云服务器内容精选

华为云首页用户手册

基线检查

安全云脑 SECMASTER-内置检查项:华为云安全配置基线—存储

华为云安全配置基线—存储表38 存储风险项检查项检查子项目检查项目对象存储服务 OBS 使用OBS的服务端加密存储对象启用OBS桶的服务端加密后，用户在上传对象时，数据会在服务端加密成密文后存储。合规场景开启WORM功能 OBS提供了合规模式的WORM（Write Once Read Many）功能，即一次写入多次读取，可以确保指定时间内不能覆盖或删除指定对象版本的数据。在需要在线预览OBS对象的场景使用自定义域名基于安全合规要求，华为云对象存储服务 OBS禁止通过OBS的默认域名在线预览桶内对象，即使用上述域名从浏览器访问桶内对象（如视频、图片、网页等）时，不会显示对象内容，而是以附件形式下载；在用户需要在线预览OBS对象的场景，建议使用自定义域名实现。禁用匿名访问 OBS桶对于匿名用户禁用对外公开访问的权限，可以防止桶中数据被开放给所有人，保护私有数据不泄露（静态网站等需要对外开放的场景例外）。使用OBS的数据临时分享功能来快速分享指定数据当需要将存放在OBS中对象（文件或文件夹）分享给其他用户时，可以使用OBS的数据临时分享功能，分享的URL可指定有效期，过期自动失效。使用双端固定对OBS的资源进行权限控制设置 VPC终端节点策略可以限制VPC中的服务器（E CS /CCE/BMS）访问OBS中的特定资源，设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问，实现访问控制的双向限定。启用多版本控制功能利用OBS多版本控制功能，可以在一个桶中保留一个对象的多个版本，提升数据异常场景快速恢复能力。启用防盗链功能建议启动OBS提供的防盗链能力，可以防止用户在OBS的数据被其他人盗链。使用桶策略限制对OBS桶的访问必须使用HTTPS协议通过桶策略中的SecureTransport条件限制必须使用HTTPS协议对该桶进行操作，可确保数据上传下载的传输安全。避免在私有桶创建公开对象避免在OBS桶中对匿名用户提供对象的公共读权限，可以防止对象被对外开放给所有人员，防止对象数据泄漏。启用跨区域复制功能启用跨区域复制功能，可为用户提供的跨区域数据容灾能力。弹性文件服务 SFS 确保SFS Turbo文件系统是加密的 SFS Turbo文件系统加密保护您的静态数据。SFS Turbo文件系统加密特性在数据从您的应用写入到SFS Turbo文件系统时自动加密，从SFS Turbo文件系统读取数据时自动解密。云硬盘 EVS 确保云硬盘是加密的云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密，从云硬盘读取数据时自动解密。云备份 CBR 开启跨区域复制备份功能开启跨区域复制功能，更安全可靠。开启强制备份开启强制备份，最大限度保障用户数据的安全性和正确性，确保业务安全。备份数据删除建议开启二次确认为防止备份数据误删，建议开启二次确认机制。承载备份数据的云硬盘选择加密盘 CBR备份磁盘可选为加密磁盘，成为加密备份。此特性无法手动加密和取消加密备份。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:华为云安全配置基线—数据库

