适用于Landing Zone基础场景的最佳实践
本文为您介绍适用于Landing Zone基础场景的最佳实践的业务背景以及合规包中的默认规则。
业务背景
为满足客户更好的管理云的诉求,华为云基于华为公司多年自身企业治理经验以及帮助企业实现数字化转型的成功实践,系统性提出Landing Zone解决方案。Landing Zone解决方案旨在为企业构筑一套可持续扩展、安全、合规的云上运行环境,天然契合金融行业的上云与数字化转型痛点诉求。Landing Zone解决方案从多账号组织管理、网络规划、身份与权限、数据边界、安全防护、合规审计、运维监控和成本管理多个维度按照最佳实践指导企业搭建上云环境。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
该示例模板中对应的合规规则的说明如下表所示:
|
规则目标 |
合规规则 |
规则中文名称 |
|---|---|---|
|
组织单元和账号设计 |
account-part-of-organizations |
账号加入组织 |
|
组织单元和账号设计 |
iam-user-group-membership-check |
IAM用户归属指定用户组 |
|
组织单元和账号设计 |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
|
统一身份权限 |
root-account-mfa-enabled |
根账号开启MFA认证 |
|
统一身份权限 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
|
统一身份权限 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
|
统一身份权限 |
iam-user-single-access-key |
IAM用户单访问密钥 |
|
统一身份权限 |
iam-password-policy |
IAM用户密码策略符合要求 |
|
统一身份权限 |
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
|
统一身份权限 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
|
统一身份权限 |
iam-policy-no-statements-with-admin-access |
IAM策略不具备Admin权限 |
|
统一网络架构 |
eip-unbound-check |
弹性公网IP未进行任何绑定 |
|
统一网络架构 |
elb-tls-https-listeners-only |
ELB监听器配置HTTPS监听协议 |
|
统一网络架构 |
vpc-acl-unused-check |
未与子网关联的网络ACL |
|
统一网络架构 |
vpc-sg-restricted-ssh |
安全组入站流量限制SSH端口 |
|
统一网络架构 |
vpc-default-sg-closed |
默认安全组关闭出、入方向流量 |
|
统一网络架构 |
vpc-sg-ports-check |
安全组端口检查 |
|
统一网络架构 |
vpn-connections-active |
VPN连接状态为“正常” |
|
统一运维监控 |
alarm-obs-bucket-policy-change |
CES配置监控OBS桶策略变更的事件监控告警 |
|
统一运维监控 |
alarm-vpc-change |
CES配置监控VPC变更的事件监控告警 |
|
统一运维监控 |
alarm-kms-disable-or-delete-key |
CES配置监控KMS禁用或计划删除密钥的事件监控告警 |
|
统一合规审计 |
cts-lts-enable |
CTS追踪器启用事件分析 |
|
统一合规审计 |
cts-support-validate-check |
CTS追踪器打开事件文件校验 |
|
统一合规审计 |
cts-kms-encrypted-check |
CTS追踪器通过KMS进行加密 |
|
统一合规审计 |
multi-region-cts-tracker-exists |
在指定区域创建并启用CTS追踪器 |
|
统一安全管控 |
cce-endpoint-public-access |
CCE集群资源不具有弹性公网IP |
|
统一安全管控 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
|
统一安全管控 |
rds-instance-no-public-ip |
RDS实例不具有弹性公网IP |
|
统一安全管控 |
pca-certificate-authority-expiration-check |
检查私有CA是否过期 |
|
统一安全管控 |
pca-certificate-expiration-check |
检查私有证书是否过期 |
|
统一安全管控 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
|
统一安全管控 |
rds-instances-enable-kms |
RDS实例开启存储加密 |
|
可靠架构 |
rds-instance-enable-backup |
RDS实例开启备份 |
|
可靠架构 |
rds-instance-multi-az-support |
RDS实例支持多可用区 |
|
可靠架构 |
volume-unused-check |
云硬盘闲置检测 |
