检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置变更 规则评估的资源类型 gaussdb.instance 规则参数 无 应用场景 如果未配置SSL加密通信,那么GaussDB实例和服务器之间传输的数据,容易受到窃听、篡改和“中间人”攻击。为了提高数据传输的安全性,建议您开启SSL加密通信。 修复项指导 请根据您的开发方式
ubernetes版本,每个版本发布后提供至少24个月的维护周期,CCE保证维护周期内的Kubernetes版本的稳定运行。 为了保障您的服务权益,请您务必在维护周期结束之前升级您的Kubernetes集群,您可在集群列表页面确认集群的Kubernetes版本,以及当前是否有新的版本可供升级。主动升级集群有以下好处:
实例一起释放,备份的数据不支持下载导出。 强烈建议您配置合适的自动备份策略,防止客户误操作或者服务异常的情况下,因没有开启备份而造成数据丢失的情况。 修复项指导 创建数据库实例时,系统默认开启自动备份策略。您可以按需修改自动备份策略。 如果您关闭了自动备份策略,请再次打开自动备份。
desktops 规则参数 lastBackupAgeValue:Workspace要求的备份时间间隔(以小时为单位)。 应用场景 云桌面使用云备份服务中的“云桌面备份”功能进行桌面备份。保障用户数据的安全性和正确性,确保业务安全。 当备份的时间间隔过大时,数据丢失风险增加:如果在两次备份
cbr,workspace 规则触发方式 配置变更 规则评估的资源类型 workspace.desktops 规则参数 无 应用场景 云桌面使用云备份服务中的“云桌面备份”功能进行桌面备份。保障用户数据的安全性和正确性,确保业务安全。 修复项指导 请及时为云桌面创建备份,详见备份桌面数据。同
配置审计服务控制台当前提供如下合规规则包的示例模板: 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务(IAM)的最佳实践 适用于云监控服务(CES)的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器(ECS)的最佳实践
MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” 父主题: 合规规则包示例模板
修复项指导 请根据指导修改策略,确保备份的时间间隔符合您的需求。 检测逻辑 CBR服务的备份策略未启用,视为“合规”。 CBR服务的备份策略执行的最大时间间隔小于等于参数要求,视为“合规”。 CBR服务的备份策略执行的最大时间间隔大于参数要求,视为“不合规”。 父主题: 云备份 CBR
审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。 配置访问日志后,GaussDB实例新生成的审计日志记录会上传到云日志服务(LTS)进行管理。您可以查看GaussDB实例审计日志的详细信息,包括搜索日志、日志可视化、下
表1列出了配置审计服务的常用功能。 在使用配置审计服务之前,建议您先了解配置审计服务的基本概念,以便更好地理解本服务提供的各项功能。 表1 配置审计服务常用功能 功能分类 功能名称 功能描述 资源清单 查看所有资源列表 查看当前账号下的全部资源。包含资源的名称、所在区域、所属服务、资源类型、所属企业项目。
据库的多可用区部署是一种关键的高可用性和容灾策略。 在极端情况下(如自然灾害导致整个可用区不可用),可以通过容灾升主防止数据丢失并继续提供服务。 修复项指导 在购买GaussDB实例时,请选择多个可用区。 检测逻辑 GaussDB实例未跨AZ部署,视为“不合规”。 GaussDB实例跨AZ部署,视为“合规”。
收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。 资源合规目前支持的系统事件如下表所示:
收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。 资源记录器目前支持的系统事件如下表所示:
异常检测:通过审计日志,识别异常访问行为,如频繁失败请求、异常IP等,及时发现潜在攻击; 问题定位:通过日志快速定位API调用失败的原因,如参数错误、服务不可用等; 用户行为分析:分析API调用模式,了解用户行为,支持产品优化; 资源使用监控:监控API调用频率和资源消耗,防止资源浪费。 修复项指导
大地增加被攻击的风险。 如果数据库服务(如MySQL的3306端口)允许0.0.0.0/0或::/0访问,可能导致未授权用户访问敏感数据。 如果管理端口(如SSH的22端口、RDP的3389端口)允许0.0.0.0/0或::/0访问,可能导致服务器被入侵。 强烈建议您遵循最小权限原则配置安全组规则,避免过度授权。
规则触发方式 配置变更 规则评估的资源类型 gaussdb.instance 规则参数 无 应用场景 一般来说数据库应该只在内网或者VPC内被访问,服务器通过内网连接数据库,以提高安全性。如果绑定弹性公网IP的话,数据库会有公网入口,这可能增加被攻击的风险,比如暴露端口导致恶意扫描或攻击。
规则评估的资源类型 apig.instances 规则参数 无 应用场景 建议您不要直接为APIG实例绑定EIP,通过直接EIP的访问会导致后端服务暴露在公网的威胁之中。 修复项指导 请调用接口解绑EIP。并使用WAF对APIG进行安全防护。 检测逻辑 APIG专享版实例绑定了弹性公网IP,视为“不合规”。
cfw.cfw_instance 规则参数 无 应用场景 开启防护后,云防火墙默认放行所有流量,配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控,防止内部威胁扩散,增加安全战略纵深,详见通过添加防护规则拦截/放行流量。防护规则支持防护以下几种场景: 防护互联网边界中公网资产的流量;
平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 Config当前已经支持读写类型的接口上报到云审计服务,支持审计的Config关键操作列表,如下表所示。 表1 云审计服务支持的Config操作列表
规则参数 无 应用场景 云数据库RDS服务的日志管理功能支持查看数据库级别的日志,包括数据库主库和从库运行的错误信息,以及运行较慢的SQL查询语句,有助于您分析系统中存在的问题。错误日志记录了数据库运行的实时日志,您可以通过错误日志分析系统中存在的问题,您也可以下载错误日志进行业务分析。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
