华为云用户手册

适用于VPC安全组的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” vpc-sg-attached-ports 安全组连接到弹性网络接口 vpc 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口（ports），视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放了所有的TCP或UDP端口时，视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规” vpc-sg-by-white-list-ports-check 安全组非白名单端口检查 vpc 除指定的白名单端口外，其余端口的安全组策略为允许，视为“不合规” 父主题： 合规规则包示例模板

适用于 对象存储服务 （OBS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 obs-bucket-public-read-policy-check OBS桶禁止公开读 obs 桶可以被公开读，视为“不合规” obs-bucket-public-write-policy-check OBS桶禁止公开写 obs 桶可以被公开写，视为“不合规” obs-bucket-ssl-requests-only OBS桶策略授权行为使用SSL加密 obs OBS桶策略授权了无需SSL加密的行为，视为“不合规” 父主题： 合规规则包示例模板

适用于云数据库（TaurusDB）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-mysql-instance-enable-auditlog TaurusDB实例开启审计日志 taurusdb 未开启审计日志的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-enable-errorlog TaurusDB实例开启错误日志 taurusdb 未开启错误日志的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-enable-slowlog TaurusDB实例开启慢日志 taurusdb 未开启慢日志的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-multiple-az-check TaurusDB实例跨AZ部署检查 taurusdb TaurusDB实例未跨AZ部署，视为“不合规” gaussdb-mysql-instance-no-public-ip-check TaurusDB实例弹性公网IP检查 taurusdb TaurusDB实例如绑定弹性公网IP，视为“不合规” gaussdb-mysql-instance-ssl-enable TaurusDB实例开启传输 数据加密 taurusdb TaurusDB实例未启用SSL数据传输加密，视为“不合规” 父主题： 合规规则包示例模板

适用于 数据仓库 服务（DWS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dws-clusters-no-public-ip DWS集群未绑定弹性公网IP dws DWS集群绑定弹性公网IP，视为“不合规” dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” dws-enable-log-dump DWS集群启用日志转储 dws DWS集群未启用日志转储，视为“不合规” dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照，视为“不合规” dws-maintain-window-check DWS集群运维时间窗检查 dws DWS集群运维时间窗不满足配置，视为“不合规” 父主题： 合规规则包示例模板

适用于分布式消息服务（DMS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dms-kafka-not-enable-private-ssl DMS Kafka队列打开内网SSL加密访问 dms DMS kafka队列未打开内网SSL加密访问，视为“不合规” dms-kafka-not-enable-public-ssl DMS Kafka队列打开公网SSL加密访问 dms DMS kafka队列未打开公网SSL加密访问，视为“不合规” dms-kafka-public-access-enabled-check DMS Kafka队列开启公网访问 dms DMS kafka队列开启公网访问，视为“不合规” dms-rabbitmq-not-enable-ssl DMS RabbitMq队列打开SSL加密访问 dms DMS rabbitmqs队列未打开SSL加密访问，视为“不合规” dms-rocketmq-not-enable-ssl DMS RockctMQ打开SSL加密访问 dms DMS RockctMQ未打开SSL加密访问，视为“不合规” dms-rabbitmq-public-access-enabled-check DMS RabbitMQ实例开启公网访问 dms DMS RabbitMQ实例开启公网访问，视为“不合规” dms-reliability-public-access-enabled-check DMS RocketMQ实例开启公网访问 dms DMS RocketMQ实例开启公网访问，视为“不合规” 父主题： 合规规则包示例模板

适用于分布式缓存服务（D CS ）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dcs-redis-enable-ssl DCS Redis实例支持SSL dcs dcs redis资源可以公网访问，但不支持SSL时，视为“不合规” dcs-redis-high-tolerance DCS Redis实例高可用 dcs dcs redis资源不是高可用时，视为“不合规” dcs-redis-no-public-ip DCS Redis实例不存在弹性公网IP dcs dcs redis资源存在弹性公网IP，视为“不合规” dcs-redis-password-access DCS Redis实例需要密码访问 dcs dcs redis资源不需要密码访问，视为“不合规” 父主题： 合规规则包示例模板

