跟踪,以重建以下事件:访问所有审计跟踪

cts-obs-bucket-track

确保存在至少一个CTS追踪器追踪指定的OBS桶。

10.2.3

为所有系统组件实施自动审计跟踪,以重建以下事件:访问所有审计跟踪

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.2.3

为所有系统组件实施自动审计跟踪,以重建以下事件:访问所有审计跟踪

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.2.4

对所有系统组件实施自动审计跟踪,以重建以下事件:无效的逻辑访问尝试

apig-instances-execution-logging-enabled

确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。

10.2.4

对所有系统组件实施自动审计跟踪,以重建以下事件:无效的逻辑访问尝试

cts-obs-bucket-track

确保存在至少一个CTS追踪器追踪指定的OBS桶。

10.2.4

对所有系统组件实施自动审计跟踪,以重建以下事件:无效的逻辑访问尝试

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.2.4

对所有系统组件实施自动审计跟踪,以重建以下事件:无效的逻辑访问尝试

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.2.5

对所有系统组件实施自动审计跟踪,以重建以下事件:识别和身份验证机制的使用和更改(包括但不限于创建新账号和提升权限),以及对具有根权限或管理权限的账号的所有更改、添加或删除

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.2.5

对所有系统组件实施自动审计跟踪,以重建以下事件:识别和身份验证机制的使用和更改(包括但不限于创建新账号和提升权限),以及对具有根权限或管理权限的账号的所有更改、添加或删除

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.2.6

对所有系统组件实施自动审计跟踪,以重建以下事件:初始化、停止或暂停审核日志

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.2.6

对所有系统组件实施自动审计跟踪,以重建以下事件:初始化、停止或暂停审核日志

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.2.7

对所有系统组件实施自动审计跟踪,以重建以下事件:创建和删除系统级对象

apig-instances-execution-logging-enabled

确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。

10.2.7

对所有系统组件实施自动审计跟踪,以重建以下事件:创建和删除系统级对象

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.2.7

对所有系统组件实施自动审计跟踪,以重建以下事件:创建和删除系统级对象

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.3.1

对于每个事件,至少记录所有系统组件的以下审计跟踪条目:用户识别

apig-instances-execution-logging-enabled

确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。

10.3.1

对于每个事件,至少记录所有系统组件的以下审计跟踪条目:用户识别

cts-obs-bucket-track

确保存在至少一个CTS追踪器追踪指定的OBS桶。

10.3.1

对于每个事件,至少记录所有系统组件的以下审计跟踪条目:用户识别

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

10.3.1

对于每个事件,至少记录所有系统组件的以下审计跟踪条目:用户识别

multi-region-cts-tracker-exists

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。

10.3.1

对于每个事件,至少记录所有系统组件的以下审计跟踪条目:用户识别

vpc-flow-logs-enabled

VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

10.5.2

保护审计跟踪文件免遭未经授权的修改。

cts-kms-encrypted-check

确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。

10.5.3

及时将审计跟踪文件备份到难以更改的集中式日志服务器或介质。

cts-lts-enable

确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。

10.5.5

对日志使用文件完整性监视或更改检测软件,以确保在不生成警报的情况下无法更改现有日志数据(尽管添加新数据不应引起警报)。

cts-support-validate-check

确保云审计服务(CTS)追踪器已打开事件文件校验,以避免日志文件存储后被修改、删除。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

drs-data-guard-job-not-public

确保DRS实时灾备任务不能公开访问。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

drs-migration-job-not-public

确保DRS实时迁移任务不能公开访问。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

drs-synchronization-job-not-public

确保DRS实时同步任务不能公开访问。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

ecs-instance-no-public-ip

由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

function-graph-inside-vpc

确保函数工作流(FunctionGraph)的所有流量都安全地位于虚拟私有云(VPC)中。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

