华为云用户手册

  • sec-iam-audit 统一身份认证 审计日志字段含义如下所示: 表6 sec-iam-audit 字段 类型 字段含义 uid String 用户id。 un String 用户名。 did String 租户id。 dn String 租户名。 src String 请求 域名 。 opl String 操作级别。 op String 操作类型。 res String IAM 服务调用结果。 ter String 源ip。 dtl String iam认证详情。 tn Date 发生时间。 ts Long iam服务调用的发生时间戳。 tid String traceid。 evnt String 事件。 tobj String 操作服务。
  • sec-nip-attack IPS攻击日志字段含义如下所示: 表5 sec-nip-attack 字段 类型 字段含义 SyslogId String 日志序号。 Vsys String 虚拟系统名称。 Policy String 安全策略名称。 SrcIp String 报文的源IP地址 DstIp String 报文的目的IP地址 SrcPort String 报文的源端口(对于ICMP报文,该字段为0)。 DstPort String 报文的目的端口(对于ICMP报文,该字段为0)。 SrcZone String 报文的源安全域。 DstZone String 报文的目的安全域。 User String 用户名。 Protocol String 签名检测到的报文所属协议。 Application String 签名检测到的报文所属应用。 Profile String 配置文件的名称。 SignName String 签名的名称。 SignId String 签名的ID。 EventNum String 日志归并引入字段,是否归并需根据归并频率及日志归并条件来确定,不发生归并则为1。 Target String 签名所检测的报文所攻击的对象。具体情况如下: server:攻击对象为服务端。 client:攻击对象为客户端。 both:攻击对象为服务端和客户端。 Severity String 签名所检测的报文所造成攻击的严重性。具体情况如下: information:表示严重性为提示。 low:表示严重性为低。 medium:表示严重性为中。 high:表示严重性为高。 Os String 签名所检测的报文所攻击的操作系统。具体情况如下: all:所有系统。 android:安卓系统。 ios:苹果系统。 unix-like:Unix系统。 windows:Windows系统。 other:其他系统。 Category String 签名检测到的报文攻击特征所属的威胁分类。 Action String 签名动作。 alert:签名动作为告警。 block:签名动作为阻断。 Reference String 签名的参考信息。 Extend String 增强模式下的取证字段。
  • sec-obs-access 对象存储服务 访问日志字段含义如下所示: 表4 sec-obs-access 字段 类型 字段含义 srcip String 访问obs的源ip。 srcport String 访问obs的源端口。 logtime Date 日志记录时间。 ces_log_version String 内部请求为V0,V0不记录 CES 审计日志,V1记录CES审计日志。 request_start_time String 请求开始时间。 ctx_request_id String 请求ID,请求跟踪的唯一标识。 request_method String 请求方法(get/post)。 remote_ip String 客户端IP:端口。 operation String 操作类型,如GET.OBJECT。 bucket_name String 桶名。 object_name String 对象名(文件名)。 query_string String 请求query。 http_status String http请求状态码,如200。 content_length String 请求内容长度。 user_agent String 客户端agent。 storage_class String 对象存储类型。 user_name String 请求者用户名称。 user_id String 请求者用户ID。 domain_name String 请求者账号名称。 domain_id String 请求者账号ID。 project_id String 请求者项目ID。 owner_domain_name String 桶owner租户名称。 owner_domain_id String 桶owner租户ID。 owner_project_id String 桶owner项目ID。 transmission_type String 网络类型: 1:内网 2:公网 scheme String 网络协议。 http_version String http版本。 host String 服务obs域名。 port String 端口。 auth_v2_v4 String 鉴权方式。 host_type String 访问方式。 x_forwarded_for String 代理客户端IP。 pub_bkt String 是否为匿名访问桶。 pub_obj String 是否为匿名访问对象。 website_req String 是否为website请求。 crr_req String 是否为crr请求。 huawei_cloud_service String 是否为cdn请求。 CDN_F:认证失败 CDN:认证成功 batch_delete_success_count String 批删成功个数。 ctc_log_urn String 委托。 requester String 委托账号。 is_over_write String 是否为覆盖写。 error_code String 错误原因。 detail_error_code String 详细错误原因。 request_content_type String 请求对象类型。 request_content_md5 String 请求对象md5。 total_bytes_received String 接收到内容总数。 response_content_type String 响应对象类型。 total_bytes_sent String 发送内容总数响应头+响应BODY体。 referrer String 引用页。 index_read_count String 查询元数据表时延。 persistence_read_count String 读数据的次数。 vpc_id String 标识请求客户端所属的VPCID。 access_with_security_token String 使用sts token。 copy_size String copy_size。 vpcep_traffic String 走EP access_key String ak。
  • sec-waf-attack WAF攻击日志字段含义如下所示: 表2 sec-waf-attack 字段 类型 字段含义 category String 分类,此处值为“attack”。 time Date 标识日志时间。 time_iso8601 Date 标识日志的 ISO 8601 格式时间。 policy_id String 标识防护策略ID。 level Integer 标识防护策略层级(1为宽松,2为中等,3为严格)。 attack String 标识攻击类型。攻击类型的解释为: default:默认 xss:跨站脚本攻击 sqli:SQL注入攻击 cmdi:命令注入攻击 lfi:本地文件包含 rfi:远程文件包含 webshell:WebShell攻击 robot:爬虫攻击(根据UA黑名单拦截) vuln:漏洞攻击 cc:命中CC规则 custom_custom:命中精准防护规则 custom_whiteip:命中白名单规则 custom_geoip:命中地理位置规则 illegal:非法请求 anticrawler:命中反爬虫规则(JS挑战) antitamper:命中防篡改规则 leakage:命中隐私泄露规则 followed_action:攻击惩罚 trojan:网站木马 action String 标识处理动作。处理动作的解释为: block:拦截 log:仅记录 captcha:人机验证 rule String 标识触发的规则ID或者自定义的策略类型描述。 sub_type String 当attack为robot时,该字段不为空。标识爬虫的子类型。 script_tool:脚本工具 search_engine:搜索引擎 scaner:扫描工具 uncategorized:其他爬虫 location String 标识触发的payload的位置。 resp_headers String 标识响应头。 resp_body String 标识响应体。 hit_data String 标识触发的payload字符串。 status String 标识请求的响应状态码。 reqid String 随机ID标识。 id String 攻击 ID。 method String 标识请求方法。 sip String 标识客户端请求IP。 sport String 标识客户端请求端口。 host String 标识请求的服务器域名。 http_host String 标识请求的服务器端口。 uri String 标识请求URL。 header String 标识请求header信息。 mutipart String 标识请求multipart header(文件上传场景)。 cookie String 标识请求cookie信息。 params String 标识请求URI后的参数信息。 body_bytes_sent String 标识发送给客户端的响应体字节数。 upstream_response_time String 标识后端服务器响应时间。 process_time String 标识引擎的检测用时。 engine_id String 标识引擎的唯一标识。 group_id String 用于对接LTS服务的日志组ID。 attack_stream_id String 与group_id相关,是日志组下用户的access_stream的ID。 hostid String 标识防护域名 ID。 tenantid String 标识防护域名的租户 ID。 projectid String 标识防护域名的项目 ID。 backend Object 标识请求转发的后端服务器地址。 backend type String 标识当前后端 Host 类型(IP或域名)。 alive String 标识当前后端状态。 host String 标识当前后端 Host 值。 protocol String 标识当前后端协议。 port Integer 标识当前后端端口。
