检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户创建指定类型以外的资源,视为“不合规”。 标签 type 规则触发方式 配置变更 规则评估的资源类型 全部资源 规则参数 providerAndTypes:指定服务资源类型列表,形式应为['provider.type']。 应用场景 为了预防各业务的违规行为,用户应当根据业务场景,明确需要使用到的资源类型。
规则触发方式 配置变更 规则评估的资源类型 gaussdb.instance 规则参数 无 应用场景 一般来说数据库应该只在内网或者VPC内被访问,服务器通过内网连接数据库,以提高安全性。如果绑定弹性公网IP的话,数据库会有公网入口,这可能增加被攻击的风险,比如暴露端口导致恶意扫描或攻击。
资源具有指定的标签 规则描述 指定一个标签,不具有此标签的资源,视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 specifiedTagKey:指定的标签键,字符串类型。 specifiedTagValue:指定的标签值列表,如
修正配置概述 概述 配置审计服务的资源合规特性用于评估您的资源是否满足合规要求,针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。
规则展示名 资源标签非空 规则描述 资源未配置标签,视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 无 应用场景 企业上云后,云上创建的资源不断增加,有些大型企业资源数量达到十万、百万级别,一个账号内存在大量资源,企
用户创建指定类型的资源,视为“不合规”。 标签 type 规则触发方式 配置变更 规则评估的资源类型 全部资源 规则参数 providerAndTypes:指定服务资源类型列表,形式应为['provider.type']。 应用场景 为了预防各业务的违规行为,用户应当根据业务场景,明确不会使用到的资源类型
异常检测:通过审计日志,识别异常访问行为,如频繁失败请求、异常IP等,及时发现潜在攻击; 问题定位:通过日志快速定位API调用失败的原因,如参数错误、服务不可用等; 用户行为分析:分析API调用模式,了解用户行为,支持产品优化; 资源使用监控:监控API调用频率和资源消耗,防止资源浪费。 修复项指导
大地增加被攻击的风险。 如果数据库服务(如MySQL的3306端口)允许0.0.0.0/0或::/0访问,可能导致未授权用户访问敏感数据。 如果管理端口(如SSH的22端口、RDP的3389端口)允许0.0.0.0/0或::/0访问,可能导致服务器被入侵。 强烈建议您遵循最小权限原则配置安全组规则,避免过度授权。
规则评估的资源类型 apig.instances 规则参数 无 应用场景 建议您不要直接为APIG实例绑定EIP,通过直接EIP的访问会导致后端服务暴露在公网的威胁之中。 修复项指导 请调用接口解绑EIP。并使用WAF对APIG进行安全防护。 检测逻辑 APIG专享版实例绑定了弹性公网IP,视为“不合规”。
请将资源迁入到预期的企业项目中,请参考为企业项目迁入资源。 如果您还未大规模使用企业项目管理服务,建议通过Organizations服务,在云上构建符合自身管理和工作方式的多层级资源结构,请参考什么是组织云服务。 检测逻辑 资源不属于指定企业项目中,视为“合规”。 资源属于指定企业项目中,视为“不合规”。
公网暴露:弹性公网IP使负载均衡器直接暴露在公网中,可能成为攻击者的目标。 DDoS攻击:弹性公网IP可能成为DDoS攻击的目标,导致服务不可用或资源耗尽。 数据泄露:如果后端服务未加密或配置不当,攻击者可能通过EIP窃取敏感数据。 修复项指导 如果您的负载均衡器需要暴露在公网,则无需配置本预设策
通过CES实现不合规资源的告警通知 当资源配置不合规时,配置审计会将不合规资源自动投递到云监控服务(CES)。您可以在云监控服务中查询告警记录,还可以基于云监控服务发送消息通知。 应用场景 您在配置审计控制台通过预设策略“IAM用户的AccessKey在指定时间内轮换”创建一条合
配置审计服务控制台当前提供如下合规规则包的示例模板: 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务(IAM)的最佳实践 适用于云监控服务(CES)的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器(ECS)的最佳实践
规则参数 无 应用场景 最新版本的集群修复了已知的漏洞或者拥有更完善的安全防护机制,新建集群时推荐选择使用最新版本的集群。在集群版本停止提供服务前,请及时升级到新版本。 当前受支持的最旧版本为1.13, 详见集群版本公告。 修复项指导 请根据指导升级集群。 检测逻辑 CCE集群的版本是受支持的最旧版本,视为“不合规”。
配置变更 规则评估的资源类型 fgs.functions 规则参数 无 应用场景 函数创建成功后,默认具有公网访问权限,即函数可直接访问公网上的服务。当前函数默认的公网NAT访问带宽在多个租户间共享,带宽小,仅适合小量调用的测试业务场景使用;如果对带宽、性能、可靠性有高要求的生产业务场
筛选资源 操作场景 在“资源清单”页面,您可以通过选择服务、资源类型和区域来筛选资源,其中全局级服务无需选择区域。如需进行更精细的资源筛选,您还可以通过在页面中部的搜索框中输入搜索条件,快速定位到目标资源。 本章节为您介绍如何通过搜索框快速定位目标资源。 目前支持的筛选条件 表1
预设策略。详见CCE节点安全配置建议。 修复项指导 请解绑CCE集群节点上的弹性公网IP,如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。请参考集群节点如何不暴露到公网。 检测逻辑 CCE集群的节点绑定了弹性公网IP,视为“不合规”。 CCE集群的节点未绑定弹性公网IP,视为“合规”。
规则描述 指定标签列表,不具有所有指定标签键的资源,视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 TagKeys:允许的标签键列表。 TagValues:允许的标签值列表,空列表代表全部允许。 应用场景 企业上云后
查询项目标签 功能介绍 查询租户在指定Project中实例类型的所有资源标签集合。标签管理服务需要能够列出当前租户全部已使用的资源标签集合,为各服务Console打资源标签和过滤实例时提供标签联想功能。 说明:该接口仅支持Config的资源类型,当前resource_type支持
指定标签键的前缀和后缀,资源不具有任意匹配前后缀的标签键,视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 tagKeyPrefix:允许的标签键前缀,空字符串表示全部允许。 tagKeySuffix:允许的标签键后缀,空字符串表示全部允许。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