适用于 云搜索服务 （ CSS ）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-backup-available CSS集群启用快照 css CSS集群未启用快照，视为“不合规” css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-not-enable-white-list CSS集群未开启访问控制开关 css CSS集群未开启访问控制开关，视为“不合规” css-cluster-kibana-not-enable-white-list CSS集群Kibana未开启访问控制开关 css CSS集群Kibana未开启访问控制开关，视为“不合规” css-cluster-multiple-az-check CSS集群具备多AZ容灾 css CSS集群没有多az容灾，视为“不合规” css-cluster-no-public-zone CSS集群不能公网访问 css CSS集群开启公网访问，视为“不合规” css-cluster-security-mode-enable CSS集群支持安全模式 css CSS集群不支持安全模式，视为“不合规” css-cluster-slowLog-enable CSS集群开启慢日志 css CSS集群未开启慢日志，视为“不合规” 父主题： 合规规则包示例模板

适用于云备份（CBR）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密，视为“不合规” cbr-policy-minimum-frequency-check CBR备份策略执行频率检查 cbr CBR备份策略执行频率低于设定值，视为“不合规” cbr-vault-minimum-retention-check CBR存储库最低保留天数 cbr 存储库未绑定策略或绑定的策略按天数保留且保留天数低于设定值，视为“不合规” ecs-protected-by-cbr ECS资源在备份存储库中 cbr, ecs ECS资源没有关联备份存储库，视为“不合规” evs-protected-by-cbr EVS资源在备份存储库保护中 cbr, evs EVS磁盘没有关联备份存储库，视为“不合规” sfsturbo-protected-by-cbr SFSturbo资源在备份存储库中 cbr, sfsturbo SFSturbo资源没有关联备份存储库，视为“不合规” ecs-last-backup-created ECS云服务器 的备份时间检查 cbr, ecs ECS云服务器最近一次备份创建时间超过参数要求，视为“不合规” evs-last-backup-created EVS资源的备份时间检查 cbr, evs EVS磁盘最近一次备份创建时间超过参数要求，视为“不合规” sfsturbo-last-backup-created SFSturbo资源的备份时间检查 cbr, sfsturbo SFS turbo资源最近一次备份创建时间超过参数要求，视为“不合规” 父主题： 合规规则包示例模板

数据传输加密最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-ssl-enabled APIG专享版实例 域名 均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS，视为“不合规” cdn-origin-protocol-no-http CDN回源方式使用HTTPS cdn CDN回源方式未使用HTTPS，视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-security-mode-enable CSS集群支持安全模式 css CSS集群不支持安全模式，视为“不合规” dcs-memcached-enable-ssl DCS Memcached资源支持SSL dcs dcs memcached资源可以公网访问，但不支持SSL时，视为“不合规” dcs-redis-enable-ssl DCS Redis实例支持SSL dcs dcs redis资源可以公网访问，但不支持SSL时，视为“不合规” dds-instance-enable-ssl DDS实例开启SSL dds DDS实例未开启SSL，视为“不合规” dms-kafka-not-enable-private-ssl DMS Kafka队列打开内网SSL加密访问 dms DMS kafka队列未打开内网SSL加密访问，视为“不合规” dms-kafka-not-enable-public-ssl DMS Kafka队列打开公网SSL加密访问 dms DMS kafka队列未打开公网SSL加密访问，视为“不合规” dms-rabbitmq-not-enable-ssl DMS RabbitMq队列打开SSL加密访问 dms DMS rabbitmqs队列未打开SSL加密访问，视为“不合规” dms-rocketmq-not-enable-ssl DMS RocketMQ打开SSL加密访问 dms DMS RockctMQ未打开SSL加密访问，视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” elb-http-to-https-redirection-check 监听器资源HTTPS重定向检查 elb 检查HTTP监听器是否配置了向HTTPS监听器的重定向，如果未配置，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” gaussdb-instance-ssl-enable GaussDB 实例开启传输数据加密 gaussdb gaussdb实例未启用SSL数据传输加密，视为“不合规” gaussdb-mysql-instance-ssl-enable TaurusDB实例开启传输数据加密 taurusdb TaurusDB实例未启用SSL数据传输加密，视为“不合规” obs-bucket-ssl-requests-only OBS桶策略授权行为使用SSL加密 obs OBS桶策略授权了无需SSL加密的行为，视为“不合规” rds-instance-ssl-enable RDS实例启用SSL加密通讯 rds RDS实例未启用SSL加密通讯，视为“不合规” 父主题： 合规规则包示例模板

