配置审计 CONFIG-网络及数据安全最佳实践:默认规则

时间:2024-12-16 14:54:35

默认规则

此表中的建议项编号对应“CIS Control v8”中参考文档的章节编号,供您查阅参考。

表1 网络及数据安全最佳实践合规包默认规则说明

建议项编号

合规规则

规则中文名称

涉及云服务

规则描述

1.1

ecs-in-allowed-security-groups

绑定指定标签的E CS 关联在指定安全组ID列表内

ecs

指定高危安全组ID列表,未绑定指定标签的ECS资源关联其中任意安全组,视为“不合规”

1.1

eip-unbound-check

弹性公网IP未进行任何绑定

vpc

弹性公网IP未进行任何绑定,视为“不合规”

1.1

eip-use-in-specified-days

EIP在指定天数内绑定到资源实例

eip

EIP创建后在指定天数内未使用,视为“不合规”

1.1

stopped-ecs-date-diff

关机状态的ECS未进行任意操作的时间检查

ecs

关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规”

1.1

vpc-acl-unused-check

未与子网关联的网络ACL

vpc

检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”

2.2

cce-cluster-oldest-supported-version

CCE集群运行的非受支持的最旧版本

cce

如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规”

3.3

css-cluster-in-vpc

CSS 集群绑定指定VPC资源

css

CSS集群未与指定的虚拟私有云资源绑定,视为“不合规”

3.3

drs-data-guard-job-not-public

数据复制服务 实时灾备任务不使用公网网络

drs

数据复制服务实时灾备任务使用公网网络,视为“不合规”

3.3

drs-migration-job-not-public

数据复制服务实时迁移任务不使用公网网络

drs

数据复制服务实时迁移任务使用公网网络,视为“不合规”

3.3

drs-synchronization-job-not-public

数据复制服务实时同步任务不使用公网网络

drs

数据复制服务实时同步任务使用公网网络,视为“不合规”

3.3

ecs-instance-in-vpc

ECS资源属于指定虚拟私有云ID

ecs、vpc

指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规”

3.3

ecs-instance-no-public-ip

ECS资源不能公网访问

ecs

ECS资源具有弹性公网IP,视为“不合规”

3.3

function-graph-inside-vpc

函数工作流 使用指定VPC

fgs

函数工作流未使用指定VPC,视为“不合规”

3.3

function-graph-public-access-prohibited

函数工作流的函数不允许访问公网

fgs

函数工作流的函数允许访问公网,视为“不合规”

3.3

iam-customer-policy-blocked-kms-actions

IAM 策略中不存在KMS的任一阻拦action

iam、access-analyzer-verified

IAM策略中授权KMS的任一阻拦action,视为“不合规”

3.3

iam-group-has-users-check

IAM用户组添加了IAM用户

iam

IAM用户组未添加任意IAM用户,视为“不合规”

3.3

iam-policy-no-statements-with-admin-access

IAM策略不具备Admin权限

iam

IAM策略中存在admin权限(Action为*:*:*或*:*或*),视为“不合规”

3.3

iam-role-has-all-permissions

IAM自定义策略具备所有权限

iam

IAM自定义策略具有allow的云服务的全部权限,视为“不合规”

3.3

iam-root-access-key-check

IAM账号存在可使用的访问密钥

iam

账号有可使用的AK/SK访问密钥,视为“不合规”

3.3

iam-user-group-membership-check

IAM用户归属指定用户组

iam

IAM用户不属于指定IAM用户组,视为“不合规”

3.3

iam-user-last-login-check

IAM用户在指定时间内有登录行为

iam

IAM用户在指定时间范围内无登录行为,视为“不合规”

3.3

mrs-cluster-kerberos-enabled

MRS 集群开启kerberos认证

mrs

MRS集群未开启kerberos认证,视为“不合规”

3.3

mrs-cluster-no-public-ip

MRS集群未绑定弹性公网IP

mrs

MRS集群绑定弹性公网IP,视为“不合规”

3.3

rds-instance-no-public-ip

RDS实例不具有弹性公网IP

rds

RDS资源具有弹性公网IP,视为“不合规”

