检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置资源记录器 消息通知 资源转储 资源变更消息转储 资源合规 资源合规规则 组织合规规则 查看不合规资源 合规规则概念详解 合规策略样例 事件监控 合规规则包 合规规则包概述 创建合规规则包 查看合规规则包 删除合规规则包 自定义合规规则包 合规规则包示例模板 高级查询 新建查询 查看查询
e-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs C
表,数组类型,默认值为(20,21,3306,3389)。 20:文件传输协议-数据端口。 21:文件传输协议-控制端口。 3306:mysql端口。 3389:远程桌面协定端口。 检测逻辑 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。
ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除密钥的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警
clusters 规则参数 无 应用场景 如果关闭访问控制开关,则允许任何IP通过公网IP访问集群。如果开启访问控制开关,则只允许白名单列表中的IP通过公网IP访问集群。详见配置公网访问。 修复项指导 用户可以通过接口开启公网访问控制白名单配置合适的访问控制白名单。 检测逻辑 CSS集群未开启公网访问,视为“合规”。
VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 OPS-15 cts-tracker-exists 确保账号已经创建了CTS追踪器,云审计服务用于记录华为云管理控制台操作。 OPS-15 multi-region-cts-tracker-exists
VPN连接状态为“正常” 统一运维监控 alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 统一运维监控 alarm-vpc-change CES配置监控VPC变更的事件监控告警 统一运维监控 alarm-kms-disable-or-delete-key
e-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces, kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces, obs
CSS集群Kibana未开启访问控制开关 规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-kibana-not-enable-white-list 规则展示名 CSS集群Kibana未开启访问控制开关 规则描述 CSS集群Kibana未开启访问控制开关,视为“不合规”。
开启资源记录器 选择资源的监控范围。 默认情况下,资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以根据需要修改资源记录器的监控范围,选择指定的资源类型进行监控。 资源记录器默认收集Config服务的所有资源数据,不支持取消勾选的操作。 图2 选择监控范围 配置资源转储。
接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板: 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务(IAM)的最佳实践 适用于云监控服务(CES)的最佳实践 适用于计算服务的最佳实践
确保为root用户启用多因素身份验证(MFA)。 3.3.1 监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。 cts-tracker-exists 启用云审计服务,可以记录华为云管理控制台操作和API调用。 3.3.1 监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。
资源记录器 资源记录器概述 配置资源记录器 基于组织批量配置资源记录器 消息通知 资源快照存储 资源变更消息存储 资源记录器事件监控
资源合规 资源合规概述 资源合规规则 组织合规规则 查看不合规资源 合规规则修正配置 合规规则概念详解 系统内置预设策略 资源合规事件监控
如您未开启资源记录器且需查看您拥有的资源信息,请前往我的资源页面查看。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 “资源清单”页面默认展示在资源记录器配置的监控范围内且您拥有的全部资源信息。 图1 资源清单默认页面
启用WAF防护策略地理位置访问控制规则 规则详情 表1 规则详情 参数 说明 规则名称 waf-policy-enable-geoip 规则展示名 启用WAF防护策略地理位置访问控制规则 规则描述 如果账号未配置并启用WAF防护策略的地理位置访问控制规则,视为“不合规”。 标签 waf
已对接Config的服务的资源数据同步到Config存在延迟,不同服务的延迟时间并不相同。 对于已开启资源记录器且在监控范围内的资源,Config会在24小时内校正资源数据。如未开启资源记录器,或相关资源不在资源记录器配置的监控范围内,则Config不会校正这些资源的数据。 24小时 资源快照存储周期 24小时
由于资源变更数据同步到Config存在延迟,因此通过合规修正功能将不合规资源修正后,立即重新触发规则评估,不合规资源的合规评估结果可能依然为不合规。对于已开启资源记录器且在监控范围内的资源,Config会在24小时内校正资源数据,也就是说最多24小时后触发规则评估,才会将已修正资源的合规评估结果更新为合规。 当合
的合规规则评估结果依然存在。 如您已开启资源记录器,但仅在资源记录器监控范围内勾选部分资源,则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务(IAM)的最佳实践 适用于云监控服务(CES)的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器(ECS)的最佳实践 适用于弹性负载均衡(ELB)的最佳实践 适用于管理与监管服务的最佳实践
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
