安全云脑 SECMASTER-内置检查项:华为云安全配置基线—安全

时间:2024-11-19 19:07:17

华为 云安全 配置基线—安全

表34 安全风险项检查项

检查子项目

检查项目

启用勒索病毒防护(旗舰版/容器版/网页防篡改版)

勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中断、数据泄露或丢失,主机所有者即使支付赎金也可能难以挽回所有损失,因此勒索病毒是当今网络安全面临的最大挑战之一。主机安全服务支持静态、动态勒索病毒防护,定期备份主机数据,可以帮助您抵御勒索病毒,降低业务损失风险。

启用CBH并开启多因子认证

启用 云堡垒机 (Cloud Bastion Host,CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。为了进一步提高 堡垒机 账号安全性,用户可启用云堡垒机服务(CBH)的多因子认证功能。启用后,用户通过Web浏览器或SSH客户端登录CBH实例时需进行多因子认证。多因子认证方式包括:手机短信、手机令牌、USBKey、动态令牌。

启用 企业主机安全 HSS(基础版/专业版/企业版/旗舰版)

主机实例(例如:E CS 、BMS)应安装企业主机安全防护(HSS)且开启防护,全面识别并管理主机资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系。

启用WAF防护事件告警通知

通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户。

配置WAF回源IP(源站服务器部署在ECS)

回源 IP是WAF用来代理客户端请求服务器时用的源 IP,在服务器看来,接入WAF后所有源 IP都会变更为WAF的回源 IP,真实的客户端 IP会被加载HTTP头部的字段中。当WAF后未配置ELB,应配置只允许WAF的回源 IP访问ECS。

启用SecMaster高危告警自动通知

启用 安全云脑 (SecMaster)的高危告警自动通知,当检测到高危告警时,用户可以及时收到邮件/短信通知,从而快速处置和响应。

启用WAF对Web基础防护的拦截模式

Web基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为,并不会对攻击行为进行阻断,建议开启Web基础防护的“拦截”模式,以在发现攻击后立即阻断并记录。

启用 云防火墙 CFW功能

对于有弹性公网 IP(EIP)对外暴露业务的用户,建议启用云防火墙(CFW)。启用后,所有经过EIP的公网出入流量都会先经过CFW,恶意攻击流量会被CFW检测并阻断,而正常流量返回给业务服务器,从而确保业务服务器安全、稳定、可用。

启用 Web应用防火墙 功能

对于有Web业务的用户,要求启用Web应用防火墙服务(WAF)。启用后,网站所有的公网流量都会先经过WAF,恶意攻击流量会被WAF检测并过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

启用CFW告警通知

通过创建告警规则完成对日志的实时监控,当日志中的出现满足设定规则时产生告警,并通过短信或邮件的方式通知用户,可以用来实时监控日志中出现的异常信息。

启用DEW凭据托管功能

启用 数据加密 服务(Data Encryption Workshop,DEW)凭据托管功能,实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。

配置WAF地理位置访问策略

用户可以通过WAF配置地理位置访问控制规则,以实现对指定国家、地区的来源IP的自定义访问控制。

配置WAF回源IP(源站服务器部署在ELB)

回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变更WAF的回源IP,真实的客户端IP会被加载HTTP头部的字段中。当WAF后配置了ELB,应配置只允许WAF的回源IP访问ELB。

启用HSS网页防篡改功能

应开启HSS中的网络防篡改防护,以保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0021.html