检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 非安全模式的集群无需安全认证即可访问,采用HTTP协议明文传输数据。建议确认访问环境的安全性,勿将访问接口暴露到公网环境上。安全模式的集群需要通过安全认证才能访问,且支持对集群
虚拟私有云(VPC)是您在云上的私有网络,可以为CSS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保CSS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的CSS集群绑定特定的虚拟私有云。 检测逻辑
适用于API网关(APIG)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-authorization-type-configured APIG专享版实例配置安全认证类型
适用于云数据库(GeminiDB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db
适用于云数据库(TaurusDB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-mysql-instance-enable-auditlog TaurusDB实例开启审计日志 taurusdb
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。
BS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的写操作。 检测逻辑 OBS桶策略允许本账号以外的身份执行“写”相关的操作,视为“不合规”。 OBS桶ACL允许本账号或日志投递用户组以外的身份执行“写”相关的操作,视为“不合规”。
BS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的读操作。 检测逻辑 OBS桶策略允许本账号以外的身份执行“读”相关的操作,视为“不合规”。 OBS桶ACL允许本账号或日志投递用户组以外的身份执行“读”相关的操作,视为“不合规”。
不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 如果关闭访问控制开关,则允许任何IP通过公网IP访问集群。如果开启访问控制开关,则只允许白名单列表中的IP通过公网IP访问集群。详见配置公网访问。 修复项指导
配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。详见切换安全模式下的协议。 修复项指导 CSS集群的安全模式启用
您可以在自己的逻辑隔离区域中定义虚拟网络,确保DCS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的DCS资源绑定特定的虚拟私有云,详见查看和修改DCS实例基本信息。 检测逻辑 Redis使用的VPC不是指定的VPC,视为“不合规”。
建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DCS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的Memcached绑定特定的虚拟私有云。该资源已经停售,建议使用Redis实例,见停售说明。
标签 iam 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 应用场景 Multi-Factor Authentication(简称MFA)是一种非常简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外
配置变更 规则评估的资源类型 iam.groups 规则参数 无 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现对用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM用户组中至少有一个IAM用户,空置的IAM用户组为管理盲区,可能存在管理风险。
OBS桶策略不允许未SSL加密的请求,视为“合规”。 OBS桶策略允许未SSL加密的请求,视为“不合规”。 根据SecureTransport或g:SecureTransport条件是否限制了桶策略所有授权的请求,来判定OBS桶策略是否禁止未SSL加密的请求。 父主题: 对象存储服务
该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 如果CSMS凭据创建时间和当前时间的间隔小于等于指定天数,无论是否轮转过,均视为“合规”。 如果CSMS凭据创建时间和当前时间的间隔大于指定天数,且CSMS凭据未在指定天数内轮转,视为“不合规”。
适用于云数据库(GaussDB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-instance-enable-auditLog GaussDB实例开启审计日志 gaussdb 未开启审计日志的gaussdb资源,视为“不合规”
周期触发 规则评估的资源类型 iam.users 规则参数 allowedInactivePeriod:指定的时间范围,整数类型,默认值为90。 应用场景 及时发现不活跃的IAM用户,用于减少闲置用户或降低密码泄露的风险,提升账号安全。 修复项指导 使用该闲置的IAM用户登录管理
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略
标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 Multi-Factor Authentication(简称MFA)是一种非常简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
