使用流程 基线检查使用流程说明如下： 表1 使用流程 序号 操作项 说明 1 定时执行基线检查 安全云脑 将使用默认检查计划对所有资产进行检查。 默认检查计划：默认每隔3天检查一次，每次在00:00~06:00对您账号下当前区域的所有资产进行检查。 自定义基线检查计划：根据您的需求自定义遵从包和检查时间。 2 立即执行基线检查 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据系统默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 3 查看检查结果 自动/手动基线检查完成后，可以查看基线检查结果，了解基线检查项影响的资产、基线项目详情等信息。 4 处理基线检查结果 基线检查完后，可以根据修复建议对风险项目进行处理。

基线检查方式 自动执行基线检查 SecMaster默认每隔3天检查一次，每次在00:00~06:00对您账号下当前region所有资产按照“安全上云合规检查1.0”遵从包进行检查。默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 自定义定时执行基线检查 支持自定义自动检查周期、检查时间和检查范围。 立即执行基线检查 支持立即检查所有检查规范或某个检查计划，实时查看是否存在基线风险。 立即检查所有遵从包：检查已有的，且已启用的遵从包中所有自动检查项的遵从情况。 立即执行某个检查计划：检查已选择的检查计划中设置的遵从包中的检查项目的遵从情况。 立即检查某个或某些检查项目：检查选中的检查项。 手动执行基线检查 基线检查的一些检查项目为手动检查项，需要您在线下执行检查后，再在控制台上反馈检查结果，以便计算检查项合格率。另外，自动检查的检查项目也可以进行手动检查。

响应示例 状态码： 200 请求成功 { "code" : "00000000", "data" : [ { "create_time" : "2024-01-03T01:16:21.666+08:00", "data_object" : { "arrive_time" : "2024-01-03T11:28:03.993Z+0800", "baseline_type" : { "baseline_type" : "合规检查", "baseline_type_en" : "Compliance Check", "baseline_type_zh" : "合规检查", "category" : "", "category_en" : "", "category_zh" : "", "id" : "23f48a58cXXX162846076cd0" }, "catalog_id" : "9378d1e8-XXX-4aae-XXX-c41cf6829ede", "checkitem_id" : "13fcc967-cb49-XXX-811a-9f72ce6ce8ac", "compliance_package_id" : "39488f96-XXX-4cc6-XXX-ad3c29b3a6c2", "create_time" : "2024-01-02T17:16:21.666Z+0800", "data_source" : { "company_name" : "xxx", "domain_id" : "ac7438b990efXXXb45e8bf4", "product_feature" : "SA", "product_module" : "Base-line", "product_name" : "SecMaster", "project_id" : "15645222e8XXX93dab6341da6", "region_id" : "cn-north-7", "source_type" : 1 }, "dataclass_id" : "f846c8e0-XXX-XXX-bcbf-f77190847f08", "domain_id" : "ac7438b990eXXX1004eb45e8bf4", "domain_name" : "ac7438b99XXX1004eb45e8bf4", "end_time" : "2024-01-03T11:28:51.564Z+0800", "execitem_id" : "ca2a1361-5738-479c-8c40-d078e775a23a", "execitem_version" : 1, "first_observed_time" : "2024-01-03T11:28:50.955Z+0800", "handle_status" : "qualified", "id" : "39c56d70a9c2492XXXd91934cb5cb_13fcc967-XXX-494b-XXX-9f72ce6ce8ac", "is_deleted" : false, "last_observed_time" : "2024-01-03T11:28:51.564Z+0800", "method" : 1, "origin_id" : "", "project_id" : "15645222e874XXX93dab6341da6", "region_id" : "cn-north-7", "region_name" : "cn-north-7", "resource" : { "domain_id" : "ac7438b990eXXX04eb45e8bf4", "id" : "39c56d70a9cXXX1934cb5cb", "name" : "adfasd", "project_id" : "15645222XXXc93dab6341da6", "provider" : "xxx", "region_id" : "cn-north-7", "type" : "agency" }, "severity" : "informational", "start_time" : "2024-01-03T11:28:50.955Z+0800", "task_id" : "10da8403-XXX-442d-XXX-fa2fdf42a3a1", "title" : "项目服务中的委托权限配置检查", "trigger_flag" : false, "update_time" : "2024-01-03T11:28:51.887Z+0800", "workspace_id" : "1350a050-XXX-45e2-XXX-9cbfef116de7" }, "dataclass_ref" : { "id" : "f846c8e0-XXX-3767-XXX-f77190847f08" }, "format_version" : 