静态数据加密最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密，视为“不合规” css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” cts-kms-encrypted-check CTS 追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密，视为“不合规” ims-images-enable-encryption 私有镜像开启加密 ims 私有镜像未开启加密，视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换，视为“不合规” mrs-cluster-encrypt-enable MRS 集群开启kms加密 mrs MRS集群未开启kms加密，视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的rds资源，视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密，视为“不合规” 父主题： 合规规则包示例模板

默认规则 此表中的建议项编号对应华为 云安全 配置基线指南文档的章节编号，供您查阅参考。 表1 华为云安全配置基线指南的标准合规包（level 2）默认规则说明 建议项编号 建议项说明 合规规则 规则中文名称 涉及云服务 规则描述 C.CS.FOUNDATION.G_1.R_3 确保不创建管理员权限的 IAM 用户 iam-user-check-non-admin-group IAM用户admin权限检查 iam 根用户以外的IAM用户加入admin用户组，视为“不合规” C.CS.FOUNDATION.G_1.R_9 启用用户登录保护 iam-user-login-protection-enabled IAM用户开启登录保护 iam IAM用户未开启登录保护，视为“不合规” C.CS.FOUNDATION.G_1.R_12 设置初始 IAM 用户时，避免对具有控制台密码的用户设置访问密钥 iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规” C.CS.FOUNDATION.G_1.R_13 确保任何单个 IAM 用户仅有一个可用的活动访问密钥 iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规” C.CS.FOUNDATION.G_2.R_5 启用 VPC 流量日志功能 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” C.CS.FOUNDATION.G_2.R_11 启用 FunctionGraph 函数日志功能 function-graph-logging-enabled 函数工作流 的函数启用日志配置 fgs 函数工作流的函数未启用日志配置，视为“不合规” C.CS.FOUNDATION.G_2.R_16 开启日志文件加密存储 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” C.CS.FOUNDATION.G_3_1.R_1 使用密钥对安全登录 ECS ecs-instance-key-pair-login ECS资源配置密钥对 ecs ECS未配置密钥对，视为“不合规” C.CS.FOUNDATION.G_3_1.R_4 确保私有镜像开启了加密 ims-images-enable-encryption 私有镜像开启加密 ims 私有镜像未开启加密，视为“不合规” C.CS.FOUNDATION.G_3_2.R_1 使用密钥对安全登录 BMS bms-key-pair-security-login BMS资源使用密钥对登录 bms 裸金属服务器未启用密钥对安全登录，视为“不合规” C.CS.FOUNDATION.G_5_1.R_4 使用双端固定对 OBS 的资源进行权限控制 obs-bucket-policy-grantee-check OBS桶策略中授权检查 obs OBS桶策略授权了不被允许的访问行为，视为“不合规” C.CS.FOUNDATION.G_5_2.R_1 确保云硬盘是加密的 volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密，视为“不合规” C.CS.FOUNDATION.G_5_3.R_1 确保SFS Turbo文件系统是加密的 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” C.CS.FOUNDATION.G_5_4.R_1 承载备份数据的云硬盘选择加密盘 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密，视为“不合规” C.CS.FOUNDATION.G_5_4.R_4 开启强制备份 ecs-protected-by-cbr ECS资源在备份存储库中 cbr, ecs ECS资源没有关联备份存储库，视为“不合规” C.CS.FOUNDATION.G_5_4.R_4 开启强制备份 evs-protected-by-cbr EVS资源在备份存储库保护中 cbr, evs EVS磁盘没有关联备份存储库，视为“不合规” C.CS.FOUNDATION.G_5_4.R_4 开启强制备份 sfsturbo-protected-by-cbr SFSturbo资源在备份存储库中 cbr, sfsturbo SFSturbo资源没有关联备份存储库，视为“不合规” C.CS.FOUNDATION.G_6_1.R_7 开启数据库审计日志 rds-instance-enable-auditLog RDS实例启用审计日志 rds 未启用审计日志或审计日志保存天数不足的rds资源，视为“不合规” C.CS.FOUNDATION.G_6_4.R_5 开启数据库审计日志 gaussdb-instance-enable-auditLog GaussDB实例开启审计日志 gaussdb 未开启审计日志的gaussdb资源，视为“不合规” C.CS.FOUNDATION.G_6_4.R_5 开启数据库审计日志 gaussdb-mysql-instance-enable-auditlog TaurusDB实例开启审计日志 taurusdb 未开启审计日志的TaurusDB资源，视为“不合规” C.CS.FOUNDATION.G_6_4.R_7 开启备份功能设置合理的备份策略 gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的gaussdb资源，视为“不合规” C.CS.FOUNDATION.G_7_3.R_1 开启集群数据加密功能 dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” C.CS.FOUNDATION.G_7_3.R_4 开启 DWS 数据库审计日志转储 dws-enable-log-dump DWS集群启用日志转储 dws DWS集群未启用日志转储，视为“不合规”

