网络及数据安全最佳实践
本文为您介绍网络及数据安全最佳实践的应用场景以及合规包中的默认规则。
应用场景
该合规规则包从网络和数据安全等方面进行检测,帮助用户的信息资产免受网络攻击和数据泄露的威胁。关于网络及数据安全的相关要求请参见CIS Control v8。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应CIS Control v8中参考文档的章节编号,供您查阅参考。
建议项编号 |
合规规则 |
规则中文名称 |
说明指导 |
修复项指导 |
|---|---|---|---|---|
1.1 |
ecs-in-allowed-security-groups |
绑定指定标签的ECS关联在指定安全组ID列表内 |
安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后,即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组,保证安全组的性能。 |
用户可以将不合规的ECS资源移出安全组,操作:进入ECS实例页面,在弹性云服务器列表中,选择单台或多台云服务器,进入网络设置,选择移出安全组。 |
1.1 |
eip-unbound-check |
弹性公网IP未进行任何绑定 |
弹性公网IP(EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。 |
用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。 |
1.1 |
eip-use-in-specified-days |
EIP在指定天数内绑定到资源实例 |
弹性公网IP(EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。 |
用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。 |
1.1 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
启用此规则可根据您组织的标准检查华为云ECS实例的停止时间是否超过允许的天数,确保弹性云服务器(ECS)未闲置。 |
包年/包月资源一次性付费,到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费,请删除实例。 |
1.1 |
vpc-acl-unused-check |
未与子网关联的网络ACL |
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联,实现对子网的防护。 |
您可以将网络ACL关联至VPC子网,为子网内的资源提供安全防护。 |
2.2 |
cce-cluster-oldest-supported-version |
CCE集群运行的非受支持的最旧版本 |
确保CCE集群运行的不是最旧版本。 |
系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题,华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理,请更新您服务的独立任务以使用最新的平台版本。 |
3.3 |
css-cluster-in-vpc |
CSS集群绑定指定VPC资源 |
云搜索服务CSS的集群创建在虚拟私有云(VPC)的子网内,VPC通过逻辑方式进行网络隔离,为用户的集群提供安全、隔离的网络环境。此规则确保云搜索服务(CSS)位于虚拟私有云(VPC)中。 |
可以将不合规的CSS集群与指定VPC关联。 |
3.3 |
drs-data-guard-job-not-public |
数据复制服务实时灾备任务不使用公网网络 |
为了解决地区故障导致的业务不可用,数据复制服务推出灾备场景,为用户业务连续性提供数据库的同步保障。当主实例所在区域发生突发生自然灾害等状况无法连接时,可将异地灾备实例切换为主实例,在应用端修改数据库链接地址后,即可快速恢复应用的业务访问。数据复制服务提供的实时灾备功能,可实现主实例和跨区域的灾备实例之间的实时同步。此规则确保DRS实时灾备任务不能公开访问。 |
对于不合规的DRS资源,您可以切换非公网访问 |
3.3 |
drs-migration-job-not-public |
数据复制服务实时迁移任务不使用公网网络 |
实时迁移是指在数据复制服务能够同时连通源数据库和目标数据库的情况下,只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程,再通过多项指标和数据的对比分析,帮助确定合适的业务割接时机,实现最小化业务中断的数据库迁移。确保DRS实时迁移任务不能公开访问。 |
对于不合规的DRS资源,您可以切换非公网访问。 |
3.3 |
drs-synchronization-job-not-public |
数据复制服务实时同步任务不使用公网网络 |
实时同步是指在不同的系统之间,将数据通过同步技术从一个数据源拷贝到其他数据库,并保持一致,实现关键业务的数据实时流动。确保DRS实时同步任务不能公开访问。确保DRS实时同步任务不能公开访问。 |
对于不合规的DRS资源,您可以切换非公网访问。 |
3.3 |
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
虚拟私有云(VPC)为弹性云服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域,确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
您可以通过网络配置,为不合规的ECS资源选择特定的虚拟私有云。 |
3.3 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 |
您可以登录弹性云服务器页面,在弹性云服务器列表中,在待调整带宽的弹性云服务器操作列下,单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”,将不合规的ECS资源解除弹性公网绑定。 |
3.3 |
function-graph-inside-vpc |
函数工作流使用指定VPC |
函数支持用户创建虚拟私有云(VPC)并访问自己VPC内的资源。VPC开启后,函数不再具有默认的公网访问权限,如果需要访问公网,可通过在VPC内配置公网NAT网关绑定EIP的方式实现,具体请参见配置固定公网IP。 |
用户可以通过开启“允许函数访问VPC内资源”的开关,配置相应的VPC和子网。 |
3.3 |