华为云安全配置基线—数据库表37 数据库风险项检查项检查子项目检查项目 RDS for MySQL 配置合理的安全组规则安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，保障数据库的安全性和稳定性。避免绑定EIP直接通过互联网访问避免RDS for MySQL部署在互联网或者DMZ里，应该将RDS for MySQL部署在公司内部网络，使用路由器或者防火墙技术把RDS for MySQL保护起来，避免直接绑定EIP方式从互联网访问RDS for MySQL。通过这种方式防止未授权的访问及DDoS攻击等。开启加密通信如果未启用TLS加密连接，那么在MySQL客户端和服务器之间以明文形式传输数据，容易受到窃听、篡改和“中间人”攻击。如果您是通过像Internet这样的非安全网络连接到MySQL服务器，那么启用TLS加密连接就显得非常重要。禁止使用默认端口 MySQL的默认端口是3306，使用默认端口容易被监听，存在安全隐患，推荐使用非默认端口。开启透明数据加密功能对数据文件执行实时 I/O 加密和解密，数据在写入磁盘之前进行加密，从磁盘读入内存时进行解密，能有效保护数据库及数据文件的安全。数据库版本更新到最新版本 MySQL社区有新发CVE漏洞时，会及时分析漏洞的影响，依据漏洞实际风险的影响大小决定补丁发布计划。建议及时升级修复，避免漏洞影响数据的安全。开启数据库审计日志审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。 RDS for PostgreSQL 数据库开启备份功能设置合理的备份策略定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。开启用户登录时日志记录功能为了保证数据库的安全性和可追溯性，登录者所有的操作都会记录，以达到安全审计的目的。log_connections可以记录每次尝试连接到服务器的连接认证日志，log_disconnections记录用户注销时的日志，当受到攻击或者内部员工误操作而造成重要的数据丢失时，能够及时定位登录的IP地址。禁止使用默认端口 PostgreSQL的默认端口是5432，使用默认端口容易被监听，存在安全隐患，推荐使用非默认端口。配置合理的安全组规则安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，保障数据库的安全性和稳定性。配置客户端认证超时时间 authentication_timeout控制完成客户端认证的时间上限，单位是秒。该参数可以防止客户端长时间占用连接通道，默认是60s。限制连接数据库的IP地址如果对连接数据库的IP地址不设置限制，全网都可访问，直接会增大攻击面。开启数据库审计日志通过将PostgreSQL审计扩展（pgAudit）与RDS for PostgreSQL数据库实例一起使用，可以记录用户对数据库的所有相关操作，通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。数据库版本更新到最新版本 PostgreSQL社区当前 9.5/9.6/10 版本已经EOL，社区已不再维护，云上 9.5/9.6 版本已经发布EOS公告。使用较老的版本可能存在漏洞，运行最新版本的软件可以避免受到某些攻击。 GaussDB 数据库数据库连接的最大并发连接数配置如果GaussDB连接数过高，会消耗服务器大量资源，导致操作响应变慢，同时要根据操作系统环境来设置最大连接数，如果高于操作系统接收的最大线程数，设置无效。通过设置最大连接数，可以避免出现DDoS攻击，同时可以用最合理的方式利用系统的资源，达到最佳的OPS响应能力。权限管理防止PUBLIC拥有CREATE权限，导致数据库任何账户都可以在PUBLIC模式下创建表或者其他数据库对象，需要对PUBLIC的权限进行限制开启数据库审计日志审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。安全认证配置为了保证用户体验，同时为了防止账户被人通过暴力破解，GaussDB设置了账户登录重试次数及失败后自动解锁时间的保护措施。用户密码的安全策略用户密码存储在系统表pg_authid中，为防止用户密码泄露，GaussDB对用户密码进行加密存储，所采用的加密算法由配置参数password_encryption_type决定； GaussDB数据库用户的密码都有密码有效期，可以通过参数password_notify_time提醒客户修改密码，如果需要修改密码有效期，可以通过修改password_effect_time来更改。 WAL归档配置 WAL（Write Ahead Log）即预写式日志，也称为Xlog。开启备份功能设置合理的备份策略当数据库或表被恶意或误删除，虽然GaussDB支持高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 DDS 文档数据库开启加密通信如果未启用TLS加密连接，那么在MongoDB客户端和服务器之间以明文形式传输数据，容易受到窃听、篡改和“中间人”攻击。如果您是通过像Internet这样的非安全网络连接到MongoDB服务器，那么启用TLS加密连接就显得非常重要。开启备份功能设置合理的备份策略 DDS实例支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。禁止使用默认端口 MongoDB的默认端口是27017，使用默认端口容易被监听，存在安全隐患，推荐使用非默认端口。补丁升级 DDS支持补丁升级，版本升级涉及新功能添加、问题修复，同时可以提升安全能力、性能水平。关闭脚本运行功能启用javascriptEnabled选项security.javascriptEnabled，可以在mongod服务端运行javascript脚本，存在安全风险,，禁用javascriptEnabled选项，mapreduce、group命令等将无法使用。如果您的应用中没有mapreduce等操作的需求，为了安全起见，建议关闭javascriptEnabled选项。设置秒级监控和告警规则 DDS默认支持对实例进行监控，当监控指标的值超出设置的阈值时就会触发告警，系统会通过 SMN 自动发送报警通知给云账号联系人，帮助您及时了解DDS实例的运行状况。限制最大连接数如果MongoDB的连接数过高，首先会消耗服务器过多的资源，导致ops（query、insert、update、delete）等反应变慢，同时要根据操作系统环境来设置最大连接数，如果高于操作系统接收的最大线程数，设置无效。通过设置最大连接数，可以避免出现DOS攻击，同时可以用最合理的方式利用系统的资源，达到最佳的OPS响应能力。开启数据库审计日志审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志，您可以对数据库进行安全审计、故障根因分析等操作，提高系统运维效率。开启磁盘加密通过启用磁盘加密，可以提高数据安全性，但对数据库读写性能有少量影响。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:华为云安全配置基线—企业智能

