安全云脑 SECMASTER-内置检查项:华为云安全配置基线—身份与访问管理

时间：2024-10-24 10:47:35

安全云脑 SECMASTER 基线检查

华为云安全配置基线—身份与访问管理

**表33** 身份与访问管理风险项检查项
检查子项目	检查项目
设置初始 IAM 用户时，避免对具有控制台密码的用户设置访问密钥	为了提高账号资源的安全性，建议在设置初始IAM用户时，对具有控制台密码的IAM用户，不要设置访问密钥。
启用访问密钥保护	为了提高账号资源的安全性，需开启访问密钥保护功能。“访问密钥保护”功能默认为关闭状态。开启该功能后，仅管理员才可以创建、启用/停用或删除 IAM 用户的访问密钥。
启用用户登录保护	为了进一步提高账号安全性，有效避免钓鱼式攻击或者用户密码意外泄漏，用户可在 IAM 的安全设置中开启登录保护。开启后用户登录时除了需要口令认证还需要通过虚拟 MFA 或短信或邮件验证，以再次确认登录者身份。
确保IAM密码每180天或更短时间轮换一次	IAM 用户的密码有效期策略必须设置，建议满足以下要求：设置密码过期后，系统强制要求修改密码（密码有效期设置为 180 天或更短时间）。
确保设置密码最短使用时间	IAM 用户密码最短使用时间策略必须设置，建议满足以下要求：设置密码最短使用时间，必须超过设置的时间，才能进行修改（最短使用时间设置为 5 分钟）。
确保IAM密码策略要求最小长度为8或更大	密码策略 IAM 用户的密码策略应设置强密码策略，建议满足以下要求：密码长度不小于 8 位。
启用用户操作保护	为了进一步提高账号安全性，有效确保用户安全地使用云产品，用户可在 IAM 中开启操作保护。开启后，主账号及子用户在控制台进行敏感操作时（例如：删除弹性云服务器、弹性 IP 解绑等），将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。
确保任何单个IAM用户仅有一个可用的活动访问密钥	为了提高账号资源的安全性，建议单个 IAM 用户仅有一个可用的活动访问密钥。
确保IAM密码策略要求符合密码复杂度	IAM 用户的密码策略应设置强密码策略，建议满足以下要求：包含以下字符中的 3-4 种：大写字母、小写字母、数字和特殊字符。密码中允许同一字符连续出现次数（最大次数设置为1）。
确保管理员账号已启用MFA	虚拟Multi-Factor Authentication（MFA）是多因素认证方式的一种，用户需要先在智能设备上安装一个MFA应用程序（例如：“华为云”手机应用程序），才能绑定虚拟MFA设备。绑定MFA后，用户在登录时或进行敏感操作前需输入MFA随机产生的6位数字认证码。MFA设备可以基于硬件也可以基于软件，目前华为云仅支持基于软件的虚拟MFA。用户登录Console控制台必须启用MFA，保证安全登录。
确保IAM密码策略防止密码重复使用	IAM 用户的密码策略应设置强密码策略，建议满足以下要求：新密码不能与最近的历史密码相同（重复次数设置为 3）。
配置IAM的网络访问控制策略	管理员可以设置访问控制策略，限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云：允许访问的 IP 地址区间：限制用户只能从设定范围内的 IP 地址访问华为云，可以在0.0.0.0~255.255.255.255 之间设置。默认值为0.0.0.0~255.255.255.255。如不设置或设置为默认值，意味着用户的 IAM 用户可以从任意地方访问华为云。允许访问的 IP 地址或网段：限制用户只能从设定的 IP 地址或网段访问华为云，例如：10.10.10.10/32。允许访问的 VPC Endpoint：仅在“API 访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API，例如：0ccad098-b8f4-495a-9b10-613e2a5exxxx 访问控制生效条件：控制台访问：仅对账号下的IAM用户登录控制台生效，对账号本身不生效。 API 访问：仅对账号下的IAM用户通过API网关访问API接口生效，修改后2小时内生效。
确保管理员账号禁用AK/SK	为了进一步提高账号安全性，有效确保用户安全地使用云产品，用户可在 IAM 中开启操作保护。开启后，主账号及子用户在控制台进行敏感操作时（例如：删除弹性云服务器、弹性 IP 解绑等），将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。
确保不创建允许“:”管理权限的IAM策略	为了提高账号资源的安全性，不创建允许“:”管理权限的 IAM 策略。
配置登录验证策略	管理员可以设置登录验证策略，包括“会话超时策略”、“账号锁定策略”、“账号停用策略”、“最近登录提示”、“登录验证提示”。会话超时策略：如果用户超过设置的时长未操作界面，会话将会失效，需要重新登录。管理员可以设置会话超时的时长，会话超时时长默认为1个小时，可以在15分钟~24小时之间进行设置。账号锁定策略：如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。管理员可以设置账号锁定时长、锁定前允许的最大登录失败次数、重置账号锁定计数器的时间：账号锁定时长（分钟）：默认为 15 分钟，可以在 15~30 分钟之间进行设置。锁定前允许的最大登录失败次数：默认为 5 次，可以在 3~10 次之间进行设置。重置账号锁定计数器的时间：默认为 15 分钟，可以在 15~60 分钟之间进行设置。账号停用策略：如果 IAM 用户在设置的有效期内没有通过界面控制台或者API访问华为云，将会被停用。账号停用策略默认关闭，管理员可以选择开启，并在 1~240 天之间进行设置。该策略仅对账号下的 IAM 用户生效，对账号本身不生效。IAM用户被停用后，可以联系管理员重新启用。最近登录提示：如果开启最近登录提示，用户登录成功后，将在“登录验证”页面中看到上次登录成功时间，最近登录提示可以帮助用户查看是否存在异常登录信息，如果存在不是本人的登录信息，建议立即修改密码。最近登录提示默认关闭，管理员可以选择开启。登录验证提示：管理员可以在最近登录提示中进行公告，例如欢迎语，或者提示用户谨慎删除资源等。登录验证提示默认关闭，管理员可以选择开启。开启后，用户将在“登录验证”页面中看到公告信息。
确保不创建非管理员权限的IAM用户	“admin”为缺省用户，具有所有云服务资源的操作权限，当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用，可以使用统一身份认证服务（IAM）的用户管理功能，给员工或应用程序创建IAM用户。