检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
allowed-rds-flavors 规则展示名 RDS实例规格在指定的范围 规则描述 RDS实例的规格不在指定的范围内,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 listOfAllowedFlavors:指定的RDS规格列表。 父主题:
储到日志流中。 修复项指导 云审计服务管理控制台支持对已创建的追踪器增加文件校验、加密事件文件、LTS转储等相关配置,详见配置追踪器。 检测逻辑 如果CTS追踪器配置文件校验、加密事件文件、转储到LTS,视其满足CTS的安全最佳实践。 若规则参数列表为空,账号中存在至少一个符合安
规则展示名 ECS资源绑定服务主机代理防护 规则描述 ECS实例未绑定HSS代理并启用防护,视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 无 父主题: 弹性云服务器 ECS
ogin 规则展示名 BMS资源使用密钥对登录 规则描述 裸金属服务器未启用密钥对安全登录,视为“不合规”。 标签 bms 规则触发方式 配置变更 规则评估的资源类型 bms.servers 规则参数 无 父主题: 裸金属服务器 BMS
CES告警操作未启用,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查
SFS Turbo资源的备份时间检查 规则详情 表1 规则详情 参数 说明 规则名称 sfsturbo-last-backup-created 规则展示名 SFS Turbo资源的备份时间检查 规则描述 SFS Turbo资源最近一次备份创建时间超过参数要求,视为“不合规”。 标签
规则展示名 RDS实例数据库引擎版本检查 规则描述 RDS实例数据库引擎的版本低于指定版本,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 mysqlVersion:MySQL类型的数据库引擎指定的版本,建议按照对应版本号格式指定,例如8
适用于云审计服务(CTS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规”
gaussdb-mysql-instance-multiple-az-check TaurusDB实例跨AZ部署检查 taurusdb TaurusDB实例未跨AZ部署,视为“不合规” gaussdb-mysql-instance-no-public-ip-check TaurusDB实例弹性公网IP检查
管理员可以修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的全部云服务的全部权限(action为“*:*:*”或“*:*”或“*”),视为“不合规”。 IAM自定义策略未配置Allow的全部云服务的全部权限,视为“合规”。 父主题: 统一身份认证服务
obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 blockedActionsPatterns:禁止的action列表。 应用场景 桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM
规则展示名 DMS Kafka队列开启公网访问 规则描述 DMS kafkas队列开启公网访问,视为“不合规”。 标签 dms 规则触发方式 配置变更 规则评估的资源类型 dms.kafkas 规则参数 无 父主题: 分布式消息服务Kafka版
n-enabled 规则展示名 IAM用户开启登录保护 规则描述 IAM用户未开启登录保护,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建
y 规则展示名 WAF实例启用拦截模式防护策略 规则描述 WAF实例未启用拦截模式防护策略,视为“不合规”。 标签 waf 规则触发方式 配置变更 规则评估的资源类型 waf.instance 规则参数 无 父主题: Web应用防火墙 WAF
规则展示名 IAM用户admin权限检查 规则描述 根用户以外的IAM用户加入admin用户组,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 “admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户
1 d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 dcs-redis-in-vpc 确保分布式缓存服务(DCS)所有流量都安全地保留在虚拟私有云(VPC)中。 8.1.2.1 d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
弹性公网IP未进行任何绑定,视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” function-graph-concurrency-check 函数工作流的函数并发数在指定范围内
适用于空闲资产管理的最佳实践 业务背景 适用于空闲资产管理的最佳实践用于检测常见的云资源在购买后是否被闲置,涉及弹性公网IP、弹性云服务器、云硬盘等云产品。资源购买后未使用会导致企业成本的浪费,建议及时发现并治理。 默认规则 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明
适用于云容器引擎(CCE)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 allowed-cce-flavors CCE集群规格在指定的范围 cce CCE集群的规格不在指定的范围内,视为“不合规”
适用于云搜索服务(CSS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-backup-available CSS集群启用快照 css CSS集群未启用快照,视为“不合规”
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
