适用于医疗行业的合规实践

apig-instances-execution-logging-enabled

APIG专享版实例配置访问日志

apig

确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。

APIG专享版实例未配置访问日志，视为“不合规”

可以在API网关控制台选择启动日志记录

apig-instances-ssl-enabled

APIG专享版实例域名均关联SSL证书

apig

如果API分组中的API支持HTTPS请求协议，则在绑定独立域名后，还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书，支持单向认证和双向认证两种认证方式。

APIG专享版实例如果有域名未关联SSL证书，则视为“不合规”。

用户可以为不合规的APIG专享版实例下的域名绑定SSL证书。

as-group-elb-healthcheck-required

弹性伸缩组使用弹性负载均衡健康检查

as

根据ELB对云服务器的健康检查结果进行的检查，健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。

与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规”

如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。

css-cluster-disk-encryption-check

CSS集群开启磁盘加密

css

确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。

CSS集群未开启磁盘加密，视为“不合规”

建议对磁盘进行加密。

css-cluster-https-required

CSS集群启用HTTPS

css

开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。

CSS集群未启用https，视为“不合规”

仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书，用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。

css-cluster-in-vpc

CSS集群绑定指定VPC资源

css

云搜索服务CSS的集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的集群提供安全、隔离的网络环境。此规则确保云搜索服务（CSS）位于虚拟私有云（VPC）中。

CSS集群未与指定的vpc资源绑定，视为“不合规”

可以将不合规的CSS集群与指定vpc关联。

cts-kms-encrypted-check

CTS追踪器通过KMS进行加密

cts

确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。

CTS追踪器未通过KMS进行加密，视为“不合规”

建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。

cts-lts-enable

CTS追踪器启用事件分析

cts

确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。

CTS追踪器未启用事件分析，视为“不合规”

开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流

cts-obs-bucket-track

CTS追踪器追踪指定的OBS桶

cts

由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。

账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规”

云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。

cts-support-validate-check

CTS追踪器打开事件文件校验

cts

在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。

CTS追踪器未打开事件文件校验，视为“不合规”

在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。

cts-tracker-exists

创建并启用CTS追踪器

cts

云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。

账号未创建CTS追踪器，视为“不合规”

可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。

drs-data-guard-job-not-public

数据复制服务实时灾备任务不使用公网网络

drs

为了解决地区故障导致的业务不可用，数据复制服务推出灾备场景，为用户业务连续性提供数据库的同步保障。当主实例所在区域发生突发生自然灾害等状况无法连接时，可将异地灾备实例切换为主实例，在应用端修改数据库链接地址后，即可快速恢复应用的业务访问。数据复制服务提供的实时灾备功能，可实现主实例和跨区域的灾备实例之间的实时同步。此规则确保DRS实时灾备任务不能公开访问。

数据复制服务实时灾备任务使用公网网络，视为“不合规”

对于不合规的DRS资源，您可以切换非公网访问

drs-migration-job-not-public

数据复制服务实时迁移任务不使用公网网络

drs

实时迁移是指在数据复制服务能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。确保DRS实时迁移任务不能公开访问。

数据复制服务实时迁移任务使用公网网络，视为“不合规”

对于不合规的DRS资源，您可以切换非公网访问。

drs-synchronization-job-not-public

数据复制服务实时同步任务不使用公网网络

drs

实时同步是指在不同的系统之间，将数据通过同步技术从一个数据源拷贝到其他数据库，并保持一致，实现关键业务的数据实时流动。确保DRS实时同步任务不能公开访问。确保DRS实时同步任务不能公开访问。

数据复制服务实时同步任务使用公网网络，视为“不合规”

对于不合规的DRS资源，您可以切换非公网访问。

dws-enable-log-dump

DWS集群启用日志转储

dws

GaussDB(DWS) 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中，您可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。

DWS集群未启用日志转储，视为“不合规”

GaussDB(DWS) 集群创建成功后，您可以为集群开启审计日志转储，将审计日志转储到OBS中，方便查看。

dws-enable-snapshot

DWS集群启用自动快照

dws

自动快照采用差异增量备份,当创建集群时，自动快照默认处于启用状态。当集群启用了自动快照时，GaussDB(DWS) 将按照设定的时间和周期以及快照类型自动创建快照，默认为每8小时一次。用户也可以对集群设置自动快照策略，并根据自身需求，对集群设置一个或多个自动快照策略。