华为云安全配置基线—企业智能表39 企业智能风险项检查项检查子项目检查项目云数据仓库 DWS 开启集群数据加密功能 DWS可以为集群启用数据库加密，以保护静态数据，避免拖库等安全问题。开启DWS数据库审计日志 DWS支持数据库操作审计日志，与管控面的审计互相独立，可以记录数据库内部各个用户的操作记录。建议按需开启需要记录的操作日志，方便追溯历史数据的操作，保证数据安全。开启DWS管理控制台审计日志 GaussDB(DWS)通过云审计服务（Cloud Trace Service， CTS ）记录GaussDB(DWS)管理控制台的关键操作事件，比如创建集群、创建快照、扩容集群、重启集群等。记录的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。开启后方便进行控制台操作审计及问题定位。开启DWS数据库审计日志转储 DWS的数据库审计日志可以记录数据库中的连接和用户活动相关信息。这些审计日志信息有助于监控数据库以确保安全或进行故障排除或定位历史操作记录，默认存储在数据库中。可以将审计日志转储到OBS中，确保审计日志有备份，且更方便用户操作查看审计日志。开启DWS三权分立模式默认情况下，创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员，能够创建其他用户和查看数据库的审计日志，即权限不分立，三权分立模式为关闭。为了保护集群数据的安全，GaussDB(DWS)支持对集群设置三权分立，使用不同类型的用户分别控制不同权限的模式。开启SSL加密传输功能 SSL协议是安全性更高的协议标准，它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证，保证了通信双方更加安全的数据传输，建议配置开启。 AI 开发平台 ModelArts 使用IP白名单的方式接入notebook Notebook实例支持通过SSH方式直接连接，通过keypair方式进行认证。除此之外，对于安全性要求更强的用户，建议配置IP白名单的方式，进一步限制能接入该实例的终端节点。对不同的子用户，使用独立的委托要使用ModelArts的资源，需要得到用户的委托授权。为了控制各子用户之间权限，建议租户在ModelArts全局配置功能中给各子用户分配委托权限时，分开授权，不要多个子用户共用一个委托凭证。使用专属资源池在使用训练、推理、开发环境时，建议生产环境下使用专属资源池，它在提供独享的计算资源情况下，还可以提供更强更安全的资源隔离能力。自定义镜像使用非root用户运行自定义镜像支持自行开发Dockerfile，并推送到SWR。出于权限控制范围的考虑，建议用户在自定义镜像时，显式定义默认运行的用户为root用户，以降低容器运行时的安全风险。开启“严格模式” 使用ModelArts的资源时，需要对不同的子用户分配不同的委托授权，达到最小化授权。 MapReduce 服务 MRS 集群EIP安全组管控 MRS集群支持绑定EIP，绑定EIP后，并开通安全组后，可以使用EIP访问MRS集群Manager管理界面，也可以使用SSH登录到MRS集群节点。因此，需要做好安全组管控，不要将不可信的IP加入到安全组的规则中，允许其访问。此外，需要放通的IP，也要控制端口范围，按需放开，不建议直接放开所有端口。管控数分设 MRS集群的常用部署模板“管控合设”、“管控分设”、“数据分设”，为了数据节点和管控节点的隔离，建议使用“管控分设”、“数据分设”方式。开启Kerberos认证 MRS集群组件使用Kerberos认证。 Kerberos认证开启时，用户需要通过认证后才可以访问组件对应资源，若不开启Kerberos认证，访问组件将不需要认证和鉴权，会给集群带来风险。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:华为云安全配置基线—安全

华为云安全配置基线—安全表34 安全风险项检查项检查子项目检查项目启用勒索病毒防护（旗舰版/容器版/网页防篡改版）勒索病毒入侵主机后，会对主机数据进行加密勒索，导致主机业务中断、数据泄露或丢失，主机所有者即使支付赎金也可能难以挽回所有损失，因此勒索病毒是当今网络安全面临的最大挑战之一。主机安全服务支持静态、动态勒索病毒防护，定期备份主机数据，可以帮助您抵御勒索病毒，降低业务损失风险。启用CBH并开启多因子认证启用云堡垒机（Cloud Bastion Host，CBH）可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动，保障网络和数据不受来自外部或内部用户的入侵和破坏，便于集中报警、及时处理及审计定责。为了进一步提高堡垒机账号安全性，用户可启用云堡垒机服务（CBH）的多因子认证功能。启用后，用户通过Web浏览器或SSH客户端登录CBH实例时需进行多因子认证。多因子认证方式包括：手机短信、手机令牌、USBKey、动态令牌。启用企业主机安全 HSS（基础版/专业版/企业版/旗舰版）主机实例（例如：ECS、BMS）应安装企业主机安全防护（HSS）且开启防护，全面识别并管理主机资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系。启用WAF防护事件告警通知通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。配置WAF回源IP（源站服务器部署在ECS）回源 IP是WAF用来代理客户端请求服务器时用的源 IP，在服务器看来，接入WAF后所有源 IP都会变更为WAF的回源 IP，真实的客户端 IP会被加载HTTP头部的字段中。当WAF后未配置ELB，应配置只允许WAF的回源 IP访问ECS。启用SecMaster高危告警自动通知启用安全云脑（SecMaster）的高危告警自动通知，当检测到高危告警时，用户可以及时收到邮件/短信通知，从而快速处置和响应。启用WAF对Web基础防护的拦截模式 Web基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为，并不会对攻击行为进行阻断，建议开启Web基础防护的“拦截”模式，以在发现攻击后立即阻断并记录。启用云防火墙 CFW功能对于有弹性公网 IP（EIP）对外暴露业务的用户，建议启用云防火墙（CFW）。启用后，所有经过EIP的公网出入流量都会先经过CFW，恶意攻击流量会被CFW检测并阻断，而正常流量返回给业务服务器，从而确保业务服务器安全、稳定、可用。启用 Web应用防火墙功能对于有Web业务的用户，要求启用Web应用防火墙服务（WAF）。启用后，网站所有的公网流量都会先经过WAF，恶意攻击流量会被WAF检测并过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。启用CFW告警通知通过创建告警规则完成对日志的实时监控，当日志中的出现满足设定规则时产生告警，并通过短信或邮件的方式通知用户，可以用来实时监控日志中出现的异常信息。启用DEW凭据托管功能启用数据加密服务（Data Encryption Workshop，DEW）凭据托管功能，实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。配置WAF地理位置访问策略用户可以通过WAF配置地理位置访问控制规则，以实现对指定国家、地区的来源IP的自定义访问控制。配置WAF回源IP（源站服务器部署在ELB）回源IP是WAF用来代理客户端请求服务器时用的源IP，在服务器看来，接入WAF后所有源IP都会变更WAF的回源IP，真实的客户端IP会被加载HTTP头部的字段中。当WAF后配置了ELB，应配置只允许WAF的回源IP访问ELB。启用HSS网页防篡改功能应开启HSS中的网络防篡改防护，以保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:华为云安全配置基线—日志与监控