0, "id" : "39c56d7XXX278fXXX934cb5cb_13fcc967-cb49-XXX-811a-9f72ce6ce8ac", "update_time" : "2024-01-03T19:28:51.887+08:00", "version" : 0 }, { "create_time" : "2024-01-03T01:16:21.821+08:00", "data_object" : { "arrive_time" : "2024-01-03T11:28:03.993Z+0800", "baseline_type" : { "baseline_type" : "合规检查", "baseline_type_en" : "Compliance Check", "baseline_type_zh" : "合规检查", "category" : "", "category_en" : "", "category_zh" : "", "id" : "23f48a58c5b2fXXX162846076cd0" }, "catalog_id" : "9378d1e8-XXX-4aae-XXX-c41cf6829ede", "checkitem_id" : "13fcc967-cb49-XXX-811a-9f72ce6ce8ac", "compliance_package_id" : "39488f96-XXX-4cc6-XXX-ad3c29b3a6c2", "create_time" : "2024-01-02T17:16:21.821Z+0800", "data_source" : { "company_name" : "xxx", "domain_id" : "ac7438b990efXXX004eb45e8bf4", "product_feature" : "SA", "product_module" : "Base-line", "product_name" : "SecMaster", "project_id" : "15645222XXX5c93dab6341da6", "region_id" : "cn-north-7", "source_type" : 1 }, "dataclass_id" : "f846c8e0-XXX-3767-bcbf-f77190847f08", "domain_id" : "ac7438b990eXXXb741004eb45e8bf4", "domain_name" : "ac7438bXXX37b741004eb45e8bf4", "end_time" : "2024-01-03T11:28:51.701Z+0800", "execitem_id" : "ca2a1361-XXX-479c-XXX-d078e775a23a", "execitem_version" : 1, "first_observed_time" : "2024-01-03T11:28:51.565Z+0800", "handle_status" : "qualified", "id" : "f295575ab57XXX977d9be93ca9fe_13fcc967-XXX-494b-XXX-9f72ce6ce8ac", "is_deleted" : false, "last_observed_time" : "2024-01-03T11:28:51.701Z+0800", "method" : 1, "origin_id" : "", "project_id" : "15645222e8XXXa985c93dab6341da6", "region_id" : "cn-north-7", "region_name" : "cn-north-7", "resource" : { "domain_id" : "ac7438b99XXX1004eb45e8bf4", "id" : "f295575ab57bXXXd9be93ca9fe", "name" : "apigw_admin_trust_secmaster", "project_id" : "15645222e8XXX93dab6341da6", "provider" : "xxx", "region_id" : "cn-north-7", "type" : "agency" }, "severity" : "informational", "start_time" : "2024-01-03T11:28:51.565Z+0800", "task_id" : "10da8403-4955XXXd-a974-faXXX2a3a1", "title" : "项目服务中的委托权限配置检查", "trigger_flag" : false, "update_time" : "2024-01-03T11:28:52.023Z+0800", "workspace_id" : "1350a050-d09a-4XXX-9503-9cbfef116de7" }, "dataclass_ref" : { "id" : "f846c8e0-cf0e-XXX-bcbf-XXX7f08" }, "format_version" : 