function-graph-public-access-prohibited |
函数工作流的函数不允许访问公网 |
确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 |
部署在VPC中的函数默认是和外网隔离开的,用户可以将函数绑定VPC,并且不添加公网NAT网关。 |
3.3 |
iam-customer-policy-blocked-kms-actions |
IAM策略中不存在KMS的任一阻拦action |
帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 |
用户可以根据合规评估结果修改策略配置。 |
3.3 |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 |
管理员在用户组列表中,单击新建的用户组,选择“用户组管理”,在“可选用户”中选择需要添加至用户组中的用户。 |
3.3 |
iam-policy-no-statements-with-admin-access |
IAM策略不具备Admin权限 |
确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 |
管理员可以在IAM页面修改不合规的IAM用户的权限。 |
3.3 |
iam-role-has-all-permissions |
IAM自定义策略具备所有权限 |
确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 |
管理员可以在IAM页面修改不合规的IAM用户的权限。 |
3.3 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
确保根访问密钥已删除。 |
用户可以根据规则评估结果删除账号可使用的访问密钥。 |
3.3 |
iam-user-group-membership-check |
IAM用户归属用户组 |
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 |
可以选择一个用户组,以管理员的身份,将不合规的IAM用户添加到用户组中。 |
3.3 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 |
您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 |
3.3 |
mrs-cluster-kerberos-enabled |
MRS集群开启kerberos认证 |
MRS 1.8.0版本之前未开启Kerberos认证的集群不支持访问权限细分。只有开启Kerberos认证才有角色管理权限,MRS 1.8.0及之后版本的所有集群均拥有角色管理权限。 |
MRS服务暂不支持集群创建完成后手动开启和关闭Kerberos服务,如需更换Kerberos认证状态,建议重新创建MRS集群,然后进行数据迁移。 |
3.3 |
mrs-cluster-no-public-ip |
MRS集群未绑定公网IP |
确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 |
对于不合规的MRS资源,用户可以解除其与弹性公网IP的绑定。 |
3.3 |
rds-instance-no-public-ip |
RDS实例不具有公网IP |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 |
对于不合规的RDS资源,用户可以解除其与弹性公网IP的绑定。 |
3.1 |
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
如果API分组中的API支持HTTPS请求协议,则在绑定独立域名后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,支持单向认证和双向认证两种认证方式。 |
用户可以为不合规的APIG专享版实例下的域名绑定SSL证书。 |
3.1 |
css-cluster-disk-encryption-check |
CSS集群开启磁盘加密 |
确保CSS集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。 |
建议对磁盘进行加密。 |
3.1 |
css-cluster-https-required |
CSS集群启用HTTPS |
开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 |
仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书,用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。 |
3.1 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
SSL连接方式的安全性高于普通模式,集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接,从安全性考虑,建议用户在客户端使用SSL连接方式。并且GaussDB(DWS)服务器端的证书、私钥以及根证书已经默认配置完成。 |
用户可以在集群的安全设置中打开SSL连接的开关。 |
3.1 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时,后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。如果您的独享型负载均衡实例类型为网络型(TCP/UDP),则无法创建HTTPS监听器。 |
3.11 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。 |
建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 |
3.11 |
dws-enable-kms |
DWS集群启用KMS加密 |
确保数据仓库服务的集群启用KMS磁盘加密。在GaussDB(DWS) 中,您可以为集群启用数据库加密,以保护静态数据。当您为集群启用加密时,该集群及其快照的数据都会得到加密处理。虽然加密是GaussDB(DWS) 集群中的一项可选设置,但建议您为集群启用该设置以保护数据。 |
您可以在创建集群时启用加密。加密是集群的一项可选且不可变的设置。要从未加密的集群更改为加密集群(或反之),必须从现有集群导出数据,然后在已启用数据库加密的新集群中重新导入这些数据。 |