  • sec-waf-access WAF访问日志字段含义如表3所示。 表3 sec-waf-access 字段 类型 字段含义 requestid String 随机ID标识。 time Date 标识日志时间。 eng_ip String 标识引擎IP。 hostid String 标识防护域名 ID。 tenantid String 标识防护域名的租户 ID。 projectid String 标识防护域名的项目 ID。 remote_ip String 标识请求的客户端 IP。 scheme String 标识请求协议类型。 response_code String 标识请求响应码。 method String 标识请求方法。 http_host String 标识请求的服务器域名。 url String 标识请求URL。 request_length String 标识请求长度。 bytes_send String 标识发送给客户端的总字节数。 body_bytes_sent String 标识发送给客户端的响应体字节数。 upstream_addr String 标识选择的后端服务器地址。 request_time String 标识请求处理时间,从读取客户端的第一个字节开始计时。 upstream_response_time String 标识后端服务器响应时间。 upstream_status String 标识后端服务器的响应码。 upstream_connect_time String 标识后端服务器连接用时。 upstream_header_time String 标识后端服务器接收到第一个响应头字节的用时。 bind_ip String 标识引擎回源 IP。 engine_id String 标识引擎的唯一标识。 time_iso8601 Date 标识日志的 ISO 8601 格式时间。 sni String 标识通过 SNI 请求的域名。 tls_version String 标识建立 SSL 连接的协议版本。 ssl_curves String 标识客户端支持的曲线列表。 ssl_session_reused String 标识 SSL 会话是否被重用。 重用:r 未重用:. process_time String 标识引擎的检测用时。 x_forwarded_for String 标识请求头中 X-Forwarded-For 的内容。 cdn_src_ip String 标识请求头中 Cdn-Src-Ip 的内容。 x_real_ip String 标识请求头中 X-Real-Ip 的内容。
  • 通用字段 表1 通用字段 字段名 字段类型 字段含义 __time Date 日志产生的时间 __raw String 原始日志 ops.source String 数据源名称 ops.rgn String 所属局点 ops.csvc String 数据源(云服务) ops.ver String 数仓版本号 ops.hash String extend hash value of original 数据完整性验证 [src_/dest_]asset.domain.id String 租户id [src_/dest_]asset.domain.name String 租户名 [src_/dest_]asset.id String 资产id [src_/dest_]asset.name String 资产名称 [src_/dest_]asset.type String 资产类型 [src./dest.]asset.region String 资产局点 [src_/dest_]geo.ip String ip地址 [src_/dest_]geo.country String 国家(中文) [src_/dest_]geo.prov String 省份(中文) [src_/dest_]geo.city String 城市名称(中文) [src_/dest_]geo.org String 注册IP的组织 [src_/dest_]geo.isp String 运营商 [src_/dest_]geo.loc.lat Float 纬度 [src_/dest_]geo.loc.lon Float 经度 [src_/dest_]geo.tz Integer 时区 [src_/dest_]geo.utc_off Integer 时区 [src_/dest_]geo.cac String 时区 [src_/dest_]geo.iddc String 国际电话前缀码 [src_/dest_]geo.cc String 国家编码ISO [src_/dest_]geo.contc String 大洲编码ISO [src_/dest_]geo.idc String 数据中心,机房 [src_/dest_]geo.bs String 移动基站 [src_/dest_]geo.cc3 String 国家代码3位 [src_/dest_]geo.euro String 欧盟成员国
  • 支持接入的日志 安全云脑 支持集成WAF、HSS、OBS等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志,且默认存储7天。 表1 支持接入的日志 安全分类 服务 服务类型 日志 日志描述 支持的region 主机安全 主机安全服务(HSS) 租户侧云服务 hss-alarm 主机安全告警 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一(汇聚在华北-北京一)、华东-上海二、华东-青岛、华南-深圳(汇聚在华南-广州-友好用户环境)、西南-贵阳一、华东二 hss-vul 主机 漏洞扫描 结果 hss-log 主机安全日志 hss-baseline 主机安全基线 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-上海二、华东-青岛、西南-贵阳一、华东二 应用安全 Web应用防火墙 (WAF) 租户侧云服务 waf-attack WAF攻击日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一、华东-上海二(汇聚在华东-上海一)、华东-青岛、华南-深圳(汇聚在华南-广州)、西南-贵阳一、华东二 waf-access WAF访问日志 API网关(APIG) 租户侧云服务 apig-access APIG请求日志 华北-北京四、华南-广州、华东-上海一、华北-北京一 云审计 服务( CTS ) 租户侧云服务 cts-audit 云审计服务日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一、华东-上海二、华东-青岛、华南-深圳、西南-贵阳一、华东二 网络安全 NIP 华为设备 nip-attack IPS攻击日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华东-乌兰察布一、华东-上海二、华南-深圳、西南-贵阳一 亚太-新加坡、非洲-约翰内斯堡 DDoS 华为设备 ddos-attack DDoS攻击日志 华北-北京四、华南-广州、华东-上海一 云防火墙 (CFW) 租户侧云服务 cfw-block 访问控制日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华东-乌兰察布一、华东-上海二、华东-青岛、华南-深圳、西南-贵阳一、华东二 cfw-flow 流量日志 cfw-risk 攻击事件日志 运维安全 云堡垒机 (CBH) 租户侧云服务 cbh-audit 堡垒机 审计日志 华北-北京四、华南-广州、华东-上海一 数据安全 对象存储服务(OBS) 租户侧云服务 obs-access 对象存储服务访问日志 华北-北京四、华南-广州、华东-乌兰察布一、华东-上海二 数据库安全服务(DBSS) 租户侧云服务 dbss-alarm DBSS告警日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华东-乌兰察布一、华南-深圳、西南-贵阳一、华东二 数据安全中心 (DSC) 租户侧云服务 dsc-alarm DSC告警日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华东-乌兰察布一、华东-上海二、华东-青岛、西南-贵阳一、华东二 身份安全 统一身份认证服务(IAM) 租户侧云服务 iam-audit 统一身份认证服务审计日志 华北-北京四、华南-广州、华东-上海一、华北-北京一、华东-乌兰察布一、华东-上海二 云安全 威胁检测服务 (MTD) 租户侧云服务 mtd-alarm MTD告警日志 华北-北京四、华南-广州、华东-上海一、华北-北京二、华东-乌兰察布一 安全云脑(SecMaster) 租户侧云服务 secmaster-baseline 安全云脑基线 华北-北京四、华南-广州、华东-上海一、华北-北京一、华北-北京二、华东-乌兰察布一、华东-上海二、华南-深圳、西南-贵阳一、华东二 父主题: 数据集成