0, "id" : "f295575ab57b49XXXe93ca9fe_13fcc967-XXX-494b-XXX-9f72ce6ce8ac", "update_time" : "2024-01-03T19:28:52.023+08:00", "version" : 0 } ], "page" : 0, "size" : 10, "success" : true, "total" : 2 } 状态码： 400 请求失败 { "error_code" : "SecMaster.00040006", "error_msg" : "Invalid request parameters" } 状态码： 401 权限不足 { "error_code" : "SecMaster.90010015", "error_msg" : "Unauthorized request" } 状态码： 500 请求失败 { "error_code" : "SecMaster.00040011", "error_msg" : "Internal system error." }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户token X-Language 是 String 语言，参考值：zh-CN、en-US content-type 是 String 内容类型 表3 请求Body参数 参数 是否必选 参数类型 描述 limit 否 Integer 分页大小 offset 否 Integer 偏移量，表示查询该偏移量后面的记录 sort_by 否 String 排序关键字 order 否 String 降序或升序, DESC|ESC from_date 否 String 起始时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 to_date 否 String 截止时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 condition 否 Object 搜索条件表达式

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 code String 错误码 total Integer 查询结果总数 size Integer 分页大小 page Integer 偏移量 success Boolean 是否成功 data Array of strings 查询结果列表 状态码： 400 表5 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误描述 状态码： 401 表6 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误描述 状态码： 500 表7 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误描述

请求示例 查询基线检查结果的列表请求样例，查询2024年6月20号到2024年6月27号，遵从包ID为6add7d71-2261-4195-bab7-8ada0f0ed4d2，目录ID为0b78937f-4d9b-4223-9a46-2361e5090be0， 资源类型为iam_user， 按照最近更新时间降序排序，返回第一页，每页10条数据 { "limit" : 10, "offset" : 0, "sort_by" : "last_observed_time", "order" : "DESC", "from_date" : "2024-06-20T00:00:00.000Z", "to_date" : "2024-06-27T23:59:59.999Z", "condition" : { "conditions" : [ { "name" : "compliance_package_id", "data" : [ "compliance_package_id", "=", "6add7d71-2261-4195-bab7-8ada0f0ed4d2" ] }, { "name" : "catalog_id", "data" : [ "catalog_id", "=", "0b78937f-4d9b-4223-9a46-2361e5090be0" ] }, { "name" : "resource.type", "data" : [ "resource.type", "=", "iam_user" ] } ], "logics" : [ "compliance_package_id", "AND", "catalog_id", "AND", "resource.type" ] } }

华为 云安全 配置基线—存储 表38 存储风险项检查项 检查子项目 检查项目 对象存储服务 OBS 使用OBS的服务端加密存储对象 启用OBS桶的服务端加密后，用户在上传对象时，数据会在服务端加密成密文后存储。 合规场景开启WORM功能 OBS提供了合规模式的WORM（Write Once Read Many）功能，即一次写入多次读取，可以确保指定时间内不能覆盖或删除指定对象版本的数据。 在需要在线预览OBS对象的场景使用自定义 域名 基于安全合规要求，华为云对象存储服务 OBS禁止通过OBS的默认域名在线预览桶内对象，即使用上述域名从浏览器访问桶内对象（如视频、图片、网页等）时，不会显示对象内容，而是以附件形式下载；在用户需要在线预览OBS对象的场景，建议使用自定义域名实现。 禁用匿名访问 OBS桶对于匿名用户禁用对外公开访问的权限，可以防止桶中数据被开放给所有人，保护私有数据不泄露（静态网站等需要对外开放的场景例外）。 使用OBS的数据临时分享功能来快速分享指定数据 当需要将存放在OBS中对象（文件或文件夹）分享给其他用户时，可以使用OBS的数据临时分享功能，分享的URL可指定有效期，过期自动失效。 