function-graph-public-access-prohibited

确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

mrs-cluster-no-public-ip

确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

vpc-default-sg-closed

确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

vpc-sg-ports-check

确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

vpc-sg-restricted-common-ports

在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。

2.2.2

仅启用系统功能所需的必要服务、协议、守护程序等。

vpc-sg-restricted-ssh

当外部任意IP可以访问安全组内云服务器的SSH(29)端口时认为不合规,确保对服务器的远程访问安全性。

3.5.2

将对加密密钥的访问限制为所需的最少保管人数量。

iam-customer-policy-blocked-kms-actions

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。

3.6.4

已达到其加密期结束的密钥的加密密钥更改(例如,在定义的时间段过去后和/或给定密钥生成一定数量的密文之后),由关联的应用程序供应商或密钥所有者定义,并基于行业最佳实践和准则(例如,NIST特别出版物800-57)。

kms-rotation-enabled

确保数据加密服务(KMS)密钥启用密钥轮换。

3.6.5

当密钥的完整性被削弱(例如,知道明文密钥组件的员工离职)或怀疑密钥被泄露时,必要时停用或替换密钥(例如,存档、销毁和/或吊销)。注意:如果需要保留已停用或替换的加密密钥,则必须安全地存档这些密钥(例如,使用密钥加密密钥)。存档的加密密钥只能用于解密/验证目的。

kms-not-scheduled-for-deletion

确保数据加密服务(KMS)密钥未处于“计划删除“状态,以防止误删除密钥。

3.6.7

防止未经授权替换加密密钥。

kms-not-scheduled-for-deletion

确保数据加密服务(KMS)密钥未处于“计划删除“状态,以防止误删除密钥。

7.1.1

定义每个角色的访问需求,包括:每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别(例如,用户、管理员等)。

iam-customer-policy-blocked-kms-actions

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。

7.1.1

定义每个角色的访问需求,包括:每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别(例如,用户、管理员等)。

iam-group-has-users-check

确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。

7.1.1

定义每个角色的访问需求,包括:每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别(例如,用户、管理员等)。

iam-policy-no-statements-with-admin-access

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.1.1

定义每个角色的访问需求,包括:每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别(例如,用户、管理员等)。

iam-role-has-all-permissions

确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。

7.1.1

定义每个角色的访问需求,包括:每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别(例如,用户、管理员等)。

iam-root-access-key-check

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.1.1

定义每个角色的访问需求,包括:每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别(例如,用户、管理员等)。

iam-user-group-membership-check

确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。

7.1.1

定义每个角色的访问需求,包括:每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别(例如,用户、管理员等)。