3.11 |
gaussdb-nosql-enable-disk-encryption |
GaussDB NoSQL使用磁盘加密 |
确保GaussDB NoSQL启用KMS磁盘加密。当启用加密功能,用户创建数据库实例成功后,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户,用于提高数据安全性,但对数据库读写性能有少量影响。 |
您可以根据业务需要选择是否进行磁盘加密。 |
3.11 |
rds-instances-enable-kms |
RDS实例开启存储加密 |
云数据库 RDS for MySQL实例已开通密钥管理服务(Key Management Service,KMS),加密使用的用户主密钥由KMS产生和管理,RDS不提供加密所需的密钥和证书。由于敏感数据可以静态存在于华为云RDS实例中,因此启用静态加密有助于保护该数据。 |
如需开通透明数据加密,您可以在管理控制台右上角,选择“工单 > 新建工单”,提交开通透明数据加密的申请。 |
3.11 |
sfsturbo-encrypted-check |
弹性文件服务通过KMS进行加密 |
由于敏感数据可能存在并帮助保护静态数据,确保弹性文件服务(SFS Turbo)已通过KMS进行加密。 |
可以新创建加密或者不加密的文件系统,无法更改已有文件系统的加密属性。 |
3.11 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。 |
3.14 |
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 |
可以在API网关控制台选择启动日志记录 |
3.14 |
cts-lts-enable |
CTS追踪器启用事件分析 |
确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。 |
开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流 |
3.14 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶。 |
云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 |
3.14 |
cts-tracker-exists |
创建并启用CTS追踪器 |
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 |
可进入云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
3.14 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。 |
您可以进入指定区域云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
3.14 |
rds-instance-logging-enabled |
RDS实例配备日志 |
确保RDS资源配备了访问日志。配置访问日志后,RDS实例新生成的日志记录会上传到云日志服务(Log Tank Service,简称LTS)进行管理。 |
您可以为不合规的RDS资源配置访问日志。方式为:登录RDS管理控制台,选择日志配置管理,选择为一个或多个实例配置访问日志。 |
3.14 |
vpc-flow-logs-enabled |
VPC启用流日志 |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
您可以为不合规的VPC资源开启流日志记录,方式为:创建日志组、日志流之后,进入VPC流日志列表页面创建VPC流日志,按照提示配置参数。 |
4.1 |
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 |
用户可以通过使用API调用的方式轮换访问密钥。 |
4.1 |
evs-use-in-specified-days |
云硬盘创建后在指定天数内绑定资源实例 |
云硬盘可以挂载至云服务器,用作提供系统盘和数据盘。此规则可以确保云硬盘(EVS)未闲置。 |
对非合规的EVS资源,用户可以在云硬盘页面或在弹性云服务器页面,将其挂载到云服务器上。 |
4.1 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
启用此规则可根据您组织的标准检查华为云ECS实例的停止时间是否超过允许的天数,确保弹性云服务器(ECS)未闲置。 |
包年/包月资源一次性付费,到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费,请删除实例。 |
4.1 |
volume-unused-check |
云硬盘闲置检测 |
云硬盘可以挂载至云服务器,用作提供系统盘和数据盘。此规则可以确保云硬盘(EVS)未闲置。 |
对非合规的EVS资源,用户可以在云硬盘页面或在弹性云服务器页面,将其挂载到云服务器上。 |
4.6 |
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
如果API分组中的API支持HTTPS请求协议,则在绑定独立域名后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,支持单向认证和双向认证两种认证方式。 |
用户可以为不合规的APIG专享版实例下的域名绑定SSL证书。 |
4.6 |
css-cluster-https-required |
CSS集群启用HTTPS |
开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 |
仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书,用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。 |
4.6 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
SSL连接方式的安全性高于普通模式,集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接,从安全性考虑,建议用户在客户端使用SSL连接方式。并且GaussDB(DWS)服务器端的证书、私钥以及根证书已经默认配置完成。 |
用户可以在集群的安全设置中打开SSL连接的开关。 |