使用双端固定对OBS的资源进行权限控制 设置 VPC终端节点 策略可以限制VPC中的服务器（E CS /CCE/BMS）访问OBS中的特定资源，设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问，实现访问控制的双向限定。 启用多版本控制功能 利用OBS多版本控制功能，可以在一个桶中保留一个对象的多个版本，提升数据异常场景快速恢复能力。 启用防盗链功能 建议启动OBS提供的防盗链能力，可以防止用户在OBS的数据被其他人盗链。 使用桶策略限制对OBS桶的访问必须使用HTTPS协议 通过桶策略中的SecureTransport条件限制必须使用HTTPS协议对该桶进行操作，可确保数据上传下载的传输安全。 避免在私有桶创建公开对象 避免在OBS桶中对匿名用户提供对象的公共读权限，可以防止对象被对外开放给所有人员，防止对象数据泄漏。 启用跨区域复制功能 启用跨区域复制功能，可为用户提供的跨区域数据容灾能力。 弹性文件服务 SFS 确保SFS Turbo文件系统是加密的 SFS Turbo文件系统加密保护您的静态数据。SFS Turbo文件系统加密特性在数据从您的应用写入到SFS Turbo文件系统时自动加密，从SFS Turbo文件系统读取数据时自动解密。 云硬盘 EVS 确保云硬盘是加密的 云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密，从云硬盘读取数据时自动解密。 云备份 CBR 开启跨区域复制备份功能 开启跨区域复制功能，更安全可靠。 开启强制备份 开启强制备份，最大限度保障用户数据的安全性和正确性，确保业务安全。 备份数据删除建议开启二次确认 为防止备份数据误删，建议开启二次确认机制。 承载备份数据的云硬盘选择加密盘 CBR备份磁盘可选为加密磁盘，成为加密备份。此特性无法手动加密和取消加密备份。

华为云安全配置基线—企业智能 表39 企业智能风险项检查项 检查子项目 检查项目 云 数据仓库 DWS 开启集群 数据加密 功能 DWS可以为集群启用数据库加密，以保护静态数据，避免拖库等安全问题。 开启DWS数据库审计日志 DWS支持数据库操作审计日志，与管控面的审计互相独立，可以记录数据库内部各个用户的操作记录。 建议按需开启需要记录的操作日志，方便追溯历史数据的操作，保证数据安全。 开启DWS管理控制台审计日志 GaussDB (DWS)通过 云审计 服务（Cloud Trace Service， CTS ）记录GaussDB(DWS)管理控制台的关键操作事件，比如创建集群、创建快照、扩容集群、重启集群等。 记录的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。开启后方便进行控制台操作审计及问题定位。 开启DWS数据库审计日志转储 DWS的数据库审计日志可以记录数据库中的连接和用户活动相关信息。这些审计日志信息有助于监控数据库以确保安全或进行故障排除或定位历史操作记录，默认存储在数据库中。可以将审计日志转储到OBS中，确保审计日志有备份，且更方便用户操作查看审计日志。 开启DWS三权分立模式 默认情况下，创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员，能够创建其他用户和查看数据库的审计日志，即权限不分立，三权分立模式为关闭。 为了保护集群数据的安全，GaussDB(DWS)支持对集群设置三权分立，使用不同类型的用户分别控制不同权限的模式。 开启SSL加密传输功能 SSL协议是安全性更高的协议标准，它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证，保证了通信双方更加安全的数据传输，建议配置开启。 AI 开发平台 ModelArts 使用IP白名单的方式接入notebook Notebook实例支持通过SSH方式直接连接，通过keypair方式进行认证。除此之外，对于安全性要求更强的用户，建议配置IP白名单的方式，进一步限制能接入该实例的终端节点。 对不同的子用户，使用独立的委托 要使用ModelArts的资源，需要得到用户的委托授权。 为了控制各子用户之间权限，建议租户在ModelArts全局配置功能中给各子用户分配委托权限时，分开授权，不要多个子用户共用一个委托凭证。 使用专属资源池 在使用训练、推理、开发环境时，建议生产环境下使用专属资源池，它在提供独享的计算资源情况下，还可以提供更强更安全的资源隔离能力。 自定义镜像 使用非root用户运行 自定义镜像支持自行开发Dockerfile，并推送到SWR。 出于权限控制范围的考虑，建议用户在自定义镜像时，显式定义默认运行的用户为root用户，以降低容器运行时的安全风险。 开启“严格模式” 使用ModelArts的资源时，需要对不同的子用户分配不同的委托授权，达到最小化授权。 MapReduce 服务 MRS 集群EIP安全组管控 MRS集群支持绑定EIP，绑定EIP后，并开通安全组后，可以使用EIP访问MRS集群Manager管理界面，也可以使用SSH登录到MRS集群节点。因此，需要做好安全组管控，不要将不可信的IP加入到安全组的规则中，允许其访问。此外，需要放通的IP，也要控制端口范围，按需放开，不建议直接放开所有端口。 管控数分设 MRS集群的常用部署模板“管控合设”、“管控分设”、“数据分设”，为了数据节点和管控节点的隔离，建议使用“管控分设”、“数据分设”方式。 开启Kerberos认证 MRS集群组件使用Kerberos认证。 Kerberos认证开启时，用户需要通过认证后才可以访问组件对应资源，若不开启Kerberos认证，访问组件将不需要认证和鉴权，会给集群带来风险。