华为云安全配置基线—日志与监控表35 日志与监控风险项检查项检查子项目检查项目启用RDS数据库审计功能当用户开通SQL审计功能，系统会将所有的SQL操作记录下来存入日志文件，方便用户下载并查询。SQL审计功能默认关闭，启用该功能可能会有一定的性能影响。启用DBSS数据库安全审计告警通知功能通过设置告警通知，当数据库发生设置的告警事件时，用户可以收到DBSS发送的告警通知，及时了解数据库的安全风险。否则，无论是否有危险，用户都只能登录管理控制台自行查看，无法收到告警信息。启用DBSS数据库安全审计功能数据库应开通数据库审计功能，数据库安全服务（DBSS）的数据库安全审计提供旁路模式审计功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警，对数据库的内部违规和不正当操作进行定位追责。确保存储日志的OBS桶为非公开可读确保存储审计日志的桶，非公开可读，防止审计日志被非法访问。启用CTS 用户开通云审计服务（CTS）后，系统会自动创建一个追踪器，该追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。CTS服务具备对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。启用CTS的关键操作通知功能关键操作包含高危操作（重启虚拟机、变更安全配置等）、成本敏感操作（创建、删除高价资源等）、业务敏感操作（网络配置变更等）。下面列出部分云服务的关键操作项： IAM ：createUser、deleteUser、createAgency、DeleteAgency 等 ECS：rebootServer、updateSecurityGroup、removeSecurityGroup 等 VPC：modifySecurityGroup 等 CTS：updateTracker、deleteTracker 等 OBS：setBucketAcl、setBucketPolicy 等启用CTS的关键操作通知功能后，CTS会对这些关键操作通过消息通知服务（SMN）实时向相关订阅者发送通知，该功能由CTS触发，SMN完成通知发送。 CTS中需要开启关键操作通知，配置操作类型建议设置为自定义（包括删除、创建、登录）。在录入某些关键操作时，CTS可以通过SMN实时向订阅者发送通知。该功能由CTS触发，SMN发送通知。如Root Login，即企业管理员有登录事件时发送通知；或CTS更改意味着当CTS跟踪器发生更改时发送通知。启用OBS桶日志功能出于分析或审计等目的，用户可以开启 OBS 桶日志记录功能。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶中。开启日志文件加密存储将审计日志转储到OBS，可以配置加密存储，防止文件被非法访问。启用WAF全量日志功能启用WAF全量日志功能后，可以将攻击日志、访问日志记录到LTS中。通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。开启全量日志功能是将WAF日志记录到LTS，不影响WAF性能。启用LTS日志转储主机和云服务的日志数据上报至云日志服务（LTS）后，在默认存储事件过期后会被自动删除。因此，对于需要长期存储的日志数据，应在LTS中配置日志转储。LTS支持将日志转储至以下云服务： OBS：提供日志存储功能，长期保存日志。数据接入服务（DIS）：提供日志长期存储能力和丰富的大数据分析能力。启用VPC流量日志功能 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。当用户想要了解虚拟私有云网卡的流量详情时，用户可以通过LTS实时查看虚拟私有云的网卡日志数据。启用LTS主机全量日志功能当用户选择了主机接入方式时，LTS可以将主机待采集日志的路径配置到日志流中，ICAgent将按照日志采集规则采集日志，并将多条日志进行打包，以日志流为单位发往LTS，用户可以在LTS控制台实时查看日志。确保LTS存储时长满足需求主机和云服务的日志数据上报至云日志服务（LTS）后，在默认存储事件过期后会被自动删除。因此，需要用户根据业务需求配置存储时长。启用ELB访问日志记录功能 ELB在外部流量分发时，会记录HTTP(S)详细的访问日志记录，如URI请求、客户端 IP和端口、状态码。ELB日志可用于审计，也可用于通过时间和日志中的关键词信息搜索日志，同时，也可以通过各种SQL聚合函数来分析某段时间内的外部请求统计数据，以掌握真实用户的网站使用频率等。启用FuctionGraph函数日志功能出于分析或审计等目的，用户可以开启FunctionGraph日志功能。通过访问日志记录，函数拥的拥有者可以分析函数执行过程，快速定位问题。启用CFW日志管理能力将攻击事件日志、访问控制日志、流量日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的CFW日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。开启日志文件完整性校验将审计日志转储到OBS，可以同步开启文件校验，保障审计文件的完整性，防止文件被篡改。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:华为云安全配置基线—虚拟机与容器