  • 使用*查询所有字段 SELECT * 表1 使用*查询所有字段 account_number firstname gender city balance employer state lastname age 1 Amber M Brogan 39225 Pyrami IL Duke 32 16 Hattie M Dante 5686 Netagy TN Bond 36 13 Nanette F Nogal 32838 Quility VA Bates 28 18 Dale M Orick 4180 null MD Adams 32
  • 云审计服务支持的SecMaster操作列表 云审计服务(Cloud Trace Service,CTS)记录了安全云脑相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 云审计服务支持的SecMaster操作列表如表 云审计服务支持的SecMaster操作列表所示。 表1 云审计服务支持的SecMaster操作列表 操作名称 资源类型 事件名称 剧本审核 playbook approvePlaybook 创建剧本动作 playbook createPlaybookAction 修改剧本动作 playbook updatePlaybookAction 删除剧本动作 playbook deletePlaybookAction 创建剧本 playbook createPlaybook 修改剧本 playbook updatePlaybook 删除剧本 playbook deletePlaybook 操作剧本实例 playbook operatePlaybookInstance 导出剧本实例 playbook exportPlaybookInstance 导出剧本 playbook exportPlaybook 导入剧本 playbook importPlaybook 新增剧本触发规则 playbook createPlaybookRule 更新剧本触发规则 playbook updatePlaybookRule 删除剧本触发规则 playbook deletePlaybookRule 创建剧本版本 playbook createPlaybookVersion 更新剧本版本 playbook updatePlaybookVersion 删除剧本版本 playbook deletePlaybookVersion 克隆剧本版本 playbook clonePlaybookVersion 创建流程 workflow createWorkflow 修改流程 workflow updateWorkflow 删除流程 workflow deleteWorkflow 创建流程版本 workflow createWorkflowVersion 修改流程版本 workflow updateWorkflowVersion 审核流程版本 workflow approveWorkflowVersion 删除流程版本 workflow deleteWorkflowVersion 导出流程 workflow exportWorkflow 导入流程 workflow importWorkflow 创建资产连接 asset createAsset 创建资产连接 asset updateAsset 删除资产连接 asset deleteAsset 上传附件 component uploadAttachement 创建插件模板 component createComponentTemplate 更新插件模板 component updateComponentTemplate 删除插件模板 component deleteComponentTemplate 添加评论 task commentTask 提交待办 task commitTask 创建工作空间 workspace createWorkspace 删除工作空间 workspace deleteWorkspace 更新工作空间 workspace updateWorkspace 重新收集子服务统计数据 workspace recollectServiceStatistics 父主题: 云审计服务支持的关键操作
  • 操作场景 含义:资产连接是安全编排流程中,每个插件节点需要使用到的连接域名和鉴权参数。 作用:用于在安全编排的流程执行过程中,每个插件节点运行时,传入需要连接的域名信息,以及在访问该域名时,需要使用到的用户鉴权信息,如用户名/密码、账号AK/SK等。 资产连接与插件的关系:每个插件在运行过程中,需要通过域名调用的方式访问其他云服务或者三方服务,调用过程中需要鉴权,因此,在插件的登录凭证参数中会定义需要的域名参数(Endpoint)和认证参数(用户名/密码、账号AK/SK等)。资产连接则是配置插件登录凭证的参数值,流程中每个插件节点绑定不同的资产连接,支持相同插件的不同节点访问不同的服务。 本章节主要介绍如何新建资产连接。
  • 安全编排使用流程 安全编排的使用流程如下: 图1 安全编排使用流程 表1 使用流程 序号 操作项 说明 1 (可选)配置并启用流程 启用需要的安全云脑内置的流程。 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程,且流程的初始版本(V1)也已启用,无需手动启用。 同时,如果需要对某个流程进行编辑,可以复制初始版本进行处理。 2 (可选)配置并启用剧本 启用需要的安全云脑内置的剧本。 安全云脑默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本。其中,多个剧本已默认启用,无需手动启用。默认已启用以下剧本: 主机告警状态同步、高危漏洞自动通知、主机防线告警关联历史处置信息、云脑WAF地址组关联策略、应用防线告警关联历史处置信息、网络防线告警关联历史处置信息、重复告警自动关闭、告警ip指标打标、资产防护状态统计通知、未关闭告警自动统计通知、高危告警自动通知 如果需要使用某个未启用剧本,可以启用剧本的初始版本(V1,默认已激活),或者对剧本进行修改后再启用。 父主题: 安全编排
  • 约束与限制 单账号单workspace内,单剧本调度频率时间 ≥ 5分钟。 单账号单workspace内一天内的重试次数限制如下: 手动重试:流程实例最大重试次数100次。重试之后,等剧本执行完毕之后才允许再次重试。 API接口重试:流程实例最大重试次数100次。重试之后,等剧本执行完毕之后才允许再次重试。 分类&映射约束与限制如下: 单账号单workspace内,分类&映射模板 ≤ 50个。 单账号单workspace内,分类和映射的映射关系规格为1:100。 单账号单workspace内,最多可新增分类&映射100个。
  • 操作场景 本章节将介绍用户通过管理控制台查看工作空间的信息,包括名称、类型和创建时间等。 安全云脑支持在空间管理页面中可以查看全局工作空间的信息。如果无法查看且界面提示未购买安全云脑,请先开通安全云脑任意版本。 例如,您在“华北-北京四”region已购买安全云脑、创建并使用工作空间。目前,切换至“华东-上海一”region的空间管理页面中可以查看“华北-北京四”工作空间信息。如果界面提示未购买安全云脑,且无法查看工作空间信息,请先开通安全云脑任意版本,开通后即可查看。
  • 操作查询分析结果 安全云脑通过原始日志、日志分布直方图、图表统计形式展示查询分析结果。 日志分布直方图 此处将展示查询到的日志在时间上的分布情况,同时,将鼠标放在柱状图上,可查看该数据块代表的时间和日志命中次数。 图10 日志分布直方图 原始日志 在“原始日志”页签将展示当前查询结果。 图11 原始日志 设置显示日志数据信息: 页面中默认展示最近15分钟内的日志数据,如果需要展示其他时间数据,可以在右上角选择展示的时间。 图12 选择显示时间 如需查看某时间所有字段中的数据,可单击表格中对应时间前方的展开所有数据,默认展示以表格形式展示数据。 如需查看JSON格式数据,可以选择“JSON”页签,页面将展示JSON格式的数据。 图13 展开显示数据 如需在列表中展示/筛选某些字段信息,可在右侧可选字段中选择需展示的字段,并单击字段名称后的,该字段将显示在右侧日志数据列表中。 图14 选中显示字段 字段选中后,如需调整显示先后顺序,可在右侧日志数据列表的表头列单击该字段名称后的(向左移一列)、(向右移一列)按钮来进行调整。 图15 调整顺序 字段选中后,如需取消,可在右侧日志数据列表的表头列单击该字段名称后的按钮来进行取消,或左侧在“选定字段”单击该字段名称后的按钮来取消显示。 图16 取消选择 导出日志:在原始日志页签,在页面右上方单击图标,系统将自动下载当前原始日志表格到本地。 图表统计 查询语句查询后,在“图表统计”页签可以查看可视化的查询分析结果。 图表统计是安全云脑根据查询分析语句渲染出的结果,提供有表格、线图、柱状图、饼图等多种图表类型,详细信息请参见图表统计概述。 告警 在查询分析页面右上角单击“添加告警”,可以将查询分析结果设置告警,详细信息请参见快速添加日志告警模型。 快速查询 在查询分析页面右上角单击“保存为快速查询”,可以将某一查询分析条件保存为快速查询,详细信息请参见快速查询。