默认规则 此表中的建议项编号对应华为云安全配置基线指南文档的章节编号，供您查阅参考。 表1 华为云安全配置基线指南的标准合规包（level 1）默认规则说明 建议项编号 建议项说明 合规规则 规则中文名称 涉及云服务 规则描述 C.CS.FOUNDATION.G_1.R_1 确保管理员账号禁用 AK/SK iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥，视为“不合规” C.CS.FOUNDATION.G_1.R_2 确保管理员账号已启用 MFA root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证，视为“不合规” C.CS.FOUNDATION.G_1.R_14 确保不创建允许“*:*”管理权限的 IAM 策略 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*)，视为“不合规” C.CS.FOUNDATION.G_2.R_1 启用 CTS multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定region列表创建并启用CTS追踪器，视为“不合规” C.CS.FOUNDATION.G_2.R_15 开启日志文件完整性校验 cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” C.CS.FOUNDATION.G_3_3.R_1 禁止使用 CCE 已经 EOS 的 K8S 集群版本 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规” C.CS.FOUNDATION.G_3_3.R_6 集群节点不要暴露到公网 cce-endpoint-public-access CCE集群资源不具有弹性公网IP cce CCE集群资源具有弹性公网IP，视为“不合规” C.CS.FOUNDATION.G_4.R_1 确保限制 SSH 的 Internet 公网访问 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规” C.CS.FOUNDATION.G_4.R_4 确保安全组不允许源地址 0.0.0.0/0 访问远程管理端口及高危端口 vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规” C.CS.FOUNDATION.G_5_1.R_2 禁用匿名访问 obs-bucket-policy-not-more-permissive OBS桶策略授权约束 obs OBS桶策略授权了控制策略以外的访问行为，视为“不合规” C.CS.FOUNDATION.G_5_1.R_5 使用桶策略限制对 OBS 桶的访问必须使用 HTTPS 协议 obs-bucket-ssl-requests-only OBS桶策略授权行为使用SSL加密 obs OBS桶策略授权了无需SSL加密的行为，视为“不合规” C.CS.FOUNDATION.G_6_1.R_1 开启加密通信 rds-instance-ssl-enable RDS实例启用SSL加密通讯 rds RDS实例未启用SSL加密通讯，视为“不合规” C.CS.FOUNDATION.G_6_1.R_5 避免绑定 EIP 直接通过互联网访问 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” C.CS.FOUNDATION.G_6_2.R_1 