安全云脑 SECMASTER-内置检查项:华为云安全配置基线—安全
华为 云安全 配置基线—安全
检查子项目 |
检查项目 |
---|---|
启用勒索病毒防护(旗舰版/容器版/网页防篡改版) |
勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中断、数据泄露或丢失,主机所有者即使支付赎金也可能难以挽回所有损失,因此勒索病毒是当今网络安全面临的最大挑战之一。主机安全服务支持静态、动态勒索病毒防护,定期备份主机数据,可以帮助您抵御勒索病毒,降低业务损失风险。 |
启用CBH并开启多因子认证 |
启用 云堡垒机 (Cloud Bastion Host,CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。为了进一步提高 堡垒机 账号安全性,用户可启用云堡垒机服务(CBH)的多因子认证功能。启用后,用户通过Web浏览器或SSH客户端登录CBH实例时需进行多因子认证。多因子认证方式包括:手机短信、手机令牌、USBKey、动态令牌。 |
启用 企业主机安全 HSS(基础版/专业版/企业版/旗舰版) |
主机实例(例如:E CS 、BMS)应安装企业主机安全防护(HSS)且开启防护,全面识别并管理主机资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系。 |
启用WAF防护事件告警通知 |
通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户。 |
配置WAF回源IP(源站服务器部署在ECS) |
回源 IP是WAF用来代理客户端请求服务器时用的源 IP,在服务器看来,接入WAF后所有源 IP都会变更为WAF的回源 IP,真实的客户端 IP会被加载HTTP头部的字段中。当WAF后未配置ELB,应配置只允许WAF的回源 IP访问ECS。 |
启用SecMaster高危告警自动通知 |
启用 安全云脑 (SecMaster)的高危告警自动通知,当检测到高危告警时,用户可以及时收到邮件/短信通知,从而快速处置和响应。 |
启用WAF对Web基础防护的拦截模式 |
Web基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为,并不会对攻击行为进行阻断,建议开启Web基础防护的“拦截”模式,以在发现攻击后立即阻断并记录。 |
启用 云防火墙 CFW功能 |
对于有弹性公网 IP(EIP)对外暴露业务的用户,建议启用云防火墙(CFW)。启用后,所有经过EIP的公网出入流量都会先经过CFW,恶意攻击流量会被CFW检测并阻断,而正常流量返回给业务服务器,从而确保业务服务器安全、稳定、可用。 |
启用 Web应用防火墙 功能 |
对于有Web业务的用户,要求启用Web应用防火墙服务(WAF)。启用后,网站所有的公网流量都会先经过WAF,恶意攻击流量会被WAF检测并过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。 |
启用CFW告警通知 |
通过创建告警规则完成对日志的实时监控,当日志中的出现满足设定规则时产生告警,并通过短信或邮件的方式通知用户,可以用来实时监控日志中出现的异常信息。 |
启用DEW凭据托管功能 |
启用 数据加密 服务(Data Encryption Workshop,DEW)凭据托管功能,实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。 |
配置WAF地理位置访问策略 |
用户可以通过WAF配置地理位置访问控制规则,以实现对指定国家、地区的来源IP的自定义访问控制。 |
配置WAF回源IP(源站服务器部署在ELB) |
回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变更WAF的回源IP,真实的客户端IP会被加载HTTP头部的字段中。当WAF后配置了ELB,应配置只允许WAF的回源IP访问ELB。 |
启用HSS网页防篡改功能 |
应开启HSS中的网络防篡改防护,以保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 |