3.1

apig-instances-ssl-enabled

APIG专享版实例 域名 均关联SSL证书

apig

APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”

3.1

css-cluster-disk-encryption-check

CSS集群开启磁盘加密

css

CSS集群未开启磁盘加密,视为“不合规”

3.1

css-cluster-https-required

CSS集群启用HTTPS

css

CSS集群未启用HTTPS,视为“不合规”

3.1

dws-enable-ssl

DWS集群启用SSL加密连接

dws

DWS集群未启用SSL加密连接,视为“不合规”

3.1

elb-tls-https-listeners-only

ELB监听器配置HTTPS监听协议

elb

负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”

3.11

cts-kms-encrypted-check

CTS 追踪器通过KMS进行加密

cts

CTS追踪器未通过KMS进行加密,视为“不合规”

3.11

dws-enable-kms

DWS集群启用KMS加密

dws

DWS集群未启用KMS加密,视为“不合规”

3.11

gaussdb-nosql-enable-disk-encryption

GeminiDB使用磁盘加密

gemini db

GeminiDB未使用磁盘加密,视为“不合规”

3.11

rds-instances-enable-kms

RDS实例开启存储加密

rds

未开启存储加密的RDS资源,视为“不合规”

3.11

sfsturbo-encrypted-check

高性能弹性文件服务通过KMS进行加密

sfsturbo

高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规”

3.11

volumes-encrypted-check

已挂载的云硬盘开启加密

evs、ecs

已挂载的云硬盘未进行加密,视为“不合规”

3.14

apig-instances-execution-logging-enabled

APIG专享版实例配置访问日志

apig

APIG专享版实例未配置访问日志,视为“不合规”

3.14

cts-lts-enable

CTS追踪器启用事件分析

cts

CTS追踪器未启用事件分析,视为“不合规”

3.14

cts-obs-bucket-track

CTS追踪器追踪指定的OBS桶

cts

账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”

3.14

cts-tracker-exists

创建并启用CTS追踪器

cts

账号未创建CTS追踪器,视为“不合规”

3.14

multi-region-cts-tracker-exists

在指定区域创建并启用CTS追踪器

cts

账号未在指定Region列表创建CTS追踪器,视为“不合规”

3.14

rds-instance-logging-enabled

RDS实例配备日志

rds

未配备任何日志的RDS资源,视为“不合规”

3.14

vpc-flow-logs-enabled

VPC启用流日志

vpc

检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规”

4.1

access-keys-rotated

IAM用户的AccessKey在指定时间内轮换

iam

IAM用户的AK/SK访问密钥未在指定天数内更换,视为“不合规”

4.1

evs-use-in-specified-days

云硬盘创建后在指定天数内绑定资源实例

evs

云硬盘创建后在指定天数内未使用,视为“不合规”

4.1

stopped-ecs-date-diff

关机状态的ECS未进行任意操作的时间检查

ecs

关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规”

4.1

volume-unused-check

云硬盘闲置检测

evs

云硬盘未挂载给任何云服务器,视为“不合规”

4.6

apig-instances-ssl-enabled

APIG专享版实例域名均关联SSL证书

apig

APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”

4.6

css-cluster-https-required

CSS集群启用HTTPS

css

CSS集群未启用HTTPS,视为“不合规”

4.6

dws-enable-ssl

DWS集群启用SSL加密连接

dws

DWS集群未启用SSL加密连接,视为“不合规”

4.6

elb-tls-https-listeners-only

ELB监听器配置HTTPS监听协议

elb

负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”

4.7

iam-root-access-key-check

IAM账号存在可使用的访问密钥

iam

账号有可使用的AK/SK访问密钥,视为“不合规”

5.2

iam-password-policy

IAM用户密码策略符合要求

iam

IAM用户密码强度不满足密码强度要求,视为“不合规”

5.2

iam-user-mfa-enabled

IAM用户开启MFA

iam

IAM用户未开启MFA认证,视为“不合规”

5.2

mfa-enabled-for-iam-console-access

Console侧密码登录的IAM用户开启MFA认证

iam

通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”

5.2

root-account-mfa-enabled

根账号开启MFA认证

iam

账号未开启MFA认证,视为“不合规”

