检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
华为云安全配置基线指南的标准合规包(level 2) 本文为您介绍华为云安全配置基线指南的标准合规包(level 2)的应用场景以及合规包中的默认规则。 应用场景 华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。 免责条款
弹性云服务器 ECS ECS资源规格在指定的范围 ECS实例的镜像ID在指定的范围 ECS的镜像在指定Tag的IMS的范围内 绑定指定标签的ECS关联在指定安全组ID列表内 ECS资源属于指定虚拟私有云ID ECS资源配置密钥对 ECS资源不能公网访问 检查ECS资源是否具有多个弹性公网IP
heck 确保云监控服务创建的告警规则未停用。 6.2.1 为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。 ecs-instance-no-public-ip 弹性云服务器可能包含敏感信息,需要限制其从公网访问。 6.2.1 为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。
vpc-sg-attached-ports 安全组连接到弹性网络接口 vpc 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.
云服务器 裸金属服务器 BMS 云服务器 云备份 CBR 备份 云耀云服务器 HECS 云耀云服务器 镜像服务 IMS 镜像 关联(isAssociatedWith) 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云耀云服务器 HECS 云耀云服务器 NAT网关 公网NAT网关
drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络,视为“不合规” drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络,视为“不合规”
带来的安全隐患,详见授予最小权限。 修复项指导 移除不合规的IAM用户、IAM用户组、IAM委托的对应权限。 检测逻辑 IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。 IAM的用户、用户组、委托未使用指定权限或策略,视为“合规”。 父主题: 统一身份认证服务 IAM
安全组连接到弹性网络接口 规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-attached-ports 规则展示名 安全组连接到弹性网络接口 规则描述 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”。
资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更
中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 1_DEVELOP GOOD
ELB监听器配置指定预定义安全策略 规则详情 表1 规则详情 参数 说明 规则名称 elb-predefined-security-policy-https-check 规则展示名 ELB监听器配置指定预定义安全策略 规则描述 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规”。
外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google
及时发现不活跃的IAM用户,用于减少闲置用户或降低密码泄露的风险,提升账号安全。 修复项指导 使用该闲置的IAM用户登录管理控制台,或删除该闲置的IAM用户,详见IAM用户登录或删除IAM用户。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用
应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。
外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google
授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的action操作。 检测逻辑 OBS桶策略未授予的本华为云账号以外的身份指定操作权限,视为“合规”。 O
APIG专享版实例配置安全认证类型 规则详情 表1 规则详情 参数 说明 规则名称 apig-instances-authorization-type-configured 规则展示名 APIG专享版实例配置安全认证类型 规则描述 APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。
外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google
可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。 虚拟私有云更多信息,详见虚拟私有云产品介绍。 修复项指导 ECS弹性云服务器创建完成后不支持切换虚拟私有云,请谨慎选择所属虚拟私有云。 检测逻辑 ECS实例使用的VPC不是指定的VPC,视为“不合规”。
d 规则展示名 IAM用户开启登录保护 规则描述 IAM用户未开启登录保护,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建议账号或管理员为
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