华为云安全配置基线—安全 表34 安全风险项检查项 检查子项目 检查项目 启用勒索病毒防护（旗舰版/容器版/网页防篡改版） 勒索病毒入侵主机后，会对主机数据进行加密勒索，导致主机业务中断、数据泄露或丢失，主机所有者即使支付赎金也可能难以挽回所有损失，因此勒索病毒是当今网络安全面临的最大挑战之一。主机安全服务支持静态、动态勒索病毒防护，定期备份主机数据，可以帮助您抵御勒索病毒，降低业务损失风险。 启用CBH并开启多因子认证 启用 云堡垒机 （Cloud Bastion Host，CBH）可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动，保障网络和数据不受来自外部或内部用户的入侵和破坏，便于集中报警、及时处理及审计定责。为了进一步提高 堡垒机 账号安全性，用户可启用云堡垒机服务（CBH）的多因子认证功能。启用后，用户通过Web浏览器或SSH客户端登录CBH实例时需进行多因子认证。多因子认证方式包括：手机短信、手机令牌、USBKey、动态令牌。 启用 企业主机安全 HSS（基础版/专业版/企业版/旗舰版） 主机实例（例如：ECS、BMS）应安装企业主机安全防护（HSS）且开启防护，全面识别并管理主机资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系。 启用WAF防护事件告警通知 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 配置WAF回源IP（源站服务器部署在ECS） 回源 IP是WAF用来代理客户端请求服务器时用的源 IP，在服务器看来，接入WAF后所有源 IP都会变更为WAF的回源 IP，真实的客户端 IP会被加载HTTP头部的字段中。当WAF后未配置ELB，应配置只允许WAF的回源 IP访问ECS。 启用SecMaster高危告警自动通知 启用安全云脑（SecMaster）的高危告警自动通知，当检测到高危告警时，用户可以及时收到邮件/短信通知，从而快速处置和响应。 启用WAF对Web基础防护的拦截模式 Web基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为，并不会对攻击行为进行阻断，建议开启Web基础防护的“拦截”模式，以在发现攻击后立即阻断并记录。 启用 云防火墙 CFW功能 对于有弹性公网 IP（EIP）对外暴露业务的用户，建议启用云防火墙（CFW）。启用后，所有经过EIP的公网出入流量都会先经过CFW，恶意攻击流量会被CFW检测并阻断，而正常流量返回给业务服务器，从而确保业务服务器安全、稳定、可用。 启用 Web应用防火墙 功能 对于有Web业务的用户，要求启用Web应用防火墙服务（WAF）。启用后，网站所有的公网流量都会先经过WAF，恶意攻击流量会被WAF检测并过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 启用CFW告警通知 通过创建告警规则完成对日志的实时监控，当日志中的出现满足设定规则时产生告警，并通过短信或邮件的方式通知用户，可以用来实时监控日志中出现的异常信息。 启用DEW凭据托管功能 启用数据加密服务（Data Encryption Workshop，DEW）凭据托管功能，实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。 配置WAF地理位置访问策略 用户可以通过WAF配置地理位置访问控制规则，以实现对指定国家、地区的来源IP的自定义访问控制。 配置WAF回源IP（源站服务器部署在ELB） 回源IP是WAF用来代理客户端请求服务器时用的源IP，在服务器看来，接入WAF后所有源IP都会变更WAF的回源IP，真实的客户端IP会被加载HTTP头部的字段中。当WAF后配置了ELB，应配置只允许WAF的回源IP访问ELB。 启用HSS网页防篡改功能 应开启HSS中的网络防篡改防护，以保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。

华为云安全配置基线—日志与监控 表35 日志与监控风险项检查项 检查子项目 检查项目 启用RDS数据库审计功能 当用户开通SQL审计功能，系统会将所有的SQL操作记录下来存入日志文件，方便用户下载并查询。SQL审计功能默认关闭，启用该功能可能会有一定的性能影响。 启用DBSS数据库安全审计告警通知功能 通过设置告警通知，当数据库发生设置的告警事件时，用户可以收到DBSS发送的告警通知，及时了解数据库的安全风险。否则，无论是否有危险，用户都只能登录管理控制台自行查看，无法收到告警信息。 启用DBSS数据库安全审计功能 数据库应开通数据库审计功能，数据库安全服务（DBSS）的数据库安全审计提供旁路模式审计功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警，对数据库的内部违规和不正当操作进行定位追责。 确保存储日志的OBS桶为非公开可读 确保存储审计日志的桶，非公开可读，防止审计日志被非法访问。 启用CTS 用户开通云审计服务（CTS）后，系统会自动创建一个追踪器，该追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。CTS服务具备对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 启用CTS的关键操作通知功能 关键操作包含高危操作（重启虚拟机、变更安全配置等）、成本敏感操作（创建、删除高价资源等）、业务敏感操作（网络配置变更等）。下面列出部分云服务的关键操作项： IAM ：createUser、deleteUser、createAgency、DeleteAgency 等 ECS：rebootServer、updateSecurityGroup、removeSecurityGroup 等 VPC：modifySecurityGroup 等 CTS：updateTracker、deleteTracker 等 OBS：setBucketAcl、setBucketPolicy 等 启用CTS的关键操作通知功能后，CTS会对这些关键操作通过 消息通知 服务（ SMN ）实时向相关订阅者发送通知，该功能由CTS触发，SMN完成通知发送。 CTS中需要开启关键操作通知，配置操作类型建议设置为自定义（包括删除、创建、登录）。在录入某些关键操作时，CTS可以通过SMN实时向订阅者发送通知。