开启加密通信 dds-instance-enable-ssl DDS实例开启SSL dds DDS实例未开启SSL，视为“不合规” C.CS.FOUNDATION.G_6_2.R_7 禁止使用默认端口 dds-instance-port-check DDS实例端口检查 dds DDS实例的端口包含被禁止的端口，视为“不合规” C.CS.FOUNDATION.G_6_2.R_8 补丁升级 dds-instance-engine-version-check DDS实例数据库版本检查 dds 低于指定版本的DDS实例，视为“不合规” C.CS.FOUNDATION.G_6_3.R_2 开启备份功能设置合理的备份策略 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的rds资源，视为“不合规” C.CS.FOUNDATION.G_6_3.R_4 禁止使用默认端口 rds-instance-port-check RDS实例默认端口检查 rds RDS实例的端口包含被禁止的端口，视为“不合规” C.CS.FOUNDATION.G_6_3.R_8 数据库版本更新到最新版本 rds-instance-engine-version-check RDS实例数据库引擎版本检查 rds RDS实例数据库引擎的版本低于指定版本，视为“不合规” C.CS.FOUNDATION.G_7_2.R_1 开启 Kerberos 认证 mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” C.CS.FOUNDATION.G_7_2.R_3 集群 EIP 安全组管控 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” C.CS.FOUNDATION.G_7_2.R_3 集群 EIP 安全组管控 mrs-cluster-in-vpc MRS集群属于指定VPC mrs 指定虚拟私有云ID，不属于此VPC的mrs资源，视为“不合规” C.CS.FOUNDATION.G_7_3.R_6 开启 SSL 加密传输功能 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” C.CS.FOUNDATION.G_8.R_1 启用 Web 应用防火墙功能 waf-instance-enable-protect 启用WAF实例域名防护 waf 如果账号未配置并启用WAF防护策略的域名防护，视为“不合规” C.CS.FOUNDATION.G_8.R_2 配置 WAF 地理位置访问策略 waf-policy-enable-geoip 启用WAF防护策略地理位置访问控制规则 waf 如果账号不存在启用地理位置访问控制规则的waf服务防护策略，视为“不合规” C.CS.FOUNDATION.G_8.R_5 启用 WAF 对 Web 基础防护的拦截模式 waf-instance-enable-block-policy 启用WAF实例启用拦截模式防护策略 waf WAF实例未启用拦截模式防护策略，视为“不合规” C.CS.FOUNDATION.G_8.R_7 启用 企业主机安全 HSS（基础版/专业版/企业版/旗舰版） ecs-attached-hss-agents-check ECS资源绑定服务主机代理防护 ecs ECS实例未绑定HSS代理并启用防护，视为“不合规”