4.6 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时,后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。如果您的独享型负载均衡实例类型为网络型(TCP/UDP),则无法创建HTTPS监听器。 |
4.7 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
确保根访问密钥已删除。 |
用户可以根据规则评估结果删除账号可使用的访问密钥。 |
5.2 |
iam-password-policy |
IAM用户密码策略符合要求 |
确保IAM用户密码强度满足密码强度要求。 |
用户可以根据提示修改密码达到需要的密码强度。 |
5.2 |
iam-user-mfa-enabled |
IAM用户开启MFA |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
5.2 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
5.2 |
root-account-mfa-enabled |
根账号开启MFA认证 |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
5.3 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 |
您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 |
5.4 |
iam-policy-no-statements-with-admin-access |
IAM策略不具备Admin权限 |
确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 |
管理员可以在IAM页面修改不合规的IAM用户的权限。 |
5.4 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
确保根访问密钥已删除。 |
用户可以根据规则评估结果删除账号可使用的访问密钥。 |
6.4 |
iam-user-mfa-enabled |
IAM用户开启MFA |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
6.4 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
6.4 |
root-account-mfa-enabled |
根账号开启MFA认证 |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
8.2 |
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 |
可以在API网关控制台选择启动日志记录 |
8.2 |
cts-lts-enable |
CTS追踪器启用事件分析 |
确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。 |
开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流 |
8.2 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶。 |
云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 |
8.2 |
cts-tracker-exists |
创建并启用CTS追踪器 |
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 |
可进入云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
8.2 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。 |
您可以进入指定区域云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
8.2 |
rds-instance-logging-enabled |
RDS实例配备日志 |
确保RDS资源配备了访问日志。配置访问日志后,RDS实例新生成的日志记录会上传到云日志服务(Log Tank Service,简称LTS)进行管理。 |
您可以为不合规的RDS资源配置访问日志。方式为:登录RDS管理控制台,选择日志配置管理,选择为一个或多个实例配置访问日志。 |
8.2 |
vpc-flow-logs-enabled |
VPC启用流日志 |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
您可以为不合规的VPC资源开启流日志记录,方式为:创建日志组、日志流之后,进入VPC流日志列表页面创建VPC流日志,按照提示配置参数。 |
8.5 |
apig-instances-execution-logging-enabled |
APIG专享版实例配置访问日志 |
确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 |
可以在API网关控制台选择启动日志记录 |
8.5 |
cts-lts-enable |
CTS追踪器启用事件分析 |
确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。 |
开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流 |
8.5 |
cts-obs-bucket-track |
CTS追踪器追踪指定的OBS桶 |
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶。 |
云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 |
8.5 |
cts-tracker-exists |
创建并启用CTS追踪器 |
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对租户对OBS桶中的数据的操作日志,例如上传、下载等。 |
可进入云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
8.5 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。 |
