检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
等保三级2.0规范检查的标准合规包 本文为您介绍等保三级2.0规范检查的标准合规包的业务背景、应用场景,以及合规包中的默认规则。 业务背景 等保三级2.0规范是指中国政府在信息安全领域制定的一项标准,是中国信息安全等级保护制度的重要组成部分。该规范主要针对政府、金融、电信、能源等
私有CA和私有证书的加密或签名的安全性与使用的算法直接相关,随着算力越来越便宜,为了保护您的资源的安全性,建议您使用足够安全的算法。 修复项指导 请释放使用未满足您合规要求的资源,并购买满足安全算法要求的私有CA或私有证书。 检测逻辑 私有证书管理服务的私有CA或私有证书使用禁止的密钥算法或签名哈希算法,视为“不合规”。
检查私有证书是否过期 规则详情 表1 规则详情 参数 说明 规则名称 pca-certificate-expiration-check 规则展示名 检查私有证书是否过期 规则描述 私有证书没有标记在指定时间内到期,视为“不合规”。 标签 pca 规则触发方式 周期触发 规则评估的资源类型
CDN使用自有证书 规则详情 表1 规则详情 参数 说明 规则名称 cdn-use-my-certificate 规则展示名 CDN使用自有证书 规则描述 CDN使用了自有证书,视为“不合规”。 标签 cdn 规则触发方式 配置变更 规则评估的资源类型 cdn.domains 规则参数
云证书管理服务 CCM 检查私有CA是否过期 检查私有证书是否过期 检查私有根CA是否停用 私有证书管理服务算法检查 父主题: 系统内置预设策略
-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后,即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组,保证安全组的性能。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业公
CDN使用HTTPS证书 规则详情 表1 规则详情 参数 说明 规则名称 cdn-enable-https-certificate 规则展示名 CDN使用HTTPS证书 规则描述 CDN未使用HTTPS证书,视为“不合规”。 标签 cdn 规则触发方式 配置变更 规则评估的资源类型
为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建议账号或管理员为IAM用户开启登录保护。开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身
CDN安全策略检查 规则详情 表1 规则详情 参数 说明 规则名称 cdn-security-policy-check 规则展示名 CDN安全策略检查 规则描述 CDN使用TLSv1.2以下的版本,视为“不合规”。 标签 cdn 规则触发方式 配置变更 规则评估的资源类型 cdn
pca 私有CA在指定时间内过期,视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书在指定时间内到期,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志
规则触发方式 周期触发 规则评估的资源类型 pca.ca 规则参数 daysToExpiration:指定到期的天数,整数类型。 父主题: 云证书管理服务 CCM
根用户未开启MFA认证,视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了
APIG专享版实例域名均关联SSL证书 规则详情 表1 规则详情 参数 说明 规则名称 apig-instances-ssl-enabled 规则展示名 APIG专享版实例域名均关联SSL证书 规则描述 APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。 标签 apig
规则参数 无 应用场景 非安全模式的集群无需安全认证即可访问,采用HTTP协议明文传输数据。建议确认访问环境的安全性,勿将访问接口暴露到公网环境上。安全模式的集群需要通过安全认证才能访问,且支持对集群进行授权、加密等功能。采用HTTPS协议进行通信加密,使数据更安全。详见更改Elasticsearch集群安全模式。
规则参数 无 检测逻辑 当安全组入方向源地址未设置为0.0.0.0/0或::/0,或未开放所有的TCP/UDP端口时,视为“合规”。 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放所有的TCP/UDP端口时,视为“不合规”。 安全组内一般包含多个安全组规则,流量匹配时生
CSS集群内部的权限控制是通过安全集群实现的,当集群开启安全模式后,访问集群时需要进行身份认证,通过Kibana可以给集群创建用户进行授权。确保CSS集群启用了认证,详见身份认证与访问控制。 修复项指导 部分集群支持开启安全模式。用户可以通过安全模式修改API接口启用安全模式。 检测逻辑 C
网络及数据安全最佳实践 本文为您介绍网络及数据安全最佳实践的应用场景以及合规包中的默认规则。 应用场景 该合规规则包从网络和数据安全等方面进行检测,帮助用户的信息资产免受网络攻击和数据泄露的威胁。关于网络及数据安全的相关要求请参见“CIS Control v8”。 免责条款 本合
规则描述 私有根CA未停用,视为“不合规”。 标签 pca 规则触发方式 配置变更 规则评估的资源类型 pca.ca 规则参数 无 父主题: 云证书管理服务 CCM
业务背景 ENISA中小企业网络安全指南提供了中小型企业可用于增强其网络安全态势的运营最佳实践。该指南旨在帮助中小企业了解网络安全的重要性,以及如何实施最佳实践以保护其业务免受网络威胁。 应用场景 适用于中小企业的ENISA的标准合规包应用于需要满足欧盟网络安全局规范的中小企业,帮助其满
Authentication(简称MFA)是一种非常简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