华为云安全配置基线—虚拟机与容器表36 虚拟机与容器风险项检查项检查子项目检查项目云容器引擎 CCE 启用HSS的容器安全版企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。推荐启用HSS服务保护CCE集群中的Node节点及之上的容器。禁止容器获取宿主机元数据租户使用CCE集群作为共享资源池来构建高阶服务，且允许高阶服务的最终用户在集群中创建不可控的容器负载时，应限制容器访问所在宿主机的元数据。启用LTS服务并采集容器日志云日志服务（Log Tank Service，简称LTS）用于收集来自主机和云服务的日志数据，通过海量日志数据的分析与处理，可以将云服务和应用程序的可用性和性能最大化，为您提供实时、高效、安全的日志处理能力，帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。建议统一采集容器日志(包括容器标准输出、容器内的日志文件、节点日志文件和Kubernetes事件)并上报到LTS。禁止使用CCE已经EOS的K8S集群版本集群版本EOS后，CCE将不再支持对该版本的集群创建，同时不提供相应的技术支持，包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持，不再适用于CCE服务SLA保障。请留意CCE Console公告栏或CCE官方资料中的Kubernetes版本策略，在集群生命周期截止前参考集群升级等资料及时完成升级。集群apiserver不要暴露到公网 Kubernetes API具备访问控制能力，但偶尔存在一些无访问控制的CVE漏洞，同时为减少攻击者刺探Kubernetes API版本，建议非必须不要为集群绑定EIP，以减少攻击面。在必须绑定EIP的情况下，应通过合理配置防火墙或者安全组规则，限制非必须的端口和IP访问。限制业务容器访问管理面在节点上的业务容器无需访问kube-apiserver时，建议禁止节点上的容器网络流量访问到kube-apiserver。及时处置CCE在官网发布的漏洞 CCE服务会不定期发布涉及的漏洞，用户需及时关注和处理。对于高危漏洞，当Kubernetes社区发现漏洞并发布修复方案后，CCE一般在1个月内进行修复，修复策略与社区保持一致。在CCE官方未彻底修复漏洞前，请租户参考CCE官方提供的消减措施为最大化降低漏洞带来的影响。集群节点不要暴露到公网节点对公网暴露后，攻击者可通过互联网发起攻击，攻破节点后可能会进一步控制集群。如非必需，集群节点不建议绑定EIP，以减少攻击面。在必须绑定EIP的情况下，应通过合理配置防火墙或者安全组规则，限制非必须的端口和IP访问。在使用CCE集群过程中，由于业务场景需要，在节点上配置了kubeconfig.json文件，kubectl使用该文件中的证书和私钥信息可以控制整个集群。在不需要时，请清理节点上的/root/.kube目录下的目录文件，防止被恶意用户利用： rm -rf /root/.kube 加固K8S集群所在VPC的安全组规则 CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。弹性云服务器 ECS 确保ECS内的重置密码插件更新到最新版本弹性云服务器提供一键式重置密码功能。当弹性云服务器的密码丢失或过期时，如果提前安装了一键式重置密码插件，则可以应用一键式重置密码功能，给弹性云服务器设置新密码。及时更新重置密码插件可确保漏洞及时得到修复。在ECS内设置防火墙策略限制对元数据的访问弹性云服务器元数据包含了弹性云服务器在云平台的基本信息，例如云服务 ID、主机名、网络信息等，亦可能包含敏感信息，GuestOS的多用户设计会导致元数据访问范围开放过大，租户APP的SSRF漏洞也可能导致元数据泄露。在ECS内设置防火墙策略限制对元数据的访问，可以限制元数据访问范围，消减元数据泄露风险。确保私有镜像开启了加密镜像加密支持私有镜像的加密。在创建弹性云服务器时，用户如果选择加密镜像，弹性云服务器的系统盘会自动开启加密功能，从而实现弹性云服务器系统盘的加密。使用密钥对安全登录ECS 密钥对，即SSH密钥对，是为用户提供远程登录云服务器的认证方式，是一种区别于传统的用户名和密码登录的认证方式。密钥对包含一个公钥和一个私钥，公钥自动保存在KPS（Key Pair Service）中，私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云服务器，因此，可以防止由于密码被拦截、破解造成的账户密码泄露，从而提高Linux云服务器的安全性。裸金属服务器 BMS 使用密钥对安全登录BMS 密钥对，即SSH密钥对，是为用户提供远程登录云服务器的认证方式，是一种区别于传统的用户名和密码登录的认证方式。密钥对包含一个公钥和一个私钥，公钥自动保存在KPS（Key Pair Service）中，私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云服务器，因此，可以防止由于密码被拦截、破解，造成的账户密码泄露，从而提高Linux云服务器的安全性。确保BMS内的重置密码插件更新到最新版本裸金属服务器提供一键式重置密码功能。当裸金属服务器的密码丢失或过期时，如果提前安装了一键式重置密码插件，则可以应用一键式重置密码功能，给裸金属服务器设置新密码。及时更新重置密码插件可确保漏洞及时得到修复。在BMS内设置防火墙策略限制对元数据的访问裸金属服务器元数据包含了裸金属服务器在云平台的基本信息，例如云服务 ID、主机名、网络信息等，亦可能包含敏感信息，GuestOS的多用户设计会导致元数据访问范围开放过大，租户APP的SSRF漏洞也可能导致元数据泄露。在BMS内设置防火墙策略限制对元数据的访问，可以限制元数据访问范围，消减元数据泄露风险。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:等保2.0三级要求—安全建设管理