DWS集群未启用自动快照，视为“不合规”

用户可以进入集群的详情页面，单击“快照”，在“策略列表”中打开自动快照的开关。

dws-enable-ssl

DWS集群启用SSL加密连接

dws

SSL连接方式的安全性高于普通模式，集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接，从安全性考虑，建议用户在客户端使用SSL连接方式。并且GaussDB(DWS)服务器端的证书、私钥以及根证书已经默认配置完成。

DWS集群未启用SSL加密连接，视为“不合规”

用户可以在集群的安全设置中打开SSL连接的开关。

ecs-instance-in-vpc

ECS资源属于指定虚拟私有云ID

ecs，vpc

虚拟私有云（VPC）为弹性云服务器构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云服务器构建一个逻辑上完全隔离的专有区域，确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。

指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规”

您可以通过网络配置，为不合规的ECS资源选择特定的虚拟私有云。

ecs-instance-no-public-ip

ECS资源不能公网访问

ecs

由于华为云ecs实例可能包含敏感信息，确保华为云ecs实例无法公开访问来管理对华为云的访问。

ECS资源具有公网IP，视为“不合规”

您可以登录弹性云服务器页面，在弹性云服务器列表中，在待调整带宽的弹性云服务器操作列下，单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”，将不合规的ecs资源解除弹性公网绑定。

eip-unbound-check

弹性公网IP未进行任何绑定

vpc

弹性公网IP（EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。

弹性公网IP未进行任何绑定，视为“不合规”

用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。

eip-use-in-specified-days

EIP在指定天数内绑定到资源实例

eip

弹性公网IP（EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。

EIP创建指定天数内未使用，视为“不合规”

用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。

elb-predefined-security-policy-https-check

ELB监听器配置指定预定义安全策略

elb

对于银行，金融类加密传输的应用 ，在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。

独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规“

独享型负载均衡支持选择默认安全策略或创建自定义策略。您可以为HTTPS监听器选择指定的预定义安全策略。

elb-tls-https-listeners-only

ELB监听器配置HTTPS监听协议

elb

确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。

负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规”

您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时，后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时，后端协议默认为“HTTP”，且不支持修改。如果您的独享型负载均衡实例类型为网络型（TCP/UDP），则无法创建HTTPS监听器。

function-graph-public-access-prohibited

函数工作流的函数不允许访问公网

fgs

确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。

函数工作流的函数允许访问公网，视为“不合规”

部署在VPC中的函数默认是和外网隔离开的，用户可以将函数绑定VPC，并且不添加公网NAT网关。

gaussdb-nosql-enable-backup

GaussDB NoSQL开启备份

gaussdb nosql

确保GaussDB NoSQL开启备份。GeminiDB Mongo实例支持自动备份和手动备份两种方案。GeminiDB Mongo支持数据库实例的备份，以保证数据可靠性。实例删除后，手动备份数据保留。自动备份的数据和实例一起释放，备份的数据不支持下载导出。

GaussDB NoSQL未开启备份，视为“不合规”

您可以在管理控制台设置自动备份策略，系统将会按照自动备份策略中设置的备份时间段和备份周期进行自动备份，并且会按照设置的备份保留天数对备份文件进行存放。

gaussdb-nosql-enable-disk-encryption

GaussDB NoSQL使用磁盘加密

gaussdb nosql

确保GaussDB NoSQL启用KMS磁盘加密。当启用加密功能，用户创建数据库实例成功后，磁盘数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户，用于提高数据安全性，但对数据库读写性能有少量影响。

GaussDB NoSQL未使用磁盘加密，视为“不合规”

您可以根据业务需要选择是否进行磁盘加密。

iam-customer-policy-blocked-kms-actions

IAM策略中不存在KMS的任一阻拦action

iam

帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。

IAM策略存在允许的任一KMS阻拦的action，视为“不合规”

