检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
iam-role-in-use 规则展示名 IAM权限使用中 规则描述 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles 规则参数 无 应用场景 避免长期存在未绑定的IAM权限,防止因管理疏漏引发计划外授权,从而导致恶意操作。
储到日志流中。 修复项指导 云审计服务管理控制台支持对已创建的追踪器增加文件校验、加密事件文件、LTS转储等相关配置,详见配置追踪器。 检测逻辑 如果CTS追踪器配置文件校验、加密事件文件、转储到LTS,视其满足CTS的安全最佳实践。 若规则参数列表为空,账号中存在至少一个符合安
alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs
regular-matching-of-names 规则展示名 资源名称满足正则表达式 规则描述 资源名称不满足正则表达式,视为“不合规”。 标签 name 规则触发方式 配置变更 规则评估的资源类型 全部资源 规则参数 regularExpression:指定要匹配的正则表达式,“%”表示任意个字符,“_”表示任意一个字符。
法不为“SOURCE_IP”时,视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight:后端云服务器的权重,请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。 权重值越大,分发的请求越多。
义参数外),则视为“不合规”。 标签 codeartsbuild 规则触发方式 配置变更 规则评估的资源类型 codeartsbuild.CloudBuildServer 规则参数 无 父主题: 部署 CodeArts Deploy
p 规则展示名 CDN回源方式使用HTTPS 规则描述 CDN回源方式未使用HTTPS协议,视为“不合规”。 标签 cdn 规则触发方式 配置变更 规则评估的资源类型 cdn.domains 规则参数 无 父主题: 内容分发网络 CDN
eck 规则展示名 CTS追踪器打开事件文件校验 规则描述 CTS追踪器未打开事件文件校验,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 应用场景 在安全和事故调查中,通常由于事件文件被删除或者被私下篡改,从而
ck 规则展示名 IAM委托绑定策略检查 规则描述 IAM委托未绑定指定的IAM策略或权限,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.agencies 规则参数 roleIdList:指定允许的权限ID列表,不支持系统权限。 policy
ELB监听器配置指定预定义安全策略 elb 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规“ elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”
MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规”
规则展示名 MRS资源属于指定安全组 规则描述 指定安全组ID,不属于此安全组的MRS集群,视为“不合规”。 标签 mrs 规则触发方式 配置变更 规则评估的资源类型 mrs.mrs 规则参数 mrsSecurityGroupsId:指定的安全组ID列表,数组类型。 父主题: MapReduce服务
iam-user-access-mode 规则展示名 IAM用户访问模式 规则描述 IAM用户同时开启控制台访问和API访问,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 确保IAM用户不能同时通过控制台和API访问云服务,同时赋予一个IA
cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 应用场景 确保CTS追踪器转储归档的审计事件到OBS桶时,数据是被加密的。 修复项指导 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件,详见开启云审计服务配置OBS桶。 检测逻辑
云硬盘创建后在指定天数内绑定资源实例 规则详情 表1 规则详情 参数 说明 规则名称 evs-use-in-specified-days 规则展示名 云硬盘创建后在指定天数内绑定资源实例 规则描述 云硬盘创建后在指定天数内未使用,视为“不合规”。 标签 evs 规则触发方式 周期触发
检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 父主题: 虚拟私有云 VPC
适用于内容分发网络(CDN)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS,视为“不合规”
适用于函数工作流(FunctionGraph)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs
OBS桶中的数据的操作日志,例如上传、下载等。 修复项指导 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知,详见配置追踪器。 检测逻辑 配置数据类追踪器追踪OBS桶时,只追踪“读操作”或“写操作”,也视为追踪该OBS桶。 账号
规则展示名 安全组非白名单端口检查 规则描述 除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 whiteListPorts:白名单端口列表。 检测逻辑 安全组
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