等保2.0三级要求—安全建设管理表28 安全建设管理风险项检查项目检查子项目检查项目云服务提供商选择应选择安全合规的云服务提供商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。应在服务水平协议中规定云服务的各项服务内容和具体技术指标。应在服务水平协议规定云服务提供商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除。应与选定的云服务提供商签署保密协议，要求其不得泄漏云服务客户数据。供应链管理应确保供应商的选择符合国家有关规定。应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。应将供应商的重要变更及时传达到云服务客户，并评估变更带来的安全风险，采取措施对风险进行控制。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:华为云安全配置基线—网络

华为云安全配置基线—网络表32 网络风险项检查项检查子项目检查项目确保限制SSH的Internet公网访问 SSH协议多作用于远程连接并管理主机，默认端口为22，在网络攻击中经常作为资源扫描和暴力破解的入口。配置VPC子网的网络ACL规则/安全组时，禁止配置源地址为 0.0.0.0/0 或者::/0 的SSH协议相关端口规则。如业务所必须，需要按照白名单的形式配置特定的源IP。确保安全组不允许源地址0.0.0.0/0访问远程管理端口及高危端口配置VPC安全组规则时，建议在安全组入方向规则中不应该对外远程管理端口、高危端口，如业务所必需，建议根据最小化开放原则开放此类端口。源地址为 0.0.0.0/0 或::/0，公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。高危端口至少包括：20、21、135、137、138、139、445、389、593、1025。远程管理端口包括：23、177、513、4899、6000~6063、5900、5901。确保子网ACL不允许源地址0.0.0.0/0访问远程管理端口及高危端口配置VPC子网的网络ACL规则时，建议在网络ACL入方向规则中不应该对外远程管理端口、高危端口，如业务所必需，建议根据最小化开放原则开放此类端口。源地址为 0.0.0.0/0 或::/0，公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。高危端口至少包括：20、21、135、137、138、139、445、389、593、1025。远程管理端口包括：23、177、513、4899、6000~6063、5900、5901。确保限制RDP的Internet公网访问 RDP协议作用于远程桌面连接并管理主机，默认端口为3389，在网络攻击中经常作为资源扫描和暴力破解的入口。配置VPC子网的网络ACL规则/安全组时，禁止配置源地址为 0.0.0.0/0 或者::/0 的RDP协议相关端口规则。如业务所必须，需要按照白名单的形式配置特定的源IP。启用ELB监听器的访问控制 ELB负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。访问流量的IP先通过白名单或黑名单访问控制，然后负载均衡转发流量，通过安全组安全规则限制，所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。访问控制只限制实际业务的流量转发，不限制ping命令操作，被限制的IP仍可以ping通后端服务器。对于共享型负载均衡实例来说，需要创建监听器并添加后端云服务器，才可以ping通。对于独享型负载均衡实例来说，创建完监听器，不需要添加后端云服务器，即可以ping通。确保VPC对等连接满足最小化访问控制对等连接是指两个VPC之间的网络连接，对于对等连接的路由应该满足最小访问权限原则。建议本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:等保2.0三级要求—安全管理中心

等保2.0三级要求—安全管理中心表27 安全管理中心风险项检查项目检查子项目检查项目集中管控应能对物理资源和虚拟资源按照策略做统一管理调度与分配。应保证云计算平台管理流量与云服务客户业务流量分离。应根据云服务提供商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计。应根据云服务提供商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:华为云安全配置基线—身份与访问管理