用户可以根据合规评估结果修改策略配置。

iam-password-policy

IAM用户密码策略符合要求

iam

确保IAM用户密码强度满足密码强度要求。

IAM用户密码强度不满足密码强度要求，视为“不合规”

用户可以根据提示修改密码达到需要的密码强度。

iam-policy-no-statements-with-admin-access

IAM策略不具备Admin权限

iam

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

IAM策略admin权限(*:*:*或*:*或*)，视为“不合规”

管理员可以在IAM页面修改不合规的IAM用户的权限。

iam-role-has-all-permissions

IAM自定义策略具备所有权限

iam

确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。

IAM自定义策略具有allow的*:*权限，视为“不合规”

管理员可以在IAM页面修改不合规的IAM用户的权限。

iam-root-access-key-check

IAM账号存在可使用的访问密钥

iam

确保根访问密钥已删除。

账号存在可使用的访问密钥，视为“不合规”

用户可以根据规则评估结果删除账号可使用的访问密钥。

iam-user-last-login-check

IAM用户在指定时间内有登录行为

iam

管理员创建IAM用户后，这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。

IAM用户在指定时间范围内无登录行为，视为“不合规”

您可以在华为云登录页面或者打开IAM用户专属链接，输入用户名和密码的方式登录IAM用户。

iam-user-mfa-enabled

IAM用户开启MFA

iam

确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账户被盗用的事件。

IAM用户未开启MFA认证，视为“不合规”

您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。

kms-not-scheduled-for-deletion

KMS密钥不处于“计划删除”状态

kms

确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。

KMS密钥处于“计划删除“状态，视为“不合规”

用户可以在未超出删除密钥的推迟时间，通过密钥管理界面对自定义密钥进行取消删除操作，取消删除后密钥处于“禁用”状态。

mfa-enabled-for-iam-console-access

Console侧密码登录的IAM用户开启MFA认证

iam

确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA，您可以减少账户被盗用的事件，并防止敏感数据被未经授权的用户访问。

通过Console密码登录的IAM用户未开启MFA认证，视为“不合规”

您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。

mrs-cluster-kerberos-enabled

MRS集群开启kerberos认证

mrs

MRS 1.8.0版本之前未开启Kerberos认证的集群不支持访问权限细分。只有开启Kerberos认证才有角色管理权限，MRS 1.8.0及之后版本的所有集群均拥有角色管理权限。

MRS集群未开启kerberos认证，视为“不合规”

MRS服务暂不支持集群创建完成后手动开启和关闭Kerberos服务，如需更换Kerberos认证状态，建议重新创建MRS集群，然后进行数据迁移。

mrs-cluster-no-public-ip

MRS集群未绑定公网IP

mrs

确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账户需要访问控制。

MRS集群绑定公网IP，视为“不合规”

对于不合规的MRS资源，用户可以解除其与弹性公网IP的绑定。

multi-region-cts-tracker-exists

在指定区域创建并启用CTS追踪器

cts

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。

账号未在指定region列表创建CTS追踪器，视为“不合规”

您可以进入指定区域云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。

pca-certificate-authority-expiration-check

检查私有CA是否过期

pca

华为云云证书管理服务提供有PCA服务，可以帮助您通过简单的可视化操作，以低投入的方式创建企业内部CA并使用它签发证书。确保用户明确该私有CA的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。

私有CA没有标记在指定时间内到期，视为“不合规”

用户可以进入私有CA管理界面，根据需要设置CA的有效期。

pca-certificate-expiration-check

检查私有证书是否过期

pca

PCA是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书。确保用户明确该私有证书的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。

私有证书没有标记在指定时间内到期，视为“不合规”

通过云证书管理控制台创建并激活私有CA后，您就可以通过私有CA申请私有证书，在选择签发CA的过程中，您可以自定义私有证书有效期，该有效期不得超过当前已激活私有CA的有效期。

private-nat-gateway-authorized-vpc-only

NAT私网网关绑定指定VPC资源

nat

确保NAT私网网关仅连接到授权的虚拟私有云（VPC）中，管理对华为云中资源的访问。

NAT私网网关未与指定的VPC资源绑定，视为“不合规”

