检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS,视为“不合规” cdn-origin-protocol-no-http CDN回源方式使用HTTPS cdn CDN回源方式未使用HTTPS,视为“不合规” cdn
登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高安全性。当前可以选择通过手机、邮箱、虚拟MFA进行登录验证。 修复项指导 账号或管理员为相关IAM用户开启的登录保护状态,详见登录保护。
云证书管理服务 CCM 检查私有CA是否过期 检查私有证书是否过期 检查私有根CA是否停用 私有证书管理服务算法检查 父主题: 系统内置预设策略
d 确保使用SSL证书配置华为云API Gateway REST API阶段,以允许后端系统对来自API Gateway的请求进行身份验证。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 css-cluster-https-required 开启HTTPS访问后,访问集
在弹出的确认框中单击“确定”,资源记录器的配置修改成功。 关闭资源记录器 如您不再需要使用资源记录器记录资源变更情况,您可以随时关闭它。 进入“资源记录器”页面。 关闭资源记录器开关。 在弹出的确认框中单击“确定”,资源记录器的关闭成功。 图8 关闭资源记录器 跨账号授权 跨账号授予SMN主题发送通知的权限
css.clusters 规则参数 无 应用场景 确保CSS集群不能公网访问。由于敏感数据可能存在,请关闭CSS集群的公网访问。详见配置公网访问。 修复项指导 用户可以通过关闭公网访问API接口阻止CSS集群被公网访问。 检测逻辑 CSS集群开启公网访问,视为“不合规”。 CSS集群未开启公网访问,视为“合规”。
确保使用SSL证书配置华为云API网关REST API阶段,以允许后端系统对来自API网关的请求进行身份验证。 CRY-02 elb-predefined-security-policy-https-check 确保独享型负载均衡器使用了指定的安全策略。在创建和配置HTTPS监听器
pca 私有CA在指定时间内过期,视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书在指定时间内到期,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志
统一网络架构 eip-unbound-check 弹性公网IP未进行任何绑定 统一网络架构 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 统一网络架构 vpc-acl-unused-check 未与子网关联的网络ACL 统一网络架构
默认安全组关闭出、入方向流量 规则详情 表1 规则详情 参数 说明 规则名称 vpc-default-sg-closed 规则展示名 默认安全组关闭出、入方向流量 规则描述 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型
内容分发网络 CDN CDN使用HTTPS证书 CDN回源方式使用HTTPS CDN安全策略检查 CDN使用自有证书 父主题: 系统内置预设策略
修复项指导 为避免客户端误使用HTTP协议进行OBS业务操作,建议通过桶策略中的SecureTransport条件进行限制,限制是否必须使用HTTPS协议发起请求对该桶进行操作。SecureTransport配置为True时,发起的请求必须使用SSL加密。如何配置桶策略中Conditi
用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google
iam-user-mfa-enabled 确保为所有用户启用多因素身份验证(MFA)。 3.2.2 较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 root-account-mfa-enabled 确保为root用户启用多因素身份验证(MFA)。 3.3.1 监控系统资源
您需要通过公网地址访问RabbitMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS RabbitMQ实例直接暴露到公网。 修复项指导 请关闭公网访问,避免将DMS RabbitMQ实例直接暴露到公网。 检测逻辑 DMS RabbitMQ实例开启公网访问,视为“不合规”。
用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google
CSS集群Kibana未开启访问控制开关,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 如果关闭访问控制开关,则允许任何IP通过公网IP访问集群Kibana。如果开启访问控制开关,则只允许白名单列表中的IP通过公网IP访问集群Kiba
您需要通过公网地址访问RocketMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS RocketMQ实例直接暴露到公网。 修复项指导 请关闭公网访问,避免将DMS RocketMQ实例直接暴露到公网。 检测逻辑 DMS RocketMQ实例开启公网访问,视为“不合规”。
CDN回源方式使用HTTPS 规则详情 表1 规则详情 参数 说明 规则名称 cdn-origin-protocol-no-http 规则展示名 CDN回源方式使用HTTPS 规则描述 CDN回源方式未使用HTTPS协议,视为“不合规”。 标签 cdn 规则触发方式 配置变更 规则评估的资源类型
CSS集群未开启访问控制开关,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 如果关闭访问控制开关,则允许任何IP通过公网IP访问集群。如果开启访问控制开关,则只允许白名单列表中的IP通过公网IP访问集群。详见配置公网访问。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