该功能由CTS触发，SMN发送通知。如Root Login，即企业管理员有登录事件时发送通知；或CTS更改意味着当CTS跟踪器发生更改时发送通知。 启用OBS桶日志功能 出于分析或审计等目的，用户可以开启 OBS 桶日志记录功能。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶中。 开启日志文件加密存储 将审计日志转储到OBS，可以配置加密存储，防止文件被非法访问。 启用WAF全量日志功能 启用WAF全量日志功能后，可以将攻击日志、访问日志记录到LTS中。通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。开启全量日志功能是将WAF日志记录到LTS，不影响WAF性能。 启用LTS日志转储 主机和云服务的日志数据上报至 云日志 服务（LTS）后，在默认存储事件过期后会被自动删除。因此，对于需要长期存储的日志数据，应在LTS中配置日志转储。LTS支持将日志转储至以下云服务： OBS：提供日志存储功能，长期保存日志。 数据接入服务 （DIS）：提供日志长期存储能力和丰富的大数据分析能力。 启用VPC流量日志功能 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。当用户想要了解虚拟私有云网卡的流量详情时，用户可以通过LTS实时查看虚拟私有云的网卡日志数据。 启用LTS主机全量日志功能 当用户选择了主机接入方式时，LTS可以将主机待采集日志的路径配置到日志流中，ICAgent将按照日志采集规则采集日志，并将多条日志进行打包，以日志流为单位发往LTS，用户可以在LTS控制台实时查看日志。 确保LTS存储时长满足需求 主机和云服务的日志数据上报至云日志服务（LTS）后，在默认存储事件过期后会被自动删除。因此，需要用户根据业务需求配置存储时长。 启用ELB访问日志记录功能 ELB在外部流量分发时，会记录HTTP(S)详细的访问日志记录，如URI请求、客户端 IP和端口、状态码。ELB日志可用于审计，也可用于通过时间和日志中的关键词信息搜索日志，同时，也可以通过各种SQL聚合函数来分析某段时间内的外部请求统计数据，以掌握真实用户的网站使用频率等。 启用FuctionGraph函数日志功能 出于分析或审计等目的，用户可以开启FunctionGraph日志功能。通过访问日志记录，函数拥的拥有者可以分析函数执行过程，快速定位问题。 启用CFW日志管理能力 将攻击事件日志、访问控制日志、流量日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的CFW日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 开启日志文件完整性校验 将审计日志转储到OBS，可以同步开启文件校验，保障审计文件的完整性，防止文件被篡改。

华为云安全配置基线—虚拟机与容器 表36 虚拟机与容器风险项检查项 检查子项目 检查项目 云容器引擎 CCE 启用HSS的 容器安全 版 企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。推荐启用HSS服务保护CCE集群中的Node节点及之上的容器。 禁止容器获取宿主机元数据 租户使用CCE集群作为共享资源池来构建高阶服务，且允许高阶服务的最终用户在集群中创建不可控的容器负载时，应限制容器访问所在宿主机的元数据。 启用LTS服务并采集容器日志 云日志服务（Log Tank Service，简称LTS）用于收集来自主机和云服务的日志数据，通过海量日志数据的分析与处理，可以将云服务和应用程序的可用性和性能最大化，为您提供实时、高效、安全的日志处理能力，帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 建议统一采集容器日志(包括容器标准输出、容器内的日志文件、节点日志文件和Kubernetes事件)并上报到LTS。 禁止使用CCE已经EOS的K8S集群版本 集群版本EOS后，CCE将不再支持对该版本的集群创建，同时不提供相应的技术支持，包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持，不再适用于CCE服务SLA保障。 请留意CCE Console公告栏或CCE官方资料中的Kubernetes版本策略，在集群生命周期截止前参考集群升级等资料及时完成升级。 集群apiserver不要暴露到公网 Kubernetes API具备访问控制能力，但偶尔存在一些无访问控制的CVE漏洞，同时为减少攻击者刺探Kubernetes API版本，建议非必须不要为集群绑定EIP，以减少攻击面。在必须绑定EIP的情况下，应通过合理配置防火墙或者安全组规则，限制非必须的端口和IP访问。 限制业务容器访问管理面 在节点上的业务容器无需访问kube-apiserver时，建议禁止节点上的容器网络流量访问到kube-apiserver。 及时处置CCE在官网发布的漏洞 CCE服务会不定期发布涉及的漏洞，用户需及时关注和处理。对于高危漏洞，当Kubernetes社区发现漏洞并发布修复方案后，CCE一般在1个月内进行修复，修复策略与社区保持一致。在CCE官方未彻底修复漏洞前，请租户参考CCE官方提供的消减措施为最大化降低漏洞带来的影响。 集群节点不要暴露到公网 节点对公网暴露后，攻击者可通过互联网发起攻击，攻破节点后可能会进一步控制集群。 如非必需，集群节点不建议绑定EIP，以减少攻击面。在必须绑定EIP的情况下，应通过合理配置防火墙或者安全组规则，限制非必须的端口和IP访问。 在使用CCE集群过程中，由于业务场景需要，在节点上配置了kubeconfig.json文件，kubectl使用该文件中的证书和私钥信息可以控制整个集群。