安全云脑 SECMASTER-内置检查项:华为云安全配置基线—企业智能

时间:2024-11-19 19:07:17

华为 云安全 配置基线—企业智能

表39 企业智能风险项检查项

检查子项目

检查项目

数据仓库 DWS

开启集群 数据加密 功能

DWS可以为集群启用数据库加密,以保护静态数据,避免拖库等安全问题。

开启DWS数据库审计日志

DWS支持数据库操作审计日志,与管控面的审计互相独立,可以记录数据库内部各个用户的操作记录。

建议按需开启需要记录的操作日志,方便追溯历史数据的操作,保证数据安全。

开启DWS管理控制台审计日志

GaussDB (DWS)通过 云审计 服务(Cloud Trace Service, CTS )记录GaussDB(DWS)管理控制台的关键操作事件,比如创建集群、创建快照、扩容集群、重启集群等。

记录的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。开启后方便进行控制台操作审计及问题定位。

开启DWS数据库审计日志转储

DWS的数据库审计日志可以记录数据库中的连接和用户活动相关信息。这些审计日志信息有助于监控数据库以确保安全或进行故障排除或定位历史操作记录,默认存储在数据库中。可以将审计日志转储到OBS中,确保审计日志有备份,且更方便用户操作查看审计日志。

开启DWS三权分立模式

默认情况下,创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员,能够创建其他用户和查看数据库的审计日志,即权限不分立,三权分立模式为关闭。

为了保护集群数据的安全,GaussDB(DWS)支持对集群设置三权分立,使用不同类型的用户分别控制不同权限的模式。

开启SSL加密传输功能

SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输,建议配置开启。

AI 开发平台 ModelArts

使用IP白名单的方式接入notebook

Notebook实例支持通过SSH方式直接连接,通过keypair方式进行认证。除此之外,对于安全性要求更强的用户,建议配置IP白名单的方式,进一步限制能接入该实例的终端节点。

对不同的子用户,使用独立的委托

要使用ModelArts的资源,需要得到用户的委托授权。

为了控制各子用户之间权限,建议租户在ModelArts全局配置功能中给各子用户分配委托权限时,分开授权,不要多个子用户共用一个委托凭证。

使用专属资源池

在使用训练、推理、开发环境时,建议生产环境下使用专属资源池,它在提供独享的计算资源情况下,还可以提供更强更安全的资源隔离能力。

自定义镜像 使用非root用户运行

自定义镜像支持自行开发Dockerfile,并推送到SWR。

出于权限控制范围的考虑,建议用户在自定义镜像时,显式定义默认运行的用户为root用户,以降低容器运行时的安全风险。

开启“严格模式”

使用ModelArts的资源时,需要对不同的子用户分配不同的委托授权,达到最小化授权。

MapReduce 服务 MRS

集群EIP安全组管控

MRS集群支持绑定EIP,绑定EIP后,并开通安全组后,可以使用EIP访问MRS集群Manager管理界面,也可以使用SSH登录到MRS集群节点。因此,需要做好安全组管控,不要将不可信的IP加入到安全组的规则中,允许其访问。此外,需要放通的IP,也要控制端口范围,按需放开,不建议直接放开所有端口。

管控数分设

MRS集群的常用部署模板“管控合设”“管控分设”“数据分设”,为了数据节点和管控节点的隔离,建议使用“管控分设”“数据分设”方式。

开启Kerberos认证

MRS集群组件使用Kerberos认证。

Kerberos认证开启时,用户需要通过认证后才可以访问组件对应资源,若不开启Kerberos认证,访问组件将不需要认证和鉴权,会给集群带来风险。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0021.html