mrs-cluster-kerberos-enabled

通过为华为云MRS集群启用Kerberos,可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。

7.1.2

将对特权用户ID的访问限制为执行工作职责所需的最低权限。

iam-customer-policy-blocked-kms-actions

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。

7.1.2

将对特权用户ID的访问限制为执行工作职责所需的最低权限。

iam-group-has-users-check

确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。

7.1.2

将对特权用户ID的访问限制为执行工作职责所需的最低权限。

iam-policy-no-statements-with-admin-access

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.1.2

将对特权用户ID的访问限制为执行工作职责所需的最低权限。

iam-role-has-all-permissions

确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。

7.1.2

将对特权用户ID的访问限制为执行工作职责所需的最低权限。

iam-root-access-key-check

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.1.2

将对特权用户ID的访问限制为执行工作职责所需的最低权限。

iam-user-group-membership-check

确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。

7.2.1

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:覆盖所有系统组件

iam-customer-policy-blocked-kms-actions

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。

7.2.1

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:覆盖所有系统组件

iam-group-has-users-check

确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。

7.2.1

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:覆盖所有系统组件

iam-policy-no-statements-with-admin-access

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.2.1

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:覆盖所有系统组件

iam-role-has-all-permissions

确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。

7.2.1

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:覆盖所有系统组件

iam-root-access-key-check

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.2.1

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:覆盖所有系统组件

iam-user-group-membership-check

确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。

7.2.1

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:覆盖所有系统组件

mrs-cluster-kerberos-enabled

通过为华为云MRS集群启用Kerberos,可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。

7.2.2

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:根据工作分类和职能向个人分配权限。

iam-customer-policy-blocked-kms-actions

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。

7.2.2

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:根据工作分类和职能向个人分配权限。

iam-group-has-users-check

确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。

7.2.2

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:根据工作分类和职能向个人分配权限。

iam-policy-no-statements-with-admin-access

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.2.2

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:根据工作分类和职能向个人分配权限。

iam-role-has-all-permissions

确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。

7.2.2

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:根据工作分类和职能向个人分配权限。

iam-root-access-key-check

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

7.2.2

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:根据工作分类和职能向个人分配权限。

iam-user-group-membership-check

确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。

7.2.2

为系统组件建立访问控制系统,该系统根据用户的需要限制访问,除非特别允许,否则设置为“全部拒绝”。此门禁系统必须包括以下内容:根据工作分类和职能向个人分配权限。

mrs-cluster-kerberos-enabled

通过为华为云MRS集群启用Kerberos,可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。

8.1.1

在允许所有用户访问系统组件或持卡人数据之前,为所有用户分配一个唯一的ID。

iam-root-access-key-check

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

8.1.4

在90天内删除/禁用非活动用户账号。

access-keys-rotated

确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。

8.2.1

使用强加密技术,使所有身份验证凭据(如密码/短语)在所有系统组件的传输和存储过程中不可读。

apig-instances-ssl-enabled

确保使用SSL证书配置华为云API Gateway REST API阶段,以允许后端系统对来自API Gateway的请求进行身份验证。

8.2.1

使用强加密技术,使所有身份验证凭据(如密码/短语)在所有系统组件的传输和存储过程中不可读。

elb-tls-https-listeners-only

确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。

8.2.1

使用强加密技术,使所有身份验证凭据(如密码/短语)在所有系统组件的传输和存储过程中不可读。

rds-instances-enable-kms

为了帮助保护静态数据,请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中,因此启用静态加密有助于保护该数据。

8.2.1

使用强加密技术,使所有身份验证凭据(如密码/短语)在所有系统组件的传输和存储过程中不可读。

sfsturbo-encrypted-check

由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务(SFSTurbo)已通过KMS进行加密。

8.2.1

使用强加密技术,使所有身份验证凭据(如密码/短语)在所有系统组件的传输和存储过程中不可读。

volumes-encrypted-check

由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。

8.2.3

密码/密码必须满足以下条件:要求最小长度至少为7个字符。包含数字和字母字符。或者,密码/密码短语的复杂性和强度必须至少与上述指定的参数相当。

iam-password-policy

确保IAM用户密码强度满足密码强度要求。

8.2.4

至少每90天更改一次用户密码/密码。

access-keys-rotated

确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。

8.2.4

至少每90天更改一次用户密码/密码。

access-keys-rotated

确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。

8.2.4

至少每90天更改一次用户密码/密码。

iam-password-policy

确保IAM用户密码强度满足密码强度要求。

8.2.5

不要允许个人提交与他或她使用的最后四个密码/密码中的任何一个相同的新密码/密码。

iam-password-policy

确保IAM用户密码强度满足密码强度要求。

8.3.1

将所有非控制台访问的多重身份验证合并到CDE中,供具有管理访问权限的人员使用。

iam-user-mfa-enabled

确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。

8.3.1

将所有非控制台访问的多重身份验证合并到CDE中,供具有管理访问权限的人员使用。

mfa-enabled-for-iam-console-access

确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。

8.3.1

将所有非控制台访问的多重身份验证合并到CDE中,供具有管理访问权限的人员使用。

root-account-mfa-enabled

确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

8.3.2

对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)进行多重身份验证。

iam-user-mfa-enabled

确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。

8.3.2

对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)进行多重身份验证。

mfa-enabled-for-iam-console-access

确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。

8.3.2

对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)进行多重身份验证。

root-account-mfa-enabled

确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

相关文档