在不需要时，请清理节点上的/root/.kube目录下的目录文件，防止被恶意用户利用： rm -rf /root/.kube 加固K8S集群所在VPC的安全组规则 CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 弹性云服务器 ECS 确保ECS内的重置密码插件更新到最新版本 弹性云服务器提供一键式重置密码功能。当弹性云服务器的密码丢失或过期时，如果提前安装了一键式重置密码插件，则可以应用一键式重置密码功能，给弹性云服务器设置新密码。及时更新重置密码插件可确保漏洞及时得到修复。 在ECS内设置防火墙策略限制对元数据的访问 弹性云服务器元数据包含了弹性云服务器在云平台的基本信息，例如云服务 ID、主机名、网络信息等，亦可能包含敏感信息，GuestOS的多用户设计会导致元数据访问范围开放过大，租户APP的SSRF漏洞也可能导致元数据泄露。 在ECS内设置防火墙策略限制对元数据的访问，可以限制元数据访问范围，消减元数据泄露风险。 确保私有镜像开启了加密 镜像加密支持私有镜像的加密。在创建弹性云服务器时，用户如果选择加密镜像，弹性云服务器的系统盘会自动开启加密功能，从而实现弹性云服务器系统盘的加密。 使用密钥对安全登录ECS 密钥对，即SSH密钥对，是为用户提供远程登录云服务器的认证方式，是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥，公钥自动保存在KPS（Key Pair Service）中，私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，而不需要输入密码。 由于密钥对可以让用户无需输入密码登录到Linux云服务器，因此，可以防止由于密码被拦截、破解造成的账户密码泄露，从而提高Linux云服务器的安全性。 裸金属服务器 BMS 使用密钥对安全登录BMS 密钥对，即SSH密钥对，是为用户提供远程登录云服务器的认证方式，是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥，公钥自动保存在KPS（Key Pair Service）中，私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，而不需要输入密码。 由于密钥对可以让用户无需输入密码登录到Linux云服务器，因此，可以防止由于密码被拦截、破解，造成的账户密码泄露，从而提高Linux云服务器的安全性。 确保BMS内的重置密码插件更新到最新版本 裸金属服务器提供一键式重置密码功能。当裸金属服务器的密码丢失或过期时，如果提前安装了一键式重置密码插件，则可以应用一键式重置密码功能，给裸金属服务器设置新密码。 及时更新重置密码插件可确保漏洞及时得到修复。 在BMS内设置防火墙策略限制对元数据的访问 裸金属服务器元数据包含了裸金属服务器在云平台的基本信息，例如云服务 ID、主机名、网络信息等，亦可能包含敏感信息，GuestOS的多用户设计会导致元数据访问范围开放过大，租户APP的SSRF漏洞也可能导致元数据泄露。 在BMS内设置防火墙策略限制对元数据的访问，可以限制元数据访问范围，消减元数据泄露风险。

华为云安全配置基线—数据库 表37 数据库风险项检查项 检查子项目 检查项目 RDS for MySQL 配置合理的安全组规则 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，保障数据库的安全性和稳定性。 避免绑定EIP直接通过互联网访问 避免RDS for MySQL部署在互联网或者DMZ里，应该将RDS for MySQL部署在公司内部网络，使用路由器或者防火墙技术把RDS for MySQL保护起来，避免直接绑定EIP方式从互联网访问RDS for MySQL。通过这种方式防止未授权的访问及DDoS攻击等。 开启加密通信 如果未启用TLS加密连接，那么在MySQL客户端和服务器之间以明文形式传输数据，容易受到窃听、篡改和“中间人”攻击。如果您是通过像Internet这样的非安全网络连接到MySQL服务器，那么启用TLS加密连接就显得非常重要。 禁止使用默认端口 MySQL的默认端口是3306，使用默认端口容易被监听，存在安全隐患，推荐使用非默认端口。 开启透明数据加密功能 对数据文件执行实时 I/O 加密和解密，数据在写入磁盘之前进行加密，从磁盘读入内存时进行解密，能有效保护数据库及数据文件的安全。 数据库版本更新到最新版本 MySQL社区有新发CVE漏洞时，会及时分析漏洞的影响，依据漏洞实际风险的影响大小决定补丁发布计划。建议及时升级修复，避免漏洞影响数据的安全。 开启数据库审计日志 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。 RDS for PostgreSQL 数据库 开启备份功能设置合理的备份策略 定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 开启用户登录时日志记录功能 为了保证数据库的安全性和可追溯性，登录者所有的操作都会记录，以达到安全审计的目的。log_connections可以记录每次尝试连接到服务器的连接认证日志，log_disconnections记录用户注销时的日志，当受到攻击或者内部员工误操作而造成重要的数据丢失时，能够及时定位登录的IP地址。 禁止使用默认端口 PostgreSQL的默认端口是5432，使用默认端口容易被监听，存在安全隐患，推荐使用非默认端口。 配置合理的安全组规则 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，保障数据库的安全性和稳定性。 配置客户端认证超时时间 authentication_timeout控制完成客户端认证的时间上限，单位是秒。该参数可以防止客户端长时间占用连接通道，默认是60s。 限制连接数据库的IP地址 如果对连接数据库的IP地址不设置限制，全网都可访问，直接会增大攻击面。 