华为云安全配置基线—身份与访问管理表33 身份与访问管理风险项检查项检查子项目检查项目设置初始IAM用户时，避免对具有控制台密码的用户设置访问密钥为了提高账号资源的安全性，建议在设置初始IAM用户时，对具有控制台密码的IAM用户，不要设置访问密钥。启用访问密钥保护为了提高账号资源的安全性，需开启访问密钥保护功能。“访问密钥保护”功能默认为关闭状态。开启该功能后，仅管理员才可以创建、启用/停用或删除 IAM 用户的访问密钥。启用用户登录保护为了进一步提高账号安全性，有效避免钓鱼式攻击或者用户密码意外泄漏，用户可在 IAM 的安全设置中开启登录保护。开启后用户登录时除了需要口令认证还需要通过虚拟 MFA 或短信或邮件验证，以再次确认登录者身份。确保IAM密码每180天或更短时间轮换一次 IAM 用户的密码有效期策略必须设置，建议满足以下要求：设置密码过期后，系统强制要求修改密码（密码有效期设置为 180 天或更短时间）。确保设置密码最短使用时间 IAM 用户密码最短使用时间策略必须设置，建议满足以下要求：设置密码最短使用时间，必须超过设置的时间，才能进行修改（最短使用时间设置为 5 分钟）。确保IAM密码策略要求最小长度为8或更大密码策略 IAM 用户的密码策略应设置强密码策略，建议满足以下要求：密码长度不小于 8 位。启用用户操作保护为了进一步提高账号安全性，有效确保用户安全地使用云产品，用户可在 IAM 中开启操作保护。开启后，主账号及子用户在控制台进行敏感操作时（例如：删除弹性云服务器、弹性 IP 解绑等），将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。确保任何单个IAM用户仅有一个可用的活动访问密钥为了提高账号资源的安全性，建议单个 IAM 用户仅有一个可用的活动访问密钥。确保IAM密码策略要求符合密码复杂度 IAM 用户的密码策略应设置强密码策略，建议满足以下要求：包含以下字符中的 3-4 种：大写字母、小写字母、数字和特殊字符。密码中允许同一字符连续出现次数（最大次数设置为1）。确保管理员账号已启用MFA 虚拟Multi-Factor Authentication（MFA）是多因素认证方式的一种，用户需要先在智能设备上安装一个MFA应用程序（例如：“华为云”手机应用程序），才能绑定虚拟MFA设备。绑定MFA后，用户在登录时或进行敏感操作前需输入MFA随机产生的6位数字认证码。MFA设备可以基于硬件也可以基于软件，目前华为云仅支持基于软件的虚拟MFA。用户登录Console控制台必须启用MFA，保证安全登录。确保IAM密码策略防止密码重复使用 IAM 用户的密码策略应设置强密码策略，建议满足以下要求：新密码不能与最近的历史密码相同（重复次数设置为 3）。配置IAM的网络访问控制策略管理员可以设置访问控制策略，限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云：允许访问的 IP 地址区间：限制用户只能从设定范围内的 IP 地址访问华为云，可以在0.0.0.0~255.255.255.255 之间设置。默认值为0.0.0.0~255.255.255.255。如不设置或设置为默认值，意味着用户的 IAM 用户可以从任意地方访问华为云。允许访问的 IP 地址或网段：限制用户只能从设定的 IP 地址或网段访问华为云，例如：10.10.10.10/32。允许访问的 VPC Endpoint：仅在“API 访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API，例如：0ccad098-b8f4-495a-9b10-613e2a5exxxx 访问控制生效条件：控制台访问：仅对账号下的IAM用户登录控制台生效，对账号本身不生效。 API 访问：仅对账号下的IAM用户通过API网关访问API接口生效，修改后2小时内生效。确保管理员账号禁用AK/SK 为了进一步提高账号安全性，有效确保用户安全地使用云产品，用户可在 IAM 中开启操作保护。开启后，主账号及子用户在控制台进行敏感操作时（例如：删除弹性云服务器、弹性 IP 解绑等），将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。确保不创建允许“*:*”管理权限的IAM策略为了提高账号资源的安全性，不创建允许“*:*”管理权限的 IAM 策略。配置登录验证策略管理员可以设置登录验证策略，包括“会话超时策略”、“账号锁定策略”、“账号停用策略”、“最近登录提示”、“登录验证提示”。会话超时策略：如果用户超过设置的时长未操作界面，会话将会失效，需要重新登录。管理员可以设置会话超时的时长，会话超时时长默认为1个小时，可以在15分钟~24小时之间进行设置。账号锁定策略：如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。管理员可以设置账号锁定时长、锁定前允许的最大登录失败次数、重置账号锁定计数器的时间：账号锁定时长（分钟）：默认为 15 分钟，可以在 15~30 分钟之间进行设置。锁定前允许的最大登录失败次数：默认为 5 次，可以在 3~10 次之间进行设置。重置账号锁定计数器的时间：默认为 15 分钟，可以在 15~60 分钟之间进行设置。账号停用策略：如果 IAM 用户在设置的有效期内没有通过界面控制台或者API访问华为云，将会被停用。账号停用策略默认关闭，管理员可以选择开启，并在 1~240 天之间进行设置。该策略仅对账号下的 IAM 用户生效，对账号本身不生效。IAM用户被停用后，可以联系管理员重新启用。最近登录提示：如果开启最近登录提示，用户登录成功后，将在“登录验证”页面中看到上次登录成功时间，最近登录提示可以帮助用户查看是否存在异常登录信息，如果存在不是本人的登录信息，建议立即修改密码。最近登录提示默认关闭，管理员可以选择开启。登录验证提示：管理员可以在最近登录提示中进行公告，例如欢迎语，或者提示用户谨慎删除资源等。登录验证提示默认关闭，管理员可以选择开启。开启后，用户将在“登录验证”页面中看到公告信息。确保不创建非管理员权限的IAM用户 “admin”为缺省用户，具有所有云服务资源的操作权限，当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用，可以使用统一身份认证服务（IAM）的用户管理功能，给员工或应用程序创建IAM用户。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:等保2.0三级要求—安全运维管理