安全身份和合规性运营最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转，视为“不合规” pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期，视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书在指定时间内到期，视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未转储到LTS，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建并启用CTS追踪器，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换，视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不授权KMS的禁止的action iam, access-analyzer-verified IAM策略中授权KMS的任一阻拦action，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*)，视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的任意云服务的全部权限，视为“不合规” iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥，视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过console密码登录的IAM用户未开启MFA认证，视为“不合规” rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的rds资源，视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6端口(::/0)，视为“不合规” root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证，视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放了所有的TCP或UDP端口时，视为“不合规” 父主题： 合规规则包示例模板

适用于 MapReduce服务 （MRS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 mrs-cluster-in-allowed-security-groups MRS集群属于指定安全组 mrs 指定安全组id，不属于此安全组的mrs资源，视为“不合规” mrs-cluster-in-vpc MRS集群属于指定VPC mrs 指定虚拟私有云ID，不属于此VPC的mrs资源，视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” mrs-cluster-encrypt-enable MRS集群开启kms加密 mrs MRS集群未开启kms加密，视为“不合规” 父主题： 合规规则包示例模板

适用于云数据库（GeminiDB）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db GeminiDB部署在单个可用区中，视为“不合规” gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份，视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密，视为“不合规” gaussdb-nosql-enable-error-log GeminiDB开启错误日志 gemini db GeminiDB未开启错误日志，视为“不合规” gaussdb-nosql-support-slow-log GeminiDB开启慢查询日志 gemini db GeminiDB不开启慢查询日志，视为“不合规” 父主题： 合规规则包示例模板

适用于云数据库（GaussDB）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-instance-enable-auditLog GaussDB实例开启审计日志 gaussdb 未开启审计日志的gaussdb资源，视为“不合规” gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的gaussdb资源，视为“不合规” gaussdb-instance-enable-errorLog GaussDB实例开启错误日志 gaussdb 未开启错误日志的gaussdb资源，视为“不合规” gaussdb-instance-enable-slowLog GaussDB实例开启慢日志 gaussdb 未开启慢日志的gaussdb资源，视为“不合规” gaussdb-instance-in-vpc GaussDB资源属于指定虚拟私有云ID gaussdb 指定虚拟私有云ID，不属于此VPC的gaussdb资源，视为“不合规” gaussdb-instance-multiple-az-check GaussDB实例跨AZ部署检查 gaussdb gaussdb资源未跨AZ部署，视为“不合规” gaussdb-instance-no-public-ip-check GaussDB实例弹性公网IP检查 gaussdb gaussdb实例如绑定弹性公网IP，视为“不合规” gaussdb-instance-ssl-enable GaussDB实例开启传输数据加密 gaussdb gaussdb实例未启用SSL数据传输加密，视为“不合规” 父主题： 合规规则包示例模板

适用于函数工作流（FunctionGraph）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内，视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” function-graph-settings-check 检查函数工作流参数设置 fgs 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规” function-graph-logging-enabled 函数工作流的函数启用日志配置 fgs 函数工作流的函数未启用日志配置，视为“不合规” 父主题： 合规规则包示例模板

适用于内容分发网络（CDN）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS，视为“不合规” cdn-origin-protocol-no-http CDN回源方式使用HTTPS cdn CDN回源方式未使用HTTPS，视为“不合规” cdn-security-policy-check CDN安全策略检查 cdn CDN使用TLSv1.2以下的版本，视为“不合规” cdn-use-my-certificate CDN使用自有证书 cdn CDN使用了自有证书，视为“不合规” 父主题： 合规规则包示例模板

适用于云容器引擎（CCE）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 allowed-cce-flavors CCE集群规格在指定的范围 cce CCE集群的规格不在指定的范围内，视为“不合规” cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规” cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” cce-endpoint-public-access CCE集群资源不具有弹性公网IP cce CCE集群资源具有弹性公网IP，视为“不合规” 父主题： 合规规则包示例模板

适用于API网关（APIG）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-authorization-type-configured APIG专享版实例配置安全认证类型 apig APIG专享版实例中如果存在API安全认证为“无认证”，则视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 父主题： 合规规则包示例模板