  • 使用流程 安全分析功能使用具体流程如表1所示。 表1 使用流程 子流程 说明 新增工作空间 新增工作空间,用于资源隔离和控制。 数据集成 配置需要接入的数据源。 安全云脑支持集成存储、管理与监管、安全等多种华为云云产品的日志数据。集成后,可以检索并分析所有收集到的日志。 (可选)新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据,系统将创建默认数据空间,无需再进行创建。 (可选)创建管道 创建用于日志数据的采集、存储和查询的数据管道。 通过控制台接入的数据,系统将创建默认数据管道,无需再进行创建。 配置索引 配置索引条件,缩小查询范围。 接入的云服务日志,默认已为部分保留字段配置索引,具体请参见日志字段含义。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 图表统计查询分析结果 当您执行了查询分析语句后,安全云脑支持通过图表统计的形式对查询和分析的结果进行可视化展示。 目前支持表格、折线图、柱状图和饼图方式进行展示。 父主题: 安全分析
  • 安全评分扣分项 安全评分扣分项及其分值情况如表2所示。 表2 安全评分扣分项 分类 扣分项 单项扣分值 处理建议 最高扣分上限 安全服务启用 未开启安全相关服务 - 开启安全相关服务 30 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复,修复后重新触发扫描任务,自动刷新评分。 20 存在未处理的高危不合规项 5 存在未处理的中危不合规项 2 存在未处理的低危不合规项 0.1 漏洞 存在未处理的致命漏洞 10 按照漏洞修复建议指导进行漏洞修复,修复后重新触发漏洞扫描任务,自动刷新评分。 20 存在未处理的高危漏洞 5 存在未处理的中危漏洞 2 存在未处理的低危漏洞 0.1 威胁告警 存在未处理的致命告警事件 10 按照威胁事件处置指导建议进行修复,修复后自动刷新评分。 30 存在未处理的高危告警事件 5 存在未处理的中危告警事件 2 存在未处理的低危告警事件 0.1
  • 安全监控 “安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。 表2 安全监控参数说明 参数名称 参数说明 威胁告警 呈现近7天内本账号所有工作空间内未处理威胁告警,可快速了解资产遭受的威胁告警类型和数量,呈现威胁告警的统计结果。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下: 致命:即致命风险,表示您的资产中检测到了入侵事件,建议您立即查看告警事件的详情并及时进行处理。 高危:即高危风险,表示资产中检测到了可疑的异常事件,建议您立即查看告警事件的详情并及时进行处理。 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常事件,建议您及时查看该告警事件的详情。 单击威胁告警模块,系统将列表实时呈现近7天内TOP5的威胁告警事件,可快速查看威胁告警详情,监控威胁告警状况。 呈现近7天TOP5的威胁告警事件的信息,包括威胁告警名称、告警等级、资产名称、告警发现时间。 如果列表显示内容为空,表示近7天无威胁告警事件。 漏洞 展示您本账号所有工作空间内资产中TOP5漏洞类型,以及近7天内还未修复的漏洞总数和不同漏洞风险等级对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下: 高危:即高危风险,表示资产中检测到了漏洞事件,建议您立即查看漏洞事件的详情并及时进行处理。 中危:即中危风险,表示资产中检测到了可疑的异常事件,建议您立即查看漏洞事件的详情并及时进行处理。 其他:即其他类型(低危、提示)风险,表示服务器中检测到了有风险的异常事件,建议您及时查看该漏洞的详情。 单击漏洞模块中的“漏洞类型Top5”栏,系统将呈现TOP5(根据某个漏洞影响的主机数量进行排序)的漏洞类型。 此处的TOP等级是根据某个漏洞影响的主机数量进行排序,受影响主机数量越多排名越靠前。 仅当主机中Agent版本为2.0时,才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型,请将主机将Agent1.0升级至Agent2.0。 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏,系统将列表实时呈现近7天内TOP5的漏洞事件,可快速查看漏洞详情。 呈现当日最新TOP5漏洞事件详情,包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 如果列表显示内容为空,表示当日无漏洞事件。 合规检查 展示您本账号所有工作空间内资产中存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下: 致命:即致命风险,表示您的资产中检测到了不合规配置,建议您立即查看合规异常事件的详情并及时进行处理。 高危:即高危风险,表示资产中检测到了可疑的异常配置,建议您立即查看合规检查事件的详情并及时进行处理。 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常配置,建议您及时查看该合规检查项目的详情。 单击合规检查异常模块,系统将列表实时呈现TOP5的合规检查异常事件,可快速查看合规检查详情。 呈现最近一次合规检查中TOP的合规异常事件详情,包括合规检查项目名称、等级、受影响资产数量、发现时间。 如果列表显示内容为空,表示无合规异常事件。
  • 安全评分 “安全评分”板块根据不同版本的 威胁检测 能力,评估整体资产安全健康得分,可快速了解未处理风险对资产的整体威胁状况。 安全评分每天凌晨2:00自动更新,也支持通过单击“重新检测”来进行实时更新。 分值范围为0~100,分值越大表示风险越小,资产更安全,安全分值详细说明请参见安全评分。 分值环形图不同颜色表示不同威胁等级。例如,黄色对应“中危”。 资产风险修复,并手动刷新告警事件状态后,安全评分实时更新。资产安全风险修复后,也可以直接单击“重新检测”,重新检测资产并进行评分。 资产安全风险修复后,为降低安全评分的风险等级,需手动忽略或处理告警事件,刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果,非实时数据,如需获取最新数据及评分,可单击“重新检测”,获取最近的数据。
  • 华为云安全配置基线—企业智能 表39 企业智能风险项检查项 检查子项目 检查项目 云 数据仓库 DWS 开启集群 数据加密 功能 DWS可以为集群启用数据库加密,以保护静态数据,避免拖库等安全问题。 开启DWS数据库审计日志 DWS支持数据库操作审计日志,与管控面的审计互相独立,可以记录数据库内部各个用户的操作记录。 建议按需开启需要记录的操作日志,方便追溯历史数据的操作,保证数据安全。 开启DWS管理控制台审计日志 GaussDB (DWS)通过云审计服务(Cloud Trace Service,CTS)记录GaussDB(DWS)管理控制台的关键操作事件,比如创建集群、创建快照、扩容集群、重启集群等。 记录的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。开启后方便进行控制台操作审计及问题定位。 开启DWS数据库审计日志转储 DWS的数据库审计日志可以记录数据库中的连接和用户活动相关信息。这些审计日志信息有助于监控数据库以确保安全或进行故障排除或定位历史操作记录,默认存储在数据库中。可以将审计日志转储到OBS中,确保审计日志有备份,且更方便用户操作查看审计日志。 开启DWS三权分立模式 默认情况下,创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员,能够创建其他用户和查看数据库的审计日志,即权限不分立,三权分立模式为关闭。 为了保护集群数据的安全,GaussDB(DWS)支持对集群设置三权分立,使用不同类型的用户分别控制不同权限的模式。 开启SSL加密传输功能 SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输,建议配置开启。 AI 开发平台 ModelArts 使用IP白名单的方式接入notebook Notebook实例支持通过SSH方式直接连接,通过keypair方式进行认证。除此之外,对于安全性要求更强的用户,建议配置IP白名单的方式,进一步限制能接入该实例的终端节点。 对不同的子用户,使用独立的委托 要使用ModelArts的资源,需要得到用户的委托授权。 为了控制各子用户之间权限,建议租户在ModelArts全局配置功能中给各子用户分配委托权限时,分开授权,不要多个子用户共用一个委托凭证。 使用专属资源池 在使用训练、推理、开发环境时,建议生产环境下使用专属资源池,它在提供独享的计算资源情况下,还可以提供更强更安全的资源隔离能力。 自定义镜像 使用非root用户运行 自定义镜像支持自行开发Dockerfile,并推送到SWR。 出于权限控制范围的考虑,建议用户在自定义镜像时,显式定义默认运行的用户为root用户,以降低容器运行时的安全风险。 开启“严格模式” 使用ModelArts的资源时,需要对不同的子用户分配不同的委托授权,达到最小化授权。 MapReduce 服务 MRS 集群EIP安全组管控 MRS集群支持绑定EIP,绑定EIP后,并开通安全组后,可以使用EIP访问MRS集群Manager管理界面,也可以使用SSH登录到MRS集群节点。因此,需要做好安全组管控,不要将不可信的IP加入到安全组的规则中,允许其访问。此外,需要放通的IP,也要控制端口范围,按需放开,不建议直接放开所有端口。 管控数分设 MRS集群的常用部署模板“管控合设”、“管控分设”、“数据分设”,为了数据节点和管控节点的隔离,建议使用“管控分设”、“数据分设”方式。 开启Kerberos认证 MRS集群组件使用Kerberos认证。 Kerberos认证开启时,用户需要通过认证后才可以访问组件对应资源,若不开启Kerberos认证,访问组件将不需要认证和鉴权,会给集群带来风险。
