态势感知 SA-基线检查项目:安全上云合规检查—数据防护

时间:2024-04-24 09:13:03

安全上云合规检查—数据防护

表5 数据防护风险项检查项目

检查项目

检查内容

ELB证书有效性检查

弹性负载均衡(Elastic Load Balance,ELB)支持两种类型的证书,服务器证书和CA证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。

检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。

CDN证书有效性检查

通过配置加速 域名 的HTTPS证书,并将其部署在全网CDN节点,实现HTTPS安全加速。

检查CDN中证书是否均在有效期内,如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。

SSL证书有效性检查

SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Socket Layer)证书管理平台。SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。SSL证书超出有效期,将无法正常使用SSL证书。

检查所有SSL证书(检查已签发状态SSL证书,如果SSL证书未签发则默认为检查合格)状态是否在有效期内。

RDS数据库绑定EIP时的安全设置检查

当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当RDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

DDS数据库绑定EIP时安全设置检查

当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当DDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

D CS 数据库绑定EIP时的安全设置检查

当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当DCS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

云数据库 GaussDB 绑定EIP时的安全设置检查

当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当云数据库GaussDB配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

RDS数据库绑定EIP检查

当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当RDS数据库配置,是否开通公网连接方式。

DDS数据库绑定EIP检查

当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当DDS数据库配置,是否开通公网连接方式。

DCS数据库绑定EIP检查

当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当DCS数据库配置,是否开通公网连接方式。

云数据库GaussDB绑定EIP检查

当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当云数据库GaussDB配置,是否开通公网连接方式。

RDS数据库实例安全组规则检查

检查关系型数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时,代表未设置IP访问的限制,数据库将会有高安全风险。不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如3306。

GaussDB数据库 实例安全组规则检查

安全组入方向规则应满足最小化访问控制原则。

一般地,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

OBS桶服务端加密检查

OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将 数据加密 后存储到OBS桶中,提高数据的安全性。

检查所有OBS桶是否开启服务端加密。

OBS桶的ACL权限检查

OBS桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。

匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限,表示所有人无需经过任何身份验证即可访问OBS桶。

检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。

MySQL数据库实例root用户远程登录控制检查

MySQL数据库实例的root应做好远程登录的控制,限制仅应用端、DAS管理网段等业务需要方可登录,防止root账号被暴力破解。

RDS数据库实例安全组入方向规则检查

安全组入方向规则应满足最小化访问控制原则。

一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

检查云数据库(Relational Database Service,RDS)实例所关联的安全组入方向规则是否按最小化访问控制。

DCS数据库实例安全组入方向规则检查

安全组入方向规则应满足最小化访问控制原则。

一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组入方向规则是否按最小化访问控制。

DDS数据库实例安全组入方向规则检查

安全组入方向规则应满足最小化访问控制原则。

一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组入方向规则是否按最小化访问控制。

RDS数据库实例安全组端口开放检查

检查云数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。

不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如3306。

检查RDS实例是否开放非必要的端口。

DCS数据库实例安全组端口开放检查

检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。

不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如6379。

检查DCS实例是否开放非必要的端口。

DDS数据库实例安全组端口开放检查

检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。

不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如8635。

检查DDS实例是否开放非必要的端口。

support.huaweicloud.com/usermanual-sa/sa_01_0021.html