华为云安全配置基线指南的标准合规包(level 2)
本文为您介绍华为云安全配置基线指南的标准合规包(level 2)的应用场景以及合规包中的默认规则。
应用场景
华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应华为云安全配置基线指南文档的章节编号,供您查阅参考。
建议项编号 | 建议项说明 | 合规规则 | 规则中文名称 | 涉及云服务 | 规则描述 |
|---|---|---|---|---|---|
C.CS.FOUNDATION.G_1.R_3 | 确保不创建管理员权限的 IAM 用户 | iam-user-check-non-admin-group | IAM用户admin权限检查 | iam | 根用户以外的IAM用户加入admin用户组,视为“不合规” |
C.CS.FOUNDATION.G_1.R_9 | 启用用户登录保护 | iam-user-login-protection-enabled | IAM用户开启登录保护 | iam | IAM用户未开启登录保护,视为“不合规” |
C.CS.FOUNDATION.G_1.R_12 | 设置初始 IAM 用户时,避免对具有控制台密码的用户设置访问密钥 | iam-user-console-and-api-access-at-creation | IAM用户创建时设置AccessKey | iam | 对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” |
C.CS.FOUNDATION.G_1.R_13 | 确保任何单个 IAM 用户仅有一个可用的活动访问密钥 | iam-user-single-access-key | IAM用户单访问密钥 | iam | IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” |
C.CS.FOUNDATION.G_2.R_5 | 启用 VPC 流量日志功能 | vpc-flow-logs-enabled | VPC启用流日志 | vpc | 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” |
C.CS.FOUNDATION.G_2.R_11 | 启用 FunctionGraph 函数日志功能 | function-graph-logging-enabled | 函数工作流的函数启用日志配置 | fgs | 函数工作流的函数未启用日志配置,视为“不合规” |
C.CS.FOUNDATION.G_2.R_16 | 开启日志文件加密存储 | cts-kms-encrypted-check | CTS追踪器通过KMS进行加密 | cts | CTS追踪器未通过KMS进行加密,视为“不合规” |
C.CS.FOUNDATION.G_3_1.R_1 | 使用密钥对安全登录 ECS | ecs-instance-key-pair-login | ECS资源配置密钥对 | ecs | ECS未配置密钥对,视为“不合规” |
C.CS.FOUNDATION.G_3_1.R_4 | 确保私有镜像开启了加密 | ims-images-enable-encryption | 私有镜像开启加密 | ims | 私有镜像未开启加密,视为“不合规” |
C.CS.FOUNDATION.G_3_2.R_1 | 使用密钥对安全登录 BMS | bms-key-pair-security-login | BMS资源使用密钥对登录 | bms | 裸金属服务器未启用密钥对安全登录,视为“不合规” |
C.CS.FOUNDATION.G_5_1.R_4 | 使用双端固定对 OBS 的资源进行权限控制 | obs-bucket-policy-grantee-check | OBS桶策略中授权检查 | obs | OBS桶策略授权了不被允许的访问行为,视为“不合规” |
C.CS.FOUNDATION.G_5_2.R_1 | 确保云硬盘是加密的 | volumes-encrypted-check | 已挂载的云硬盘开启加密 | ecs, evs | 已挂载的云硬盘未进行加密,视为“不合规” |
C.CS.FOUNDATION.G_5_3.R_1 | 确保SFS Turbo文件系统是加密的 | sfsturbo-encrypted-check | 高性能弹性文件服务通过KMS进行加密 | sfsturbo | 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_1 | 承载备份数据的云硬盘选择加密盘 | cbr-backup-encrypted-check | CBR备份被加密 | cbr | CBR服务的备份未被加密,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_4 | 开启强制备份 | ecs-protected-by-cbr | ECS资源在备份存储库中 | cbr, ecs | ECS资源没有关联备份存储库,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_4 | 开启强制备份 | evs-protected-by-cbr | EVS资源在备份存储库保护中 | cbr, evs | EVS磁盘没有关联备份存储库,视为“不合规” |
C.CS.FOUNDATION.G_5_4.R_4 | 开启强制备份 | sfsturbo-protected-by-cbr | SFSturbo资源在备份存储库中 | cbr, sfsturbo | SFSturbo资源没有关联备份存储库,视为“不合规” |
C.CS.FOUNDATION.G_6_1.R_7 | 开启数据库审计日志 | rds-instance-enable-auditLog | RDS实例启用审计日志 | rds | 未启用审计日志或审计日志保存天数不足的rds资源,视为“不合规” |
C.CS.FOUNDATION.G_6_4.R_5 | 开启数据库审计日志 | gaussdb-instance-enable-auditLog | GaussDB实例开启审计日志 | gaussdb | 未开启审计日志的gaussdb资源,视为“不合规” |
C.CS.FOUNDATION.G_6_4.R_5 | 开启数据库审计日志 | gaussdb-mysql-instance-enable-auditlog | TaurusDB实例开启审计日志 | taurusdb | 未开启审计日志的TaurusDB资源,视为“不合规” |
C.CS.FOUNDATION.G_6_4.R_7 | 开启备份功能设置合理的备份策略 | gaussdb-instance-enable-backup | GaussDB实例开启自动备份 | gaussdb | 未开启资源备份的gaussdb资源,视为“不合规” |
C.CS.FOUNDATION.G_7_3.R_1 | 开启集群数据加密功能 | dws-enable-kms | DWS集群启用KMS加密 | dws | DWS集群未启用KMS加密,视为“不合规” |
C.CS.FOUNDATION.G_7_3.R_4 | 开启 DWS 数据库审计日志转储 | dws-enable-log-dump | DWS集群启用日志转储 | dws | DWS集群未启用日志转储,视为“不合规” |