  • 华为云安全配置基线—存储 表38 存储风险项检查项 检查子项目 检查项目 对象存储服务 OBS 使用OBS的服务端加密存储对象 启用OBS桶的服务端加密后,用户在上传对象时,数据会在服务端加密成密文后存储。 合规场景开启WORM功能 OBS提供了合规模式的WORM(Write Once Read Many)功能,即一次写入多次读取,可以确保指定时间内不能覆盖或删除指定对象版本的数据。 在需要在线预览OBS对象的场景使用自定义域名 基于安全合规要求,华为云对象存储服务 OBS禁止通过OBS的默认域名在线预览桶内对象,即使用上述域名从浏览器访问桶内对象(如视频、图片、网页等)时,不会显示对象内容,而是以附件形式下载;在用户需要在线预览OBS对象的场景,建议使用自定义域名实现。 禁用匿名访问 OBS桶对于匿名用户禁用对外公开访问的权限,可以防止桶中数据被开放给所有人,保护私有数据不泄露(静态网站等需要对外开放的场景例外)。 使用OBS的数据临时分享功能来快速分享指定数据 当需要将存放在OBS中对象(文件或文件夹)分享给其他用户时,可以使用OBS的数据临时分享功能,分享的URL可指定有效期,过期自动失效。 使用双端固定对OBS的资源进行权限控制 设置 VPC终端节点 策略可以限制VPC中的服务器(E CS /CCE/BMS)访问OBS中的特定资源,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,实现访问控制的双向限定。 启用多版本控制功能 利用OBS多版本控制功能,可以在一个桶中保留一个对象的多个版本,提升数据异常场景快速恢复能力。 启用防盗链功能 建议启动OBS提供的防盗链能力,可以防止用户在OBS的数据被其他人盗链。 使用桶策略限制对OBS桶的访问必须使用HTTPS协议 通过桶策略中的SecureTransport条件限制必须使用HTTPS协议对该桶进行操作,可确保数据上传下载的传输安全。 避免在私有桶创建公开对象 避免在OBS桶中对匿名用户提供对象的公共读权限,可以防止对象被对外开放给所有人员,防止对象数据泄漏。 启用跨区域复制功能 启用跨区域复制功能,可为用户提供的跨区域数据容灾能力。 弹性文件服务 SFS 确保SFS Turbo文件系统是加密的 SFS Turbo文件系统加密保护您的静态数据。SFS Turbo文件系统加密特性在数据从您的应用写入到SFS Turbo文件系统时自动加密,从SFS Turbo文件系统读取数据时自动解密。 云硬盘 EVS 确保云硬盘是加密的 云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密,从云硬盘读取数据时自动解密。 云备份 CBR 开启跨区域复制备份功能 开启跨区域复制功能,更安全可靠。 开启强制备份 开启强制备份,最大限度保障用户数据的安全性和正确性,确保业务安全。 备份数据删除建议开启二次确认 为防止备份数据误删,建议开启二次确认机制。 承载备份数据的云硬盘选择加密盘 CBR备份磁盘可选为加密磁盘,成为加密备份。此特性无法手动加密和取消加密备份。
  • 华为云安全配置基线—虚拟机与容器 表36 虚拟机与容器风险项检查项 检查子项目 检查项目 云容器引擎 CCE 启用HSS的 容器安全 企业主机安全 (Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。推荐启用HSS服务保护CCE集群中的Node节点及之上的容器。 禁止容器获取宿主机元数据 租户使用CCE集群作为共享资源池来构建高阶服务,且允许高阶服务的最终用户在集群中创建不可控的容器负载时,应限制容器访问所在宿主机的元数据。 启用LTS服务并采集容器日志 云日志 服务(Log Tank Service,简称LTS)用于收集来自主机和云服务的日志数据,通过海量日志数据的分析与处理,可以将云服务和应用程序的可用性和性能最大化,为您提供实时、高效、安全的日志处理能力,帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 建议统一采集容器日志(包括容器标准输出、容器内的日志文件、节点日志文件和Kubernetes事件)并上报到LTS。 禁止使用CCE已经EOS的K8S集群版本 集群版本EOS后,CCE将不再支持对该版本的集群创建,同时不提供相应的技术支持,包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持,不再适用于CCE服务SLA保障。 请留意CCE Console公告栏或CCE官方资料中的Kubernetes版本策略,在集群生命周期截止前参考集群升级等资料及时完成升级。 集群apiserver不要暴露到公网 Kubernetes API具备访问控制能力,但偶尔存在一些无访问控制的CVE漏洞,同时为减少攻击者刺探Kubernetes API版本,建议非必须不要为集群绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 限制业务容器访问管理面 在节点上的业务容器无需访问kube-apiserver时,建议禁止节点上的容器网络流量访问到kube-apiserver。 及时处置CCE在官网发布的漏洞 CCE服务会不定期发布涉及的漏洞,用户需及时关注和处理。对于高危漏洞,当Kubernetes社区发现漏洞并发布修复方案后,CCE一般在1个月内进行修复,修复策略与社区保持一致。在CCE官方未彻底修复漏洞前,请租户参考CCE官方提供的消减措施为最大化降低漏洞带来的影响。 集群节点不要暴露到公网 节点对公网暴露后,攻击者可通过互联网发起攻击,攻破节点后可能会进一步控制集群。 如非必需,集群节点不建议绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用CCE集群过程中,由于业务场景需要,在节点上配置了kubeconfig.json文件,kubectl使用该文件中的证书和私钥信息可以控制整个集群。在不需要时,请清理节点上的/root/.kube目录下的目录文件,防止被恶意用户利用: rm -rf /root/.kube 加固K8S集群所在VPC的安全组规则 CCE作为通用的容器平台,安全组规则的设置适用于通用场景。用户可根据安全需求,通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 弹性云服务器 ECS 确保ECS内的重置密码插件更新到最新版本 弹性云服务器提供一键式重置密码功能。当弹性云服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给弹性云服务器设置新密码。及时更新重置密码插件可确保漏洞及时得到修复。 在ECS内设置防火墙策略限制对元数据的访问 弹性云服务器元数据包含了弹性云服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。 在ECS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。 确保私有镜像开启了加密 镜像加密支持私有镜像的加密。在创建弹性云服务器时,用户如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密。 使用密钥对安全登录ECS 密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。 由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账户密码泄露,从而提高Linux云服务器的安全性。 裸金属服务器 BMS 使用密钥对安全登录BMS 密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。 由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解,造成的账户密码泄露,从而提高Linux云服务器的安全性。 确保BMS内的重置密码插件更新到最新版本 裸金属服务器提供一键式重置密码功能。当裸金属服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给裸金属服务器设置新密码。 及时更新重置密码插件可确保漏洞及时得到修复。 在BMS内设置防火墙策略限制对元数据的访问 裸金属服务器元数据包含了裸金属服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。 在BMS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。