您可以进入指定区域云审计服务页面,导航栏选择“追踪器”,单击“创建追踪器”,根据提示操作。 |
8.5 |
rds-instance-logging-enabled |
RDS实例配备日志 |
确保RDS资源配备了访问日志。配置访问日志后,RDS实例新生成的日志记录会上传到云日志服务(Log Tank Service,简称LTS)进行管理。 |
您可以为不合规的RDS资源配置访问日志。方式为:登录RDS管理控制台,选择日志配置管理,选择为一个或多个实例配置访问日志。 |
8.5 |
vpc-flow-logs-enabled |
VPC启用流日志 |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
您可以为不合规的VPC资源开启流日志记录,方式为:创建日志组、日志流之后,进入VPC流日志列表页面创建VPC流日志,按照提示配置参数。 |
8.9 |
cts-lts-enable |
CTS追踪器启用事件分析 |
确保使用云日志服务(LTS)集中收集云审计服务(CTS)的数据。 |
开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流 |
11.2 |
dws-enable-snapshot |
DWS集群启用自动快照 |
自动快照采用差异增量备份,当创建集群时,自动快照默认处于启用状态。当集群启用了自动快照时,GaussDB(DWS)将按照设定的时间和周期以及快照类型自动创建快照,默认为每8小时一次。用户也可以对集群设置自动快照策略,并根据自身需求,对集群设置一个或多个自动快照策略。 |
用户可以进入集群的详情页面,单击“快照”,在“策略列表”中打开自动快照的开关。 |
11.2 |
gaussdb-instance-enable-backup |
GaussDB实例开启自动备份 |
GaussDB会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期保存数据库实例的自动备份。扩容实例CN或者分片后,系统会进行一次自动备份。 |
创建GaussDB实例时,系统默认开启实例级自动备份策略。实例创建成功后,您可根据业务需要修改实例级自动备份策略。GaussDB按照用户设置的自动备份策略对数据库进行备份。 |
11.2 |
gaussdb-mysql-instance-enable-backup |
GaussDBForMysql实例开启备份 |
GaussDBForMysql会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期保存数据库实例的自动备份。扩容实例CN或者分片后,系统会进行一次自动备份。 |
创建GaussDBForMysql实例时,系统默认开启实例级自动备份策略。实例创建成功后,您可根据业务需要修改实例级自动备份策略。GaussDBForMysql按照用户设置的自动备份策略对数据库进行备份。 |
11.2 |
gaussdb-nosql-enable-backup |
GaussDB NoSQL开启备份 |
确保GaussDB NoSQL开启备份。GeminiDB Mongo实例支持自动备份和手动备份两种方案。GeminiDB Mongo支持数据库实例的备份,以保证数据可靠性。实例删除后,手动备份数据保留。自动备份的数据和实例一起释放,备份的数据不支持下载导出。 |
您可以在管理控制台设置自动备份策略,系统将会按照自动备份策略中设置的备份时间段和备份周期进行自动备份,并且会按照设置的备份保留天数对备份文件进行存放。 |
11.2 |
rds-instance-enable-backup |
RDS实例开启备份 |
RDS会在数据库实例的备份时段中创建数据库实例的自动备份,自动备份为全量备份。系统根据您指定的备份保留期保存数据库实例的自动备份。如果需要,您可以将数据恢复到备份保留期中的任意时间点。开启自动备份策略后,会自动触发一次全量备份,备份方式为物理备份。之后会按照策略中的备份时间段和备份周期进行全量备份。自动备份策略开启后,实例每五分钟会自动进行一次增量备份,以保证数据库可靠性。确保云数据库(rds)资源开启备份。 |
用户可根据需要修改备份策略。 |
11.3 |
rds-instances-enable-kms |
RDS实例开启存储加密 |
云数据库 RDS for MySQL实例已开通密钥管理服务(Key Management Service,KMS),加密使用的用户主密钥由KMS产生和管理,RDS不提供加密所需的密钥和证书。由于敏感数据可以静态存在于华为云RDS实例中,因此启用静态加密有助于保护该数据。 |
如需开通透明数据加密,您可以在管理控制台右上角,选择“工单 > 新建工单”,提交开通透明数据加密的申请。 |
11.3 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。 |
11.4 |
dws-enable-snapshot |
DWS集群启用自动快照 |
自动快照采用差异增量备份,当创建集群时,自动快照默认处于启用状态。当集群启用了自动快照时,GaussDB(DWS)将按照设定的时间和周期以及快照类型自动创建快照,默认为每8小时一次。用户也可以对集群设置自动快照策略,并根据自身需求,对集群设置一个或多个自动快照策略。 |
用户可以进入集群的详情页面,单击“快照”,在“策略列表”中打开自动快照的开关。 |
11.4 |
gaussdb-instance-enable-backup |
GaussDB实例开启自动备份 |
GaussDB会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期保存数据库实例的自动备份。扩容实例CN或者分片后,系统会进行一次自动备份。 |
创建GaussDB实例时,系统默认开启实例级自动备份策略。实例创建成功后,您可根据业务需要修改实例级自动备份策略。GaussDB按照用户设置的自动备份策略对数据库进行备份。 |
11.4 |
gaussdb-mysql-instance-enable-backup |
GaussDBForMysql实例开启备份 |
GaussDBForMysql会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期保存数据库实例的自动备份。扩容实例CN或者分片后,系统会进行一次自动备份。 |
创建GaussDBForMysql实例时,系统默认开启实例级自动备份策略。实例创建成功后,您可根据业务需要修改实例级自动备份策略。GaussDBForMysql按照用户设置的自动备份策略对数据库进行备份。 |
11.4 |