开启数据库审计日志 通过将PostgreSQL审计扩展（pgAudit）与RDS for PostgreSQL数据库实例一起使用，可以记录用户对数据库的所有相关操作，通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。 数据库版本更新到最新版本 PostgreSQL社区当前 9.5/9.6/10 版本已经EOL，社区已不再维护，云上 9.5/9.6 版本已经发布EOS公告。使用较老的版本可能存在漏洞，运行最新版本的软件可以避免受到某些攻击。 GaussDB 数据库 数据库连接的最大并发连接数配置 如果GaussDB连接数过高，会消耗服务器大量资源，导致操作响应变慢，同时要根据操作系统环境来设置最大连接数，如果高于操作系统接收的最大线程数，设置无效。 通过设置最大连接数，可以避免出现DDoS攻击，同时可以用最合理的方式利用系统的资源，达到最佳的OPS响应能力。 权限管理 防止PUBLIC拥有CREATE权限，导致数据库任何账户都可以在PUBLIC模式下创建表或者其他数据库对象，需要对PUBLIC的权限进行限制 开启数据库审计日志 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。 安全认证配置 为了保证用户体验，同时为了防止账户被人通过暴力破解，GaussDB设置了账户登录重试次数及失败后自动解锁时间的保护措施。 用户密码的安全策略 用户密码存储在系统表pg_authid中，为防止用户密码泄露，GaussDB对用户密码进行加密存储，所采用的加密算法由配置参数password_encryption_type决定； GaussDB数据库 用户的密码都有密码有效期，可以通过参数password_notify_time提醒客户修改密码，如果需要修改密码有效期，可以通过修改password_effect_time来更改。 WAL归档配置 WAL（Write Ahead Log）即预写式日志，也称为Xlog。 开启备份功能设置合理的备份策略 当数据库或表被恶意或误删除，虽然GaussDB支持高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 DDS 文档数据库 开启加密通信 如果未启用TLS加密连接，那么在MongoDB客户端和服务器之间以明文形式传输数据，容易受到窃听、篡改和“中间人”攻击。 如果您是通过像Internet这样的非安全网络连接到MongoDB服务器，那么启用TLS加密连接就显得非常重要。 开启备份功能设置合理的备份策略 DDS实例支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 禁止使用默认端口 MongoDB的默认端口是27017，使用默认端口容易被监听，存在安全隐患，推荐使用非默认端口。 补丁升级 DDS支持补丁升级，版本升级涉及新功能添加、问题修复，同时可以提升安全能力、性能水平。 关闭脚本运行功能 启用javascriptEnabled选项security.javascriptEnabled，可以在mongod服务端运行javascript脚本，存在安全风险,，禁用javascriptEnabled选项，mapreduce、group命令等将无法使用。 如果您的应用中没有mapreduce等操作的需求，为了安全起见，建议关闭javascriptEnabled选项。 设置秒级监控和告警规则 DDS默认支持对实例进行监控，当监控指标的值超出设置的阈值时就会触发告警，系统会通过SMN自动发送报警通知给云账号联系人，帮助您及时了解DDS实例的运行状况。 限制最大连接数 如果MongoDB的连接数过高，首先会消耗服务器过多的资源，导致ops（query、insert、update、delete）等反应变慢，同时要根据操作系统环境来设置最大连接数，如果高于操作系统接收的最大线程数，设置无效。通过设置最大连接数，可以避免出现DOS攻击，同时可以用最合理的方式利用系统的资源，达到最佳的OPS响应能力。 开启数据库审计日志 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。 开启磁盘加密 通过启用磁盘加密，可以提高数据安全性，但对数据库读写性能有少量影响。

等保2.0三级要求—安全区域边界 表25 安全区域边界风险项检查项目 检查子项目 检查项目 访问控制 应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。 应在不同等级的网络区域边界部署访问控制机制，设备访问控制规则 入侵防范 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。 应在检测到网络攻击行为、异常流量情况时进行告警。 安全审计 应对云服务提供商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启。 应保证云服务提供商对云服务客户系统和数据的操作可被云服务客户审计。

等保2.0三级要求—安全管理中心 表27 安全管理中心风险项检查项目 检查子项目 检查项目 集中管控 应能对物理资源和虚拟资源按照策略做统一管理调度与分配。 应保证 云计算平台 管理流量与云服务客户业务流量分离。 应根据云服务提供商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计。 应根据云服务提供商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。

等保2.0三级要求—安全通信网络 表24 安全通信网络风险项检查项目 检查子项目 检查项目 网络架构 应保证云计算平台不承载高于其安全保护等级的业务应用系统。 应实现不同云服务客户虚拟网络之间的隔离。 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略。 应提供开放接口或开放安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。