等保2.0三级要求—安全运维管理表22 安全运维管理风险项检查项目检查子项目检查项目环境管理应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定。应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。资产管理应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。介质管理应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。设备维护管理应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理。应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密。含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。漏洞和风险管理应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。网络和系统安全管理应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。恶意代码防范管理应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等。应定期验证防范恶意代码攻击的技术措施的有效性。配置管理应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。密码管理应遵循密码相关国家标准和行业标准。应使用国家密码管理主管部门认证核准的密码技术和产品。变更管理应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。备份与恢复管理应识别需要定期备份的重要业务信息、系统数据及软件系统等。应规定备份信息的备份方式、备份频度、存储介质、保存期等。应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。安全事件处置应及时向安全管理部门报告所发现的安全弱点和可疑事件。应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。应急预案管理应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容。应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容。应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。应定期对原有的应急预案重新评估，修订完善。外包运维管理应确保外包运维服务商的选择符合国家的有关规定。应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明。应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:等保2.0三级要求—安全通信网络

等保2.0三级要求—安全通信网络表24 安全通信网络风险项检查项目检查子项目检查项目网络架构应保证云计算平台不承载高于其安全保护等级的业务应用系统。应实现不同云服务客户虚拟网络之间的隔离。应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略。应提供开放接口或开放安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:等保2.0三级要求—安全计算环境

等保2.0三级要求—安全计算环境表26 安全计算环境风险项检查项目检查子项目检查项目身份鉴别当远程管理云计算平台的设备时，管理终端和云计算平台之间应建立双向身份验证机制。访问控制应保证当虚拟机迁移时，访问控制策略随其迁移。应允许云服务客户设置不同虚拟机之间的访问控制策略。入侵防范应能检测虚拟机之间的资源隔离失效，并进行告警。应能检测到非授权新建虚拟机或者重新启用虚拟机，并进行告警。应能检测恶意代码感染及在虚拟机间蔓延情况，并进行告警。镜像和快照保护应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。应提供虚拟机镜像、快照完整性检验功能，防止虚拟机镜像被恶意篡改。应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。数据完整性和保密性应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定。应确保只有在云服务客户授权下，云服务提供商或第三方才具有云服务客户数据的管理权限。应确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施。应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。数据备份恢复云服务客户应在本地保存其业务数据的备份。应提供查询云服务客户数据及备份存储位置的能力。云服务提供商的云存储服务应保证云服务客户数据存在多个可用的副本，各副本之间的内容应保持一致。应为云服务客户将业务系统及数据迁移到其体云计算平台和本地系统提供技术手段，并协助完成迁移过程。剩余信息保护应保证虚拟机所使用的内存和存储空间回收时得到完全清除。云服务客户删除业务应用数据时，云计算平台将云存储中所有副本删除。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:等保2.0三级要求—安全区域边界

等保2.0三级要求—安全区域边界表25 安全区域边界风险项检查项目检查子项目检查项目访问控制应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。应在不同等级的网络区域边界部署访问控制机制，设备访问控制规则入侵防范应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。应在检测到网络攻击行为、异常流量情况时进行告警。安全审计应对云服务提供商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启。应保证云服务提供商对云服务客户系统和数据的操作可被云服务客户审计。

安全云脑 SECMASTER 基线检查
安全云脑 SECMASTER-内置检查项:等保2.0三级要求—安全管理制度

等保2.0三级要求—安全管理制度表18 安全管理制度风险项检查项目检查子项目检查项目安全策略应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。管理制度应对安全管理活动中的各类管理内容建立安全管理制度。应对管理人员或操作人员执行的日常管理操作建立操作规程。应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。制定和发布应指定或授权专门的部门或人员负责安全管理制度的制定。安全管理制度应通过正式、有效的方式发布，并进行版本控制。评审和修订应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

安全云脑 SECMASTER 基线检查