资源稳定性最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-multiple-az-check CSS集群具备多AZ容灾 css CSS集群没有多az容灾，视为“不合规” gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db GeminiDB部署在单个可用区中，视为“不合规” as-multiple-az 弹性伸缩组启用多AZ部署 as 弹性伸缩组没有启用多AZ部署，视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” dcs-redis-high-tolerance DCS Redis实例高可用 dcs dcs redis资源不是高可用时，视为“不合规” allowed-rds-flavors RDS实例规格在指定的范围 rds RDS实例的规格不在指定的范围内，视为“不合规” allowed-images-by-name ECS实例的镜像名称在指定的范围 ecs 指定允许的镜像名称列表，ECS实例的镜像名称不在指定的范围内，视为“不合规” allowed-images-by-id ECS实例的镜像ID在指定的范围 ecs, ims 指定允许的镜像ID列表，ECS实例的镜像ID不在指定的范围内，视为“不合规” function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内，视为“不合规” function-graph-settings-check 检查函数工作流参数设置 fgs 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规” dds-instance-hamode DDS实例属于指定实例类型 dds 指定实例类型，不属于此的DDS实例资源，视为“不合规” allowed-cce-flavors CCE集群规格在指定的范围 cce CCE集群的规格不在指定的范围内，视为“不合规” allowed-ecs-flavors ECS资源规格在指定的范围 ecs ECS资源的规格不在指定的范围内，视为“不合规” 父主题： 合规规则包示例模板

多可用区架构最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-multiple-az-check CSS集群具备多AZ容灾 css CSS集群没有多az容灾，视为“不合规” gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db GeminiDB部署在单个可用区中，视为“不合规” as-multiple-az 弹性伸缩组启用多AZ部署 as 弹性伸缩组没有启用多AZ部署，视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” dcs-redis-high-tolerance DCS Redis实例高可用 dcs dcs redis资源不是高可用时，视为“不合规” elb-multiple-az-check ELB资源使用多AZ部署 elb 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区，视为“不合规” gaussdb-instance-multiple-az-check GaussDB实例跨AZ部署检查 gaussdb gaussdb资源未跨AZ部署，视为“不合规” gaussdb-mysql-instance-multiple-az-check TaurusDB实例跨AZ部署检查 taurus db TaurusDB实例未跨AZ部署，视为“不合规” 父主题： 合规规则包示例模板

默认规则 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” eip-use-in-specified-days 弹性公网IP在指定天数内绑定到资源实例 vpc 创建的弹性公网IP在指定天数后仍未绑定到资源实例，视为“不合规” evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 创建的EVS在指定天数后仍未绑定到资源实例，视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规”

网络和内容交付服务运营最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定，视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放了所有的TCP或UDP端口时，视为“不合规” vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”，视为“不合规” 父主题： 合规规则包示例模板

架构安全支柱运营最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转，视为“不合规” pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期，视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书在指定时间内到期，视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未转储到LTS，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” ecs-multiple-public-ip-check 检查ECS资源是否具有多个公网IP ecs ECS资源具有多个弹性公网IP，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 创建的EVS在指定天数后仍未绑定到资源实例，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规” cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的vpc资源绑定，视为“不合规” css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密，视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不授权KMS的禁止的action iam, access-analyzer-verified IAM策略中授权KMS的任一阻拦action，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*)，视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的任意云服务的全部权限，视为“不合规” iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥，视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态，视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过console密码登录的IAM用户未开启MFA认证，视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的rds资源，视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的rds资源，视为“不合规” dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密，视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规” root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证，视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放了所有的TCP或UDP端口时，视为“不合规” waf-instance-policy-not-empty WAF防护域名配置防护策略 waf WAF防护域名未配置防护策略，视为“不合规” pca-certificate-authority-root-disable 检查私有根CA是否停用 pca 私有根CA未停用，视为“不合规” 父主题： 合规规则包示例模板

业务背景 为满足客户更好的管理云的诉求，华为云基于华为公司多年自身企业治理经验以及帮助企业实现数字化转型的成功实践，系统性提出Landing Zone解决方案。Landing Zone解决方案旨在为企业构筑一套可持续扩展、安全、合规的云上运行环境，天然契合金融行业的上云与数字化转型痛点诉求。Landing Zone解决方案从多账号组织管理、网络规划、身份与权限、数据边界、安全防护、合规审计、运维监控和成本管理多个维度按照最佳实践指导企业搭建上云环境。