  • 华为云安全配置基线—安全 表34 安全风险项检查项 检查子项目 检查项目 启用勒索病毒防护(旗舰版/容器版/网页防篡改版) 勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中断、数据泄露或丢失,主机所有者即使支付赎金也可能难以挽回所有损失,因此勒索病毒是当今网络安全面临的最大挑战之一。主机安全服务支持静态、动态勒索病毒防护,定期备份主机数据,可以帮助您抵御勒索病毒,降低业务损失风险。 启用CBH并开启多因子认证 启用云堡垒机(Cloud Bastion Host,CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。为了进一步提高堡垒机账号安全性,用户可启用云堡垒机服务(CBH)的多因子认证功能。启用后,用户通过Web浏览器或SSH客户端登录CBH实例时需进行多因子认证。多因子认证方式包括:手机短信、手机令牌、USBKey、动态令牌。 启用企业主机安全 HSS(基础版/专业版/企业版/旗舰版) 主机实例(例如:ECS、BMS)应安装企业主机安全防护(HSS)且开启防护,全面识别并管理主机资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系。 启用WAF防护事件告警通知 通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户。 配置WAF回源IP(源站服务器部署在ECS) 回源 IP是WAF用来代理客户端请求服务器时用的源 IP,在服务器看来,接入WAF后所有源 IP都会变更为WAF的回源 IP,真实的客户端 IP会被加载HTTP头部的字段中。当WAF后未配置ELB,应配置只允许WAF的回源 IP访问ECS。 启用SecMaster高危告警自动通知 启用安全云脑(SecMaster)的高危告警自动通知,当检测到高危告警时,用户可以及时收到邮件/短信通知,从而快速处置和响应。 启用WAF对Web基础防护的拦截模式 Web基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为,并不会对攻击行为进行阻断,建议开启Web基础防护的“拦截”模式,以在发现攻击后立即阻断并记录。 启用云防火墙 CFW功能 对于有弹性公网 IP(EIP)对外暴露业务的用户,建议启用云防火墙(CFW)。启用后,所有经过EIP的公网出入流量都会先经过CFW,恶意攻击流量会被CFW检测并阻断,而正常流量返回给业务服务器,从而确保业务服务器安全、稳定、可用。 启用Web应用防火墙功能 对于有Web业务的用户,要求启用Web应用防火墙服务(WAF)。启用后,网站所有的公网流量都会先经过WAF,恶意攻击流量会被WAF检测并过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。 启用CFW告警通知 通过创建告警规则完成对日志的实时监控,当日志中的出现满足设定规则时产生告警,并通过短信或邮件的方式通知用户,可以用来实时监控日志中出现的异常信息。 启用DEW凭据托管功能 启用数据加密服务(Data Encryption Workshop,DEW)凭据托管功能,实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。 配置WAF地理位置访问策略 用户可以通过WAF配置地理位置访问控制规则,以实现对指定国家、地区的来源IP的自定义访问控制。 配置WAF回源IP(源站服务器部署在ELB) 回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变更WAF的回源IP,真实的客户端IP会被加载HTTP头部的字段中。当WAF后配置了ELB,应配置只允许WAF的回源IP访问ELB。 启用HSS网页防篡改功能 应开启HSS中的网络防篡改防护,以保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。
  • 华为云安全配置基线—日志与监控 表35 日志与监控风险项检查项 检查子项目 检查项目 启用RDS数据库审计功能 当用户开通SQL审计功能,系统会将所有的SQL操作记录下来存入日志文件,方便用户下载并查询。SQL审计功能默认关闭,启用该功能可能会有一定的性能影响。 启用DBSS数据库安全审计告警通知功能 通过设置告警通知,当数据库发生设置的告警事件时,用户可以收到DBSS发送的告警通知,及时了解数据库的安全风险。否则,无论是否有危险,用户都只能登录管理控制台自行查看,无法收到告警信息。 启用DBSS数据库安全审计功能 数据库应开通数据库审计功能,数据库安全服务(DBSS)的数据库安全审计提供旁路模式审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警,对数据库的内部违规和不正当操作进行定位追责。 确保存储日志的OBS桶为非公开可读 确保存储审计日志的桶,非公开可读,防止审计日志被非法访问。 启用CTS 用户开通云审计服务(CTS)后,系统会自动创建一个追踪器,该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。CTS服务具备对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 启用CTS的关键操作通知功能 关键操作包含高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)。下面列出部分云服务的关键操作项: IAM:createUser、deleteUser、createAgency、DeleteAgency 等 ECS:rebootServer、updateSecurityGroup、removeSecurityGroup 等 VPC:modifySecurityGroup 等 CTS:updateTracker、deleteTracker 等 OBS:setBucketAcl、setBucketPolicy 等 启用CTS的关键操作通知功能后,CTS会对这些关键操作通过 消息通知 服务( SMN )实时向相关订阅者发送通知,该功能由CTS触发,SMN完成通知发送。 CTS中需要开启关键操作通知,配置操作类型建议设置为自定义(包括删除、创建、登录)。在录入某些关键操作时,CTS可以通过SMN实时向订阅者发送通知。该功能由CTS触发,SMN发送通知。如Root Login,即企业管理员有登录事件时发送通知;或CTS更改意味着当CTS跟踪器发生更改时发送通知。 启用OBS桶日志功能 出于分析或审计等目的,用户可以开启 OBS 桶日志记录功能。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶中。 开启日志文件加密存储 将审计日志转储到OBS,可以配置加密存储,防止文件被非法访问。 启用WAF全量日志功能 启用WAF全量日志功能后,可以将攻击日志、访问日志记录到LTS中。通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。开启全量日志功能是将WAF日志记录到LTS,不影响WAF性能。 启用LTS日志转储 主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此,对于需要长期存储的日志数据,应在LTS中配置日志转储。LTS支持将日志转储至以下云服务: OBS:提供日志存储功能,长期保存日志。 数据接入服务 (DIS):提供日志长期存储能力和丰富的大数据分析能力。 启用VPC流量日志功能 VPC流日志功能可以记录虚拟私有云中的流量信息,帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。当用户想要了解虚拟私有云网卡的流量详情时,用户可以通过LTS实时查看虚拟私有云的网卡日志数据。 启用LTS主机全量日志功能 当用户选择了主机接入方式时,LTS可以将主机待采集日志的路径配置到日志流中,ICAgent将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位发往LTS,用户可以在LTS控制台实时查看日志。 确保LTS存储时长满足需求 主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此,需要用户根据业务需求配置存储时长。 启用ELB访问日志记录功能 ELB在外部流量分发时,会记录HTTP(S)详细的访问日志记录,如URI请求、客户端 IP和端口、状态码。ELB日志可用于审计,也可用于通过时间和日志中的关键词信息搜索日志,同时,也可以通过各种SQL聚合函数来分析某段时间内的外部请求统计数据,以掌握真实用户的网站使用频率等。 启用FuctionGraph函数日志功能 出于分析或审计等目的,用户可以开启FunctionGraph日志功能。通过访问日志记录,函数拥的拥有者可以分析函数执行过程,快速定位问题。 启用CFW日志管理能力 将攻击事件日志、访问控制日志、流量日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CFW日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 开启日志文件完整性校验 将审计日志转储到OBS,可以同步开启文件校验,保障审计文件的完整性,防止文件被篡改。