5.3

iam-user-last-login-check

IAM用户在指定时间内有登录行为

iam

IAM用户在指定时间范围内无登录行为,视为“不合规”

5.4

iam-policy-no-statements-with-admin-access

IAM策略不具备Admin权限

iam

IAM策略中存在admin权限(Action为*:*:*或*:*或*),视为“不合规”

5.4

iam-root-access-key-check

IAM账号存在可使用的访问密钥

iam

账号有可使用的AK/SK访问密钥,视为“不合规”

6.4

iam-user-mfa-enabled

IAM用户开启MFA

iam

IAM用户未开启MFA认证,视为“不合规”

6.4

mfa-enabled-for-iam-console-access

Console侧密码登录的IAM用户开启MFA认证

iam

通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”

6.4

root-account-mfa-enabled

根账号开启MFA认证

iam

账号未开启MFA认证,视为“不合规”

8.2

apig-instances-execution-logging-enabled

APIG专享版实例配置访问日志

apig

APIG专享版实例未配置访问日志,视为“不合规”

8.2

cts-lts-enable

CTS追踪器启用事件分析

cts

CTS追踪器未启用事件分析,视为“不合规”

8.2

cts-obs-bucket-track

CTS追踪器追踪指定的OBS桶

cts

账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”

8.2

cts-tracker-exists

创建并启用CTS追踪器

cts

账号未创建CTS追踪器,视为“不合规”

8.2

multi-region-cts-tracker-exists

在指定区域创建并启用CTS追踪器

cts

账号未在指定Region列表创建CTS追踪器,视为“不合规”

8.2

rds-instance-logging-enabled

RDS实例配备日志

rds

未配备任何日志的RDS资源,视为“不合规”

8.2

vpc-flow-logs-enabled

VPC启用流日志

vpc

检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规”

8.5

apig-instances-execution-logging-enabled

APIG专享版实例配置访问日志

apig

APIG专享版实例未配置访问日志,视为“不合规”

8.5

cts-lts-enable

CTS追踪器启用事件分析

cts

CTS追踪器未启用事件分析,视为“不合规”

8.5

cts-obs-bucket-track

CTS追踪器追踪指定的OBS桶

cts

账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”

8.5

cts-tracker-exists

创建并启用CTS追踪器

cts

账号未创建CTS追踪器,视为“不合规”

8.5

multi-region-cts-tracker-exists

在指定区域创建并启用CTS追踪器

cts

账号未在指定Region列表创建CTS追踪器,视为“不合规”

8.5

rds-instance-logging-enabled

RDS实例配备日志

rds

未配备任何日志的RDS资源,视为“不合规”

8.5

vpc-flow-logs-enabled

VPC启用流日志

vpc

检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规”

8.9

cts-lts-enable

CTS追踪器启用事件分析

cts

CTS追踪器未启用事件分析,视为“不合规”

11.2

dws-enable-snapshot

DWS集群启用自动快照

dws

DWS集群未启用自动快照,视为“不合规”

11.2

gaussdb-instance-enable-backup

GaussDB 实例开启自动备份

gaussdb

未开启资源备份的GaussDB实例,视为“不合规”

11.2

gaussdb-mysql-instance-enable-backup

TaurusDB实例开启备份

taurusdb

未开启备份的TaurusDB实例,视为“不合规”

11.2

gaussdb-nosql-enable-backup

GeminiDB开启备份

gemini db

GeminiDB未开启备份,视为“不合规”

11.2

rds-instance-enable-backup

RDS实例开启备份

rds

未开启备份的RDS资源,视为“不合规”

11.3

rds-instances-enable-kms

RDS实例开启存储加密

rds

未开启存储加密的RDS资源,视为“不合规”

11.3

volumes-encrypted-check

已挂载的云硬盘开启加密

evs、ecs

已挂载的云硬盘未进行加密,视为“不合规”

11.4

dws-enable-snapshot

DWS集群启用自动快照

dws

DWS集群未启用自动快照,视为“不合规”

11.4

gaussdb-instance-enable-backup

GaussDB实例开启自动备份

gaussdb

未开启资源备份的GaussDB实例,视为“不合规”

