配置审计 CONFIG-适用于德国云计算合规标准目录的标准合规包:默认规则
默认规则
此表中的建议项编号对应C5_2020中参考文档的章节编号,供您查阅参考。
建议项编号 |
合规规则 |
指导 |
---|---|---|
COS-03 |
drs-data-guard-job-not-public |
确保DRS实时灾备任务不能公开访问。 |
COS-03 |
drs-migration-job-not-public |
确保DRS实时迁移任务不能公开访问。 |
COS-03 |
drs-synchronization-job-not-public |
确保DRS实时同步任务不能公开访问。 |
COS-03 |
ecs-instance-no-public-ip |
由于华为云E CS 实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 |
COS-03 |
ecs-instance-in-vpc |
确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 |
COS-03 |
css-cluster-in-vpc |
确保 云搜索服务 位于虚拟私有云中。 |
COS-03 |
css-cluster-in-vpc |
确保 云搜索 服务位于虚拟私有云中。 |
COS-03 |
mrs-cluster-no-public-ip |
确保 MapReduce服务 ( MRS )无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 |
COS-03 |
function-graph-public-access-prohibited |
确保 函数工作流 的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 |
COS-03 |
rds-instance-no-public-ip |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 |
COS-03 |
vpc-sg-restricted-common-ports |
在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。 |
COS-03 |
vpc-sg-restricted-ssh |
当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 |
COS-03 |
vpc-default-sg-closed |
确保虚拟私有 云安全 组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 |
COS-03 |
vpc-sg-ports-check |
确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 |
COS-05 |
iam-user-mfa-enabled |
确保为所有 IAM 用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
COS-05 |
mfa-enabled-for-iam-console-access |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
COS-05 |
root-account-mfa-enabled |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 |
COS-05 |
ecs-instance-no-public-ip |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
COS-05 |
mrs-cluster-no-public-ip |
确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 |
COS-05 |
rds-instance-no-public-ip |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 |
COS-05 |
vpc-sg-restricted-common-ports |
在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。 |
COS-05 |
vpc-sg-restricted-ssh |
当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 |
COS-05 |
vpc-default-sg-closed |
确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 |
COS-05 |
vpc-sg-ports-check |
确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 |
CRY-02 |
apig-instances-ssl-enabled |
确保使用SSL证书配置华为云API网关REST API阶段,以允许后端系统对来自API网关的请求进行身份验证。 |
CRY-02 |
elb-predefined-security-policy-https-check |
确保独享型负载均衡器使用了指定的安全策略。在创建和配置HTTPS监听器时,您可以选择使用安全策略,可以提高您的业务安全性。 |
CRY-02 |
css-cluster-https-required |
开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 |
CRY-02 |
css-cluster-disk-encryption-check |
确保 CSS 集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。 |
CRY-02 |
elb-tls-https-listeners-only |
确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
CRY-02 |
dws-enable-ssl |
确保 数据仓库 服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在,因此在传输过程中启用加密以帮助保护该数据。 |
CRY-02 |
css-cluster-disk-encryption-check |
确保CSS集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。 |
CRY-03 |
cts-kms-encrypted-check |
确保 云审计 服务的追踪器已配置KMS加密存储用于归档的审计事件。 |
CRY-03 |
sfsturbo-encrypted-check |
由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务已通过KMS进行加密。 |
CRY-03 |
volumes-encrypted-check |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
CRY-03 |
rds-instances-enable-kms |
为了帮助保护静态数据,请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中,因此启用静态加密有助于保护该数据。 |
CRY-04 |
kms-rotation-enabled |
确保 数据加密 服务密钥启用密钥轮换。 |
DEV-07 |
cts-lts-enable |
确保使用 云日志 服务集中收集云审计服务的数据。 |
DEV-07 |
cts-tracker-exists |
确保账号已经创建了 CTS 追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。 |
DEV-07 |
multi-region-cts-tracker-exists |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 |
DEV-07 |
cts-obs-bucket-track |
确保存在至少一个CTS追踪器追踪指定的OBS桶。 |
DEV-07 |
multi-region-cts-tracker-exists |
云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 |
IDM-01 |
access-keys-rotated |
确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。 |
IDM-01 |
mrs-cluster-kerberos-enabled |
通过为华为云MRS集群启用Kerberos,可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 |
IDM-01 |
iam-password-policy |
确保IAM用户密码强度满足密码强度要求。 |
IDM-01 |
iam-root-access-key-check |
确保根访问密钥已删除。 |
IDM-01 |
iam-user-group-membership-check |
确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。 |
IDM-01 |
iam-user-mfa-enabled |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
IDM-01 |
mfa-enabled-for-iam-console-access |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
IDM-01 |
root-account-mfa-enabled |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 |
IDM-01 |
iam-group-has-users-check |
确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 |
IDM-01 |
iam-role-has-all-permissions |
确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 |
IDM-08 |
iam-password-policy |
确保IAM用户密码强度满足密码强度要求。 |
CRY-01 |
iam-password-policy |
确保IAM用户密码强度满足密码强度要求。 |
IDM-09 |
iam-user-mfa-enabled |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
IDM-09 |
mfa-enabled-for-iam-console-access |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
IDM-09 |
root-account-mfa-enabled |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 |
OPS-01 |
rds-instance-multi-az-support |
华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云RDS会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。 |
OPS-02 |
as-group-elb-healthcheck-required |
弹性负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。这条规则确保与负载均衡器关联的伸缩组使用弹性负载均衡健康检查。 |
OPS-02 |
rds-instance-multi-az-support |
华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云RDS会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。 |
OPS-07 |
rds-instance-enable-backup |
确保云数据库资源开启备份。 |
OPS-07 |
dws-enable-snapshot |
自动快照采用差异增量备份,当创建集群时,自动快照默认处于启用状态。当集群启用了自动快照时,DWS将按照设定的时间和周期以及快照类型自动创建快照,默认为每8小时一次。用户也可以对集群设置自动快照策略,并根据自身需求,对集群设置一个或多个自动快照策略。 |
OPS-07 |
gaussdb-nosql-enable-backup |
确保GeminiDB开启备份。 |
OPS-14 |
cts-support-validate-check |
确保云审计服务追踪器已打开事件文件校验,以避免日志文件存储后被修改、删除。 |
OPS-14 |
cts-kms-encrypted-check |
确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 |
OPS-15 |
apig-instances-execution-logging-enabled |
确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 |
OPS-15 |
cts-lts-enable |
确保使用云日志服务集中收集云审计服务的数据。 |
OPS-15 |
dws-enable-log-dump |
要获取有关华为云DWS集群上用户活动的信息,请确保启用日志转储。 |
OPS-15 |
vpc-flow-logs-enabled |
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 |
OPS-15 |
cts-tracker-exists |
确保账号已经创建了CTS追踪器,云审计服务用于记录华为云管理控制台操作。 |
OPS-15 |
multi-region-cts-tracker-exists |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 |
OPS-15 |
cts-obs-bucket-track |
确保存在至少一个CTS追踪器追踪指定的OBS桶。 |
OPS-15 |
multi-region-cts-tracker-exists |
云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 |
PSS-05 |
iam-user-mfa-enabled |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
PSS-05 |
mfa-enabled-for-iam-console-access |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
PSS-05 |
root-account-mfa-enabled |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 |
PSS-07 |
iam-password-policy |
确保IAM用户密码强度满足密码强度要求。 |