态势感知 SA-基线检查项目:安全上云合规检查—身份与访问管理
安全上云合规检查—身份与访问管理
检查项目 |
检查内容 |
---|---|
IAM 用户启用检查 |
启用 统一身份认证 (Identity and Access Management,IAM)服务后,系统默认用户组admin中的IAM用户,可以使用华为云所有服务。 检查所有IAM用户列表,是否已启用至少两个IAM用户,以及IAM用户所属的用户组是否都为admin用户组。 |
IAM用户开启登录保护检查 |
在IAM的安全设置中启用登录保护后,登录时还需要通过虚拟MFA或短信或邮件验证,再次确认登录者身份,进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,保护您安全使用云产品。 检查在IAM的安全设置中是否开启登录保护。 |
IAM用户开启操作保护检查 |
在IAM的安全设置中开启操作保护后,主账户及子用户在控制台进行敏感操作(如:删除弹性云服务器、解绑弹性IP等)时,将通过虚拟MFA、手机短信或邮件再次确认操作者身份,进一步提高账号安全性,有效保护您安全使用云产品。 检查IAM用户是否开启操作保护。 |
管理员账号AK/SK启用检查 |
访问密钥(AK/SK,Access Key ID/Secret Access Key)是账号的长期身份凭证。 由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账号不启用AK/SK身份凭证。 检查管理员账户是否启用访问密钥。 |
IAM用户密码配置检查 |
IAM用户的密码策略建议设置强密码策略。建议满足以下要求:包含以下字符中的3种:大写字母、小写字母、数字和特殊字符;密码最小长度为8;新密码不能与最近的历史密码相同(重复次数设置为3) 检查IAM用户的密码策略是否符合要求。 |
IAM登录验证策略(账号锁定策略)检查 |
拥有安全管理员权限(Security Administrator权限)的用户可以设置登录验证策略来提高用户信息和系统的安全性。 IAM允许用户设置账号锁定策略,即如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。 建议设置为在60分钟内登录失败5次,用户被锁定。 检查账号锁定策略是否设置为在60分钟内登录失败5次,用户被锁定。 |
IAM登录验证策略(账号锁定时限)检查 |
拥有安全管理员权限(Security Administrator权限)的用户可以设置登录验证策略来提高用户信息和系统的安全性。 用户可设置账号锁定策略,即如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。 IAM应允许用户设置账号锁定时间,且在此期间用户将无法输入密码。账号锁定时限建议设置为15分钟。 检查账号锁定时限是否设置为15分钟。 |
IAM密码策略(防止密码重复使用)检查 |
IAM允许用户设置密码策略。 启用防止密码重复使用规则后,新密码不能与最近使用的密码相同。 检查IAM密码策略是否启用密码重复使用规则,且重复次数小于五次。 |
会话超时策略检查 |
IAM允许用户设置会话到期时间。如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。 检查会话时限是否设置为15分钟。 |
账号停用策略检查 |
IAM用户可以通过使用用户名和密码登录华为云控制台。如果用户在90天或更长时间内未登录控制台,建议禁用该用户的控制台访问权限。 检查账号停用策略是否启用,且有效期设置为90天。 |
IAM用户密码强度检查 |
IAM用户的登录密码建议设置为安全程度强的密码。 IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使账号更安全,建议您定期更换密码以保护账号安全。 检查IAM用户的密码强度是否为最高级别。 |
CBH实例登录开启多因子认证检查 |
通过Web浏览器或SSH客户端登录CBH实例时应开启用户的多因子认证,进一步提高 堡垒机 账号安全性。多因子认证方式有:手机短信、手机令牌、USBKey、动态令牌。 检查CBH实例是否已开启多因子认证。 |