gaussdb-nosql-enable-backup |
GaussDB NoSQL开启备份 |
确保GaussDB NoSQL开启备份。GeminiDB Mongo实例支持自动备份和手动备份两种方案。GeminiDB Mongo支持数据库实例的备份,以保证数据可靠性。实例删除后,手动备份数据保留。自动备份的数据和实例一起释放,备份的数据不支持下载导出。 |
您可以在管理控制台设置自动备份策略,系统将会按照自动备份策略中设置的备份时间段和备份周期进行自动备份,并且会按照设置的备份保留天数对备份文件进行存放。 |
11.4 |
rds-instance-enable-backup |
RDS实例开启备份 |
RDS会在数据库实例的备份时段中创建数据库实例的自动备份,自动备份为全量备份。系统根据您指定的备份保留期保存数据库实例的自动备份。如果需要,您可以将数据恢复到备份保留期中的任意时间点。开启自动备份策略后,会自动触发一次全量备份,备份方式为物理备份。之后会按照策略中的备份时间段和备份周期进行全量备份。自动备份策略开启后,实例每五分钟会自动进行一次增量备份,以保证数据库可靠性。确保云数据库(RDS)资源开启备份。 |
用户可根据需要修改备份策略。 |
12.2 |
css-cluster-in-vpc |
CSS集群绑定指定VPC资源 |
云搜索服务CSS的集群创建在虚拟私有云(VPC)的子网内,VPC通过逻辑方式进行网络隔离,为用户的集群提供安全、隔离的网络环境。此规则确保云搜索服务(CSS)位于虚拟私有云(VPC)中。 |
可以将不合规的CSS集群与指定VPC关联。 |
12.2 |
css-cluster-in-vpc |
CSS集群绑定指定VPC资源 |
云搜索服务CSS的集群创建在虚拟私有云(VPC)的子网内,VPC通过逻辑方式进行网络隔离,为用户的集群提供安全、隔离的网络环境。此规则确保云搜索服务(CSS)位于虚拟私有云(VPC)中。 |
可以将不合规的CSS集群与指定VPC关联。 |
12.2 |
drs-data-guard-job-not-public |
数据复制服务实时灾备任务不使用公网网络 |
为了解决地区故障导致的业务不可用,数据复制服务推出灾备场景,为用户业务连续性提供数据库的同步保障。当主实例所在区域发生突发生自然灾害等状况无法连接时,可将异地灾备实例切换为主实例,在应用端修改数据库链接地址后,即可快速恢复应用的业务访问。数据复制服务提供的实时灾备功能,可实现主实例和跨区域的灾备实例之间的实时同步。此规则确保DRS实时灾备任务不能公开访问。 |
对于不合规的DRS资源,您可以切换非公网访问 |
12.2 |
drs-migration-job-not-public |
数据复制服务实时迁移任务不使用公网网络 |
实时迁移是指在数据复制服务能够同时连通源数据库和目标数据库的情况下,只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程,再通过多项指标和数据的对比分析,帮助确定合适的业务割接时机,实现最小化业务中断的数据库迁移。确保DRS实时迁移任务不能公开访问。 |
对于不合规的DRS资源,您可以切换非公网访问。 |
12.2 |
drs-synchronization-job-not-public |
数据复制服务实时同步任务不使用公网网络 |
实时同步是指在不同的系统之间,将数据通过同步技术从一个数据源拷贝到其他数据库,并保持一致,实现关键业务的数据实时流动。确保DRS实时同步任务不能公开访问。确保DRS实时同步任务不能公开访问。 |
对于不合规的DRS资源,您可以切换非公网访问。 |
12.2 |
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
虚拟私有云(VPC)为弹性云服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域,确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
您可以通过网络配置,为不合规的ECS资源选择特定的虚拟私有云。 |
12.2 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 |
您可以登录弹性云服务器页面,在弹性云服务器列表中,在待调整带宽的弹性云服务器操作列下,单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”,将不合规的ecs资源解除弹性公网绑定。 |
12.2 |
function-graph-inside-vpc |
函数工作流使用指定VPC |
函数支持用户创建虚拟私有云(VPC)并访问自己VPC内的资源。VPC开启后,函数不再具有默认的公网访问权限,如果需要访问公网,可通过在VPC内配置公网NAT网关绑定EIP的方式实现,具体请参见配置固定公网IP。 |
用户可以通过开启“允许函数访问VPC内资源”的开关,配置相应的VPC和子网。 |
12.2 |
function-graph-public-access-prohibited |
函数工作流的函数不允许访问公网 |
确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 |
部署在VPC中的函数默认是和外网隔离开的,用户可以将函数绑定VPC,并且不添加公网NAT网关。 |
12.2 |
mrs-cluster-no-public-ip |
MRS集群未绑定公网IP |
确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 |
对于不合规的MRS资源,用户可以解除其与弹性公网IP的绑定。 |
12.2 |
pca-certificate-authority-expiration-check |
检查私有CA是否过期 |
华为云云证书管理服务提供有PCA服务,可以帮助您通过简单的可视化操作,以低投入的方式创建企业内部CA并使用它签发证书。确保用户明确该私有CA的过期时间。此规则需要daysToExpiration(默认值14)。实际值应反映组织的策略。 |
用户可以进入私有CA管理界面,根据需要设置CA的有效期。 |
12.2 |
pca-certificate-expiration-check |
检查私有证书是否过期 |
PCA是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作,建立用户自己完整的CA层次体系并使用它签发证书。确保用户明确该私有证书的过期时间。此规则需要daysToExpiration(默认值14)。实际值应反映组织的策略。 |