用户可以修改NAT私网网关关联的子网。

rds-instance-enable-backup

RDS实例开启备份

rds

RDS会在数据库实例的备份时段中创建数据库实例的自动备份，自动备份为全量备份。系统根据您指定的备份保留期保存数据库实例的自动备份。如果需要，您可以将数据恢复到备份保留期中的任意时间点。开启自动备份策略后，会自动触发一次全量备份，备份方式为物理备份。之后会按照策略中的备份时间段和备份周期进行全量备份。自动备份策略开启后，实例每五分钟会自动进行一次增量备份，以保证数据库可靠性。确保云数据库（rds）资源开启备份。

未开启备份的RDS资源，视为“不合规”

用户可根据需要修改备份策略。

rds-instance-multi-az-support

RDS实例支持多可用区

rds

华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云 RDS 会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。

RDS实例仅支持一个可用区，视为“不合规”

华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

rds-instance-no-public-ip

RDS实例不具有公网IP

rds

确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账户需要原则和访问控制。

RDS资源具有公网IP，视为“不合规”

对于不合规的RDS资源，用户可以解除其与弹性公网IP的绑定。

rds-instances-enable-kms

RDS实例开启存储加密

rds

云数据库 RDS for MySQL实例已开通密钥管理服务（Key Management Service，KMS），加密使用的用户主密钥由KMS产生和管理，RDS不提供加密所需的密钥和证书。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。

未开启存储加密的RDS资源，视为“不合规”

如需开通透明数据加密，您可以在管理控制台右上角，选择“工单 > 新建工单”，提交开通透明数据加密的申请。

root-account-mfa-enabled

根账号开启MFA认证

iam

确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。多因素认证Multi-Factor Authentication（MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。

根账号未开启MFA认证，视为“不合规”

您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。

sfsturbo-encrypted-check

弹性文件服务通过KMS进行加密

sfsturbo

由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务(SFS Turbo)已通过KMS进行加密。

弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规”

可以新创建加密或者不加密的文件系统，无法更改已有文件系统的加密属性。

stopped-ecs-date-diff

关机状态的ECS未进行任意操作的时间检查

ecs

启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数，确保弹性云服务器（ECS）未闲置。

关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规”

包年/包月资源一次性付费，到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费，请删除实例。

volumes-encrypted-check

已挂载的云硬盘开启加密

ecs，evs

由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。

已挂载的云硬盘未进行加密，视为“不合规”

当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您拥有“Security Administrator”权限，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS，然后再重新操作。

vpc-acl-unused-check

未与子网关联的网络ACL

vpc

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。

检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规”

您可以将网络ACL关联至VPC子网，为子网内的资源提供安全防护。

vpc-default-sg-closed

默认安全组关闭出、入方向流量

vpc

确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。

虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规”

用户可以在不合规的安全组详情页面，修改出方向和入方向规则。

vpc-flow-logs-enabled

VPC启用流日志

vpc

VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规”

您可以为不合规的VPC资源开启流日志记录，方式为：创建日志组、日志流之后，进入VPC流日志列表页面创建VPC流日志，按照提示配置参数。

vpc-sg-ports-check

安全组端口检查

vpc

确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。

当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规”

用户可以修改不合规的安全组的规则。

vpc-sg-restricted-common-ports

安全组入站流量限制指定端口

vpc

在华为云vpc安全组上限制通用端口的ip地址，确保对安全组内资源实例的访问。

当安全组的入站流量不限制指定端口的所有ipv4地址(0.0.0.0/0)，视为“不合规”

用户可以修改安全组的规则中端口和地址的值。

vpc-sg-restricted-ssh

安全组入站流量限制SSH端口

vpc

当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规，确保对服务器的远程访问安全性。

当安全组入方向源地址设置为0.0.0.0/0，且开放TCP 22端口，视为“不合规”

用户可以在不合规的安全组详情页面，修改出方向和入方向规则。

vpn-connections-active

VPN连接状态为“正常”

vpnaas

确保VPN连接状态正常。

VPN连接状态不为“正常”，视为“不合规”

VPN连接状态显示为“未连接”的可能原因有：VPN连接两端的连接配置不正确、华为云安全组和客户设备侧ACL配置不正确。可以检查VPN连接两端的连接配置和检查华为云安全组和客户设备侧ACL配置。