  • 华为云安全配置基线—数据库 表37 数据库风险项检查项 检查子项目 检查项目 RDS for MySQL 配置合理的安全组规则 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,保障数据库的安全性和稳定性。 避免绑定EIP直接通过互联网访问 避免RDS for MySQL部署在互联网或者DMZ里,应该将RDS for MySQL部署在公司内部网络,使用路由器或者防火墙技术把RDS for MySQL保护起来,避免直接绑定EIP方式从互联网访问RDS for MySQL。通过这种方式防止未授权的访问及DDoS攻击等。 开启加密通信 如果未启用TLS加密连接,那么在MySQL客户端和服务器之间以明文形式传输数据,容易受到窃听、篡改和“中间人”攻击。如果您是通过像Internet这样的非安全网络连接到MySQL服务器,那么启用TLS加密连接就显得非常重要。 禁止使用默认端口 MySQL的默认端口是3306,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。 开启透明数据加密功能 对数据文件执行实时 I/O 加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密,能有效保护数据库及数据文件的安全。 数据库版本更新到最新版本 MySQL社区有新发CVE漏洞时,会及时分析漏洞的影响,依据漏洞实际风险的影响大小决定补丁发布计划。建议及时升级修复,避免漏洞影响数据的安全。 开启数据库审计日志 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 RDS for PostgreSQL 数据库 开启备份功能设置合理的备份策略 定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。 开启用户登录时日志记录功能 为了保证数据库的安全性和可追溯性,登录者所有的操作都会记录,以达到安全审计的目的。log_connections可以记录每次尝试连接到服务器的连接认证日志,log_disconnections记录用户注销时的日志,当受到攻击或者内部员工误操作而造成重要的数据丢失时,能够及时定位登录的IP地址。 禁止使用默认端口 PostgreSQL的默认端口是5432,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。 配置合理的安全组规则 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,保障数据库的安全性和稳定性。 配置客户端认证超时时间 authentication_timeout控制完成客户端认证的时间上限,单位是秒。该参数可以防止客户端长时间占用连接通道,默认是60s。 限制连接数据库的IP地址 如果对连接数据库的IP地址不设置限制,全网都可访问,直接会增大攻击面。 开启数据库审计日志 通过将PostgreSQL审计扩展(pgAudit)与RDS for PostgreSQL数据库实例一起使用,可以记录用户对数据库的所有相关操作,通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 数据库版本更新到最新版本 PostgreSQL社区当前 9.5/9.6/10 版本已经EOL,社区已不再维护,云上 9.5/9.6 版本已经发布EOS公告。使用较老的版本可能存在漏洞,运行最新版本的软件可以避免受到某些攻击。 GaussDB 数据库 数据库连接的最大并发连接数配置 如果GaussDB连接数过高,会消耗服务器大量资源,导致操作响应变慢,同时要根据操作系统环境来设置最大连接数,如果高于操作系统接收的最大线程数,设置无效。 通过设置最大连接数,可以避免出现DDoS攻击,同时可以用最合理的方式利用系统的资源,达到最佳的OPS响应能力。 权限管理 防止PUBLIC拥有CREATE权限,导致数据库任何账户都可以在PUBLIC模式下创建表或者其他数据库对象,需要对PUBLIC的权限进行限制 开启数据库审计日志 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 安全认证配置 为了保证用户体验,同时为了防止账户被人通过暴力破解,GaussDB设置了账户登录重试次数及失败后自动解锁时间的保护措施。 用户密码的安全策略 用户密码存储在系统表pg_authid中,为防止用户密码泄露,GaussDB对用户密码进行加密存储,所采用的加密算法由配置参数password_encryption_type决定; GaussDB数据库 用户的密码都有密码有效期,可以通过参数password_notify_time提醒客户修改密码,如果需要修改密码有效期,可以通过修改password_effect_time来更改。 WAL归档配置 WAL(Write Ahead Log)即预写式日志,也称为Xlog。 开启备份功能设置合理的备份策略 当数据库或表被恶意或误删除,虽然GaussDB支持高可用,但备机数据库会被同步删除且无法还原。因此,数据被删除后只能依赖于实例的备份保障数据安全。 DDS 文档数据库 开启加密通信 如果未启用TLS加密连接,那么在MongoDB客户端和服务器之间以明文形式传输数据,容易受到窃听、篡改和“中间人”攻击。 如果您是通过像Internet这样的非安全网络连接到MongoDB服务器,那么启用TLS加密连接就显得非常重要。 开启备份功能设置合理的备份策略 DDS实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。 禁止使用默认端口 MongoDB的默认端口是27017,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。 补丁升级 DDS支持补丁升级,版本升级涉及新功能添加、问题修复,同时可以提升安全能力、性能水平。 关闭脚本运行功能 启用javascriptEnabled选项security.javascriptEnabled,可以在mongod服务端运行javascript脚本,存在安全风险,,禁用javascriptEnabled选项,mapreduce、group命令等将无法使用。 如果您的应用中没有mapreduce等操作的需求,为了安全起见,建议关闭javascriptEnabled选项。 设置秒级监控和告警规则 DDS默认支持对实例进行监控,当监控指标的值超出设置的阈值时就会触发告警,系统会通过SMN自动发送报警通知给云账号联系人,帮助您及时了解DDS实例的运行状况。 限制最大连接数 如果MongoDB的连接数过高,首先会消耗服务器过多的资源,导致ops(query、insert、update、delete)等反应变慢,同时要根据操作系统环境来设置最大连接数,如果高于操作系统接收的最大线程数,设置无效。通过设置最大连接数,可以避免出现DOS攻击,同时可以用最合理的方式利用系统的资源,达到最佳的OPS响应能力。 开启数据库审计日志 审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 开启磁盘加密 通过启用磁盘加密,可以提高数据安全性,但对数据库读写性能有少量影响。
  • 等保2.0三级要求—安全区域边界 表25 安全区域边界风险项检查项目 检查子项目 检查项目 访问控制 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则。 应在不同等级的网络区域边界部署访问控制机制,设备访问控制规则 入侵防范 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。 应在检测到网络攻击行为、异常流量情况时进行告警。 安全审计 应对云服务提供商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启。 应保证云服务提供商对云服务客户系统和数据的操作可被云服务客户审计。
  • 等保2.0三级要求—安全管理中心 表27 安全管理中心风险项检查项目 检查子项目 检查项目 集中管控 应能对物理资源和虚拟资源按照策略做统一管理调度与分配。 应保证 云计算平台 管理流量与云服务客户业务流量分离。 应根据云服务提供商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计。 应根据云服务提供商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
  • 华为云安全配置基线—身份与访问管理 表33 身份与访问管理风险项检查项 检查子项目 检查项目 设置初始IAM用户时,避免对具有控制台密码的用户设置访问密钥 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不要设置访问密钥。 启用访问密钥保护 为了提高账号资源的安全性,需开启访问密钥保护功能。“访问密钥保护”功能默认为关闭状态。开启该功能后,仅管理员才可以创建、启用/停用或删除 IAM 用户的访问密钥。 启用用户登录保护 为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,用户可在 IAM 的安全设置中开启登录保护。开启后用户登录时除了需要口令认证还需要通过虚拟 MFA 或短信或邮件验证,以再次确认登录者身份。 确保IAM密码每180天或更短时间轮换一次 IAM 用户的密码有效期策略必须设置,建议满足以下要求: 设置密码过期后,系统强制要求修改密码(密码有效期设置为 180 天或更短时间)。 确保设置密码最短使用时间 IAM 用户密码最短使用时间策略必须设置,建议满足以下要求: 设置密码最短使用时间,必须超过设置的时间,才能进行修改(最短使用时间设置为 5 分钟)。 确保IAM密码策略要求最小长度为8或更大 密码策略 IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 密码长度不小于 8 位。 启用用户操作保护 为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。 确保任何单个IAM用户仅有一个可用的活动访问密钥 为了提高账号资源的安全性,建议单个 IAM 用户仅有一个可用的活动访问密钥。 确保IAM密码策略要求符合密码复杂度 IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 包含以下字符中的 3-4 种:大写字母、小写字母、数字和特殊字符。 密码中允许同一字符连续出现次数(最大次数设置为1)。 