通过云证书管理控制台创建并激活私有CA后,您就可以通过私有CA申请私有证书,在选择签发CA的过程中,您可以自定义私有证书有效期,该有效期不得超过当前已激活私有CA的有效期。 |
12.2 |
rds-instance-multi-az-support |
RDS实例支持多可用区 |
云数据库RDS支持在同一个可用区内或者跨可用区部署主备实例:主可用区和备可用区一致时,主机和备机会部署在同一个可用区;主可用区和备可用区不一致时,主机和备机会部署在不同的可用区,以提供不同可用区之间的故障转移能力和高可用性。 |
购买数据库实例时,选择主备实例,并设置主可用区和备可用区不同,实现跨可用区高可用。对于RDS for MySQL和RDS for PostgreSQL主备实例,购买成功后,可以将主备实例的备机迁移至同一区域内的其它可用区。 |
12.2 |
rds-instance-no-public-ip |
RDS实例不具有公网IP |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 |
对于不合规的rds资源,用户可以解除其与弹性公网IP的绑定。 |
12.2 |
vpc-default-sg-closed |
默认安全组关闭出、入方向流量 |
确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 |
用户可以在不合规的安全组详情页面,修改出方向和入方向规则。 |
12.2 |
vpc-sg-ports-check |
安全组端口检查 |
确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 |
用户可以修改不合规的安全组的规则。 |
12.2 |
vpc-sg-restricted-common-ports |
安全组入站流量限制指定端口 |
在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。 |
用户可以修改安全组的规则中端口和地址的值。 |
12.2 |
vpc-sg-restricted-ssh |
安全组入站流量限制SSH端口 |
当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 |
用户可以在不合规的安全组详情页面,修改出方向和入方向规则。 |
12.2 |
vpn-connections-active |
VPN连接状态为“正常” |
确保VPN连接状态正常。 |
VPN连接状态显示为“未连接”的可能原因有:VPN连接两端的连接配置不正确、华为云安全组和客户设备侧ACL配置不正确。可以检查VPN连接两端的连接配置和检查华为云安全组和客户设备侧ACL配置。 |
12.3 |
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
如果API分组中的API支持HTTPS请求协议,则在绑定独立域名后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,支持单向认证和双向认证两种认证方式。 |
用户可以为不合规的APIG专享版实例下的域名绑定SSL证书。 |
12.3 |
css-cluster-https-required |
CSS集群启用HTTPS |
开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 |
仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书,用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。 |
12.3 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
SSL连接方式的安全性高于普通模式,集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接,从安全性考虑,建议用户在客户端使用SSL连接方式。并且GaussDB(DWS)服务器端的证书、私钥以及根证书已经默认配置完成。 |
用户可以在集群的安全设置中打开SSL连接的开关。 |
12.3 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时,后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。如果您的独享型负载均衡实例类型为网络型(TCP/UDP),则无法创建HTTPS监听器。 |
12.6 |
apig-instances-ssl-enabled |
APIG专享版实例域名均关联SSL证书 |
如果API分组中的API支持HTTPS请求协议,则在绑定独立域名后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,支持单向认证和双向认证两种认证方式。 |
用户可以为不合规的APIG专享版实例下的域名绑定SSL证书。 |
12.6 |
css-cluster-https-required |
CSS集群启用HTTPS |
开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 |
仅安全模式的集群支持开启HTTPS访问。启用HTTPS访问的安全集群可以单击“下载证书”获取CER安全证书,用于接入安全模式的集群。安全证书暂不支持在公网环境下使用。 |
12.6 |
dws-enable-ssl |
DWS集群启用SSL加密连接 |
SSL连接方式的安全性高于普通模式,集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接,从安全性考虑,建议用户在客户端使用SSL连接方式。并且GaussDB(DWS)服务器端的证书、私钥以及根证书已经默认配置完成。 |
用户可以在集群的安全设置中打开SSL连接的开关。 |
12.6 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时,后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。如果您的独享型负载均衡实例类型为网络型(TCP/UDP),则无法创建HTTPS监听器。 |
13.6 |
vpc-flow-logs-enabled |
VPC启用流日志 |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
您可以为不合规的VPC资源开启流日志记录,方式为:创建日志组、日志流之后,进入VPC流日志列表页面创建VPC流日志,按照提示配置参数。 |