11.4

gaussdb-mysql-instance-enable-backup

TaurusDB实例开启备份

taurusdb

未开启备份的TaurusDB实例,视为“不合规”

11.4

gaussdb-nosql-enable-backup

GeminiDB开启备份

gemini db

GeminiDB未开启备份,视为“不合规”

11.4

rds-instance-enable-backup

RDS实例开启备份

rds

未开启备份的RDS资源,视为“不合规”

12.2

css-cluster-in-vpc

CSS集群绑定指定VPC资源

css

CSS集群未与指定的虚拟私有云资源绑定,视为“不合规”

12.2

drs-data-guard-job-not-public

数据复制服务实时灾备任务不使用公网网络

drs

数据复制服务实时灾备任务使用公网网络,视为“不合规”

12.2

drs-migration-job-not-public

数据复制服务实时迁移任务不使用公网网络

drs

数据复制服务实时迁移任务使用公网网络,视为“不合规”

12.2

drs-synchronization-job-not-public

数据复制服务实时同步任务不使用公网网络

drs

数据复制服务实时同步任务使用公网网络,视为“不合规”

12.2

ecs-instance-in-vpc

ECS资源属于指定虚拟私有云ID

ecs、vpc

指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规”

12.2

ecs-instance-no-public-ip

ECS资源不能公网访问

ecs

ECS资源具有弹性公网IP,视为“不合规”

12.2

function-graph-inside-vpc

函数工作流使用指定VPC

fgs

函数工作流未使用指定VPC,视为“不合规”

12.2

function-graph-public-access-prohibited

函数工作流的函数不允许访问公网

fgs

函数工作流的函数允许访问公网,视为“不合规”

12.2

mrs-cluster-no-public-ip

MRS集群未绑定弹性公网IP

mrs

MRS集群绑定弹性公网IP,视为“不合规”

12.2

pca-certificate-authority-expiration-check

检查私有CA是否过期

pca

私有CA在指定时间内过期,视为“不合规”

12.2

pca-certificate-expiration-check

检查私有证书是否过期

pca

私有证书没有标记在指定时间内到期,视为“不合规”

12.2

rds-instance-multi-az-support

RDS实例支持多可用区

rds

RDS实例仅支持一个可用区,视为“不合规”

12.2

rds-instance-no-public-ip

RDS实例不具有弹性公网IP

rds

RDS资源具有弹性公网IP,视为“不合规”

12.2

vpc-default-sg-closed

默认安全组关闭出、入方向流量

vpc

虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”

12.2

vpc-sg-ports-check

安全组端口检查

vpc

当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规”

12.2

vpc-sg-restricted-common-ports

安全组入站流量限制指定端口

vpc

当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0),视为“不合规”

12.2

vpc-sg-restricted-ssh

安全组入站流量限制SSH端口

vpc

当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规”

12.2

vpn-connections-active

VPN连接状态为“正常”

vpnaas

VPN连接状态不为“正常”,视为“不合规”

12.3

apig-instances-ssl-enabled

APIG专享版实例域名均关联SSL证书

apig

APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”

12.3

css-cluster-https-required

CSS集群启用HTTPS

css

CSS集群未启用HTTPS,视为“不合规”

12.3

dws-enable-ssl

DWS集群启用SSL加密连接

dws

DWS集群未启用SSL加密连接,视为“不合规”

12.3

elb-tls-https-listeners-only

ELB监听器配置HTTPS监听协议

elb

负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”

12.6

apig-instances-ssl-enabled

APIG专享版实例域名均关联SSL证书

apig

APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”

12.6

css-cluster-https-required

CSS集群启用HTTPS

css

CSS集群未启用HTTPS,视为“不合规”

12.6

dws-enable-ssl

DWS集群启用SSL加密连接

dws

DWS集群未启用SSL加密连接,视为“不合规”

12.6

elb-tls-https-listeners-only

ELB监听器配置HTTPS监听协议

elb

负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”

13.6

vpc-flow-logs-enabled

VPC启用流日志

vpc

检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规”

support.huaweicloud.com/usermanual-rms/rms_13_6026.html