确保管理员账号已启用MFA 虚拟Multi-Factor Authentication(MFA)是多因素认证方式的一种,用户需要先在智能设备上安装一个MFA应用程序(例如:“华为云”手机应用程序),才能绑定虚拟MFA设备。绑定MFA后,用户在登录时或进行敏感操作前需输入MFA随机产生的6位数字认证码。MFA设备可以基于硬件也可以基于软件,目前华为云仅支持基于软件的虚拟MFA。用户登录Console控制台必须启用MFA,保证安全登录。 确保IAM密码策略防止密码重复使用 IAM 用户的密码策略应设置强密码策略,建议满足以下要求: 新密码不能与最近的历史密码相同(重复次数设置为 3)。 配置IAM的网络访问控制策略 管理员可以设置访问控制策略,限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云: 允许访问的 IP 地址区间:限制用户只能从设定范围内的 IP 地址访问华为云,可以在0.0.0.0~255.255.255.255 之间设置。默认值为0.0.0.0~255.255.255.255。如不设置或设置为默认值,意味着用户的 IAM 用户可以从任意地方访问华为云。 允许访问的 IP 地址或网段:限制用户只能从设定的 IP 地址或网段访问华为云,例如:10.10.10.10/32。 允许访问的 VPC Endpoint:仅在“API 访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API,例如:0ccad098-b8f4-495a-9b10-613e2a5exxxx 访问控制生效条件: 控制台访问:仅对账号下的IAM用户登录控制台生效,对账号本身不生效。 API 访问:仅对账号下的IAM用户通过API网关访问API接口生效,修改后2小时内生效。 确保管理员账号禁用AK/SK 为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。 确保不创建允许“*:*”管理权限的IAM策略 为了提高账号资源的安全性,不创建允许“*:*”管理权限的 IAM 策略。 配置登录验证策略 管理员可以设置登录验证策略,包括“会话超时策略”、“账号锁定策略”、“账号停用策略”、“最近登录提示”、“登录验证提示”。 会话超时策略:如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。管理员可以设置会话超时的时长,会话超时时长默认为1个小时,可以在15分钟~24小时之间进行设置。 账号锁定策略:如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。管理员可以设置账号锁定时长、锁定前允许的最大登录失败次数、重置账号锁定计数器的时间: 账号锁定时长(分钟):默认为 15 分钟,可以在 15~30 分钟之间进行设置。 锁定前允许的最大登录失败次数:默认为 5 次,可以在 3~10 次之间进行设置。 重置账号锁定计数器的时间:默认为 15 分钟,可以在 15~60 分钟之间进行设置。 账号停用策略:如果 IAM 用户在设置的有效期内没有通过界面控制台或者API访问华为云,将会被停用。账号停用策略默认关闭,管理员可以选择开启,并在 1~240 天之间进行设置。该策略仅对账号下的 IAM 用户生效,对账号本身不生效。IAM用户被停用后,可以联系管理员重新启用。 最近登录提示:如果开启最近登录提示,用户登录成功后,将在“登录验证”页面中看到上次登录成功时间,最近登录提示可以帮助用户查看是否存在异常登录信息,如果存在不是本人的登录信息,建议立即修改密码。最近登录提示默认关闭,管理员可以选择开启。 登录验证提示:管理员可以在最近登录提示中进行公告,例如欢迎语,或者提示用户谨慎删除资源等。登录验证提示默认关闭,管理员可以选择开启。开启后,用户将在“登录验证”页面中看到公告信息。 确保不创建非管理员权限的IAM用户 “admin”为缺省用户,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。
  • 等保2.0三级要求—安全计算环境 表26 安全计算环境风险项检查项目 检查子项目 检查项目 身份鉴别 当远程管理云计算平台的设备时,管理终端和云计算平台之间应建立双向身份验证机制。 访问控制 应保证当虚拟机迁移时,访问控制策略随其迁移。 应允许云服务客户设置不同虚拟机之间的访问控制策略。 入侵防范 应能检测虚拟机之间的资源隔离失效,并进行告警。 应能检测到非授权新建虚拟机或者重新启用虚拟机,并进行告警。 应能检测恶意代码感染及在虚拟机间蔓延情况,并进行告警。 镜像和快照保护 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。 应提供虚拟机镜像、快照完整性检验功能,防止虚拟机镜像被恶意篡改。 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。 数据完整性和保密性 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定。 应确保只有在云服务客户授权下,云服务提供商或第三方才具有云服务客户数据的管理权限。 应确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。 数据备份恢复 云服务客户应在本地保存其业务数据的备份。 应提供查询云服务客户数据及备份存储位置的能力。 云服务提供商的 云存储 服务应保证云服务客户数据存在多个可用的副本,各副本之间的内容应保持一致。 应为云服务客户将业务系统及数据迁移到其体云计算平台和本地系统提供技术手段,并协助完成迁移过程。 剩余信息保护 应保证虚拟机所使用的内存和存储空间回收时得到完全清除。 云服务客户删除业务应用数据时,云计算平台将云存储中所有副本删除。
  • 等保2.0三级要求—安全建设管理 表28 安全建设管理风险项检查项目 检查子项目 检查项目 云服务提供商选择 应选择安全合规的云服务提供商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。 应在服务水平协议中规定云服务的各项服务内容和具体技术指标。 应在服务水平协议规定云服务提供商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除。 应与选定的云服务提供商签署保密协议,要求其不得泄漏云服务客户数据。 供应链管理 应确保供应商的选择符合国家有关规定。 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。
  • 华为云安全配置基线—网络 表32 网络风险项检查项 检查子项目 检查项目 确保限制SSH的Internet公网访问 SSH协议多作用于远程连接并管理主机,默认端口为22,在网络攻击中经常作为资源扫描和暴力破解的入口。 配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的SSH协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。 确保安全组不允许源地址0.0.0.0/0访问远程管理端口及高危端口 配置VPC安全组规则时,建议在安全组入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。 源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。 高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。 远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。 确保子网ACL不允许源地址0.0.0.0/0访问远程管理端口及高危端口 配置VPC子网的网络ACL规则时,建议在网络ACL入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。 源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。 高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。 远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。 确保限制RDP的Internet公网访问 RDP协议作用于远程桌面连接并管理主机,默认端口为3389,在网络攻击中经常作为资源扫描和暴力破解的入口。配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的RDP协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。 启用ELB监听器的访问控制 ELB负载均衡 器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。 访问流量的IP先通过白名单或黑名单访问控制,然后负载均衡转发流量,通过安全组安全规则限制,所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。 访问控制只限制实际业务的流量转发,不限制ping命令操作,被限制的IP仍可以ping通后端服务器。 对于共享型负载均衡实例来说,需要创建监听器并添加后端云服务器,才可以ping通。 对于独享型负载均衡实例来说,创建完监听器,不需要添加后端云服务器,即可以ping通。 确保VPC对等连接满足最小化访问控制 对等连接是指两个VPC之间的网络连接,对于对等连接的路由应该满足最小访问权限原则。 建议本端路由的目的地址最好限定在最小子网网段内,对端路由的目的地址最好限定在最小子网网段内。
共100000条