态势感知 SA-基线检查项目:安全上云合规检查—数据防护
安全上云合规检查—数据防护
检查项目 |
检查内容 |
---|---|
ELB证书有效性检查 |
弹性负载均衡(Elastic Load Balance,ELB)支持两种类型的证书,服务器证书和CA证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。 检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。 |
CDN证书有效性检查 |
通过配置加速 域名 的HTTPS证书,并将其部署在全网CDN节点,实现HTTPS安全加速。 检查CDN中证书是否均在有效期内,如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。 |
SSL证书有效性检查 |
SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Socket Layer)证书管理平台。SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。SSL证书超出有效期,将无法正常使用SSL证书。 检查所有SSL证书(检查已签发状态SSL证书,如果SSL证书未签发则默认为检查合格)状态是否在有效期内。 |
RDS数据库绑定EIP时的安全设置检查 |
当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当RDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
DDS数据库绑定EIP时安全设置检查 |
当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
D CS 数据库绑定EIP时的安全设置检查 |
当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当DCS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
云数据库 GaussDB 绑定EIP时的安全设置检查 |
当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。 检查当云数据库GaussDB配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。 |
RDS数据库绑定EIP检查 |
当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当RDS数据库配置,是否开通公网连接方式。 |
DDS数据库绑定EIP检查 |
当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当DDS数据库配置,是否开通公网连接方式。 |
DCS数据库绑定EIP检查 |
当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当DCS数据库配置,是否开通公网连接方式。 |
云数据库GaussDB绑定EIP检查 |
当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。 检查当云数据库GaussDB配置,是否开通公网连接方式。 |
RDS数据库实例安全组规则检查 |
检查关系型数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时,代表未设置IP访问的限制,数据库将会有高安全风险。不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如3306。 |
GaussDB数据库 实例安全组规则检查 |
安全组入方向规则应满足最小化访问控制原则。 一般地,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 |
OBS桶服务端加密检查 |
OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将 数据加密 后存储到OBS桶中,提高数据的安全性。 检查所有OBS桶是否开启服务端加密。 |
OBS桶的ACL权限检查 |
OBS桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。 匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限,表示所有人无需经过任何身份验证即可访问OBS桶。 检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。 |
MySQL数据库实例root用户远程登录控制检查 |
MySQL数据库实例的root应做好远程登录的控制,限制仅应用端、DAS管理网段等业务需要方可登录,防止root账号被暴力破解。 |
RDS数据库实例安全组入方向规则检查 |
安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 检查云数据库(Relational Database Service,RDS)实例所关联的安全组入方向规则是否按最小化访问控制。 |
DCS数据库实例安全组入方向规则检查 |
安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组入方向规则是否按最小化访问控制。 |
DDS数据库实例安全组入方向规则检查 |
安全组入方向规则应满足最小化访问控制原则。 一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低): IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24 IPv6:源地址为::/0 检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组入方向规则是否按最小化访问控制。 |
RDS数据库实例安全组端口开放检查 |
检查云数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如3306。 检查RDS实例是否开放非必要的端口。 |
DCS数据库实例安全组端口开放检查 |
检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如6379。 检查DCS实例是否开放非必要的端口。 |
DDS数据库实例安全组端口开放检查 |
检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。 不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如8635。 检查DDS实例是否开放非必要的端口。 |