默认规则 此表中的建议项编号对应“CIS Control v8”中参考文档的章节编号，供您查阅参考。 表1 网络及数据安全最佳实践合规包默认规则说明 建议项编号 合规规则 规则中文名称 涉及云服务 规则描述 1.1 ecs-in-allowed-security-groups 绑定指定标签的ECS关联在指定安全组ID列表内 ecs 指定高危安全组ID列表，未绑定指定标签的ECS资源关联其中任意安全组，视为“不合规” 1.1 eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” 1.1 eip-use-in-specified-days EIP在指定天数内绑定到资源实例 eip EIP创建后在指定天数内未使用，视为“不合规” 1.1 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数，视为“不合规” 1.1 vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL，如果网络ACL没有与子网关联，视为“不合规” 2.2 cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” 3.3 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的虚拟私有云资源绑定，视为“不合规” 3.3 drs-data-guard-job-not-public 数据复制服务 实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络，视为“不合规” 3.3 drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络，视为“不合规” 3.3 drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络，视为“不合规” 3.3 ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs、vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” 3.3 ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” 3.3 function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” 3.3 function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” 3.3 iam-customer-policy-blocked-kms-actions IAM策略中不存在KMS的任一阻拦action iam、access-analyzer-verified IAM策略中授权KMS的任一阻拦action，视为“不合规” 3.3 iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” 3.3 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略中存在admin权限（Action为*:*:*或*:*或*），视为“不合规” 3.3 iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的云服务的全部权限，视为“不合规” 3.3 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥，视为“不合规” 3.3 iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” 3.3 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” 3.3 mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” 3.3 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” 3.3 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” 3.3 bms-key-pair-security-login BMS资源使用密钥对登录 bms 裸金属服务器未启用密钥对安全登录，视为“不合规” 3.1 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 3.1 css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” 3.1 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 3.1 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 3.1 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 3.11 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” 3.11 dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” 3.11 gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密，视为“不合规” 3.11 rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源，视为“不合规” 3.11 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务（SFS Turbo）未通过KMS进行加密，视为“不合规” 3.11 volumes-encrypted-check 已挂载的云硬盘开启加密 evs、ecs 已挂载的云硬盘未进行加密，视为“不合规” 3.11 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密，视为“不合规” 3.14 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” 3.14 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 3.14 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 3.14 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” 3.14 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器，视为“不合规” 3.14 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源，视为“不合规” 3.14 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规” 4.1 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的AK/SK访问密钥未在指定天数内更换，视为“不合规” 4.1 evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 云硬盘创建后在指定天数内未使用，视为“不合规” 4.1 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数，视为“不合规” 4.1 volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” 4.6 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 4.6 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 4.6 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 4.6 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 4.7 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥，视为“不合规” 5.2 iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” 5.2 iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” 5.2 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” 5.2 root-account-mfa-enabled 根账号开启MFA认证 iam 账号未开启MFA认证，视为“不合规” 5.3 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” 5.4 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略中存在admin权限（Action为*:*:*或*:*或*），视为“不合规” 5.4 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥，视为“不合规” 6.4 iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” 6.4 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” 6.4 root-account-mfa-enabled 根账号开启MFA认证 iam 账号未开启MFA认证，视为“不合规” 8.2 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” 8.2 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 8.2 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 8.2 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” 8.2 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器，视为“不合规” 8.2 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源，视为“不合规” 8.2 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规” 8.5 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” 8.5 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 8.5 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 8.5 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” 8.5 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器，视为“不合规” 8.5 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源，视为“不合规” 8.5 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规” 8.9 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 11.2 dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照，视为“不合规” 11.2 gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的GaussDB实例，视为“不合规” 11.2 gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB实例，视为“不合规” 11.2 gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份，视为“不合规” 11.2 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源，视为“不合规” 11.3 rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源，视为“不合规” 11.3 volumes-encrypted-check 已挂载的云硬盘开启加密 evs、ecs 已挂载的云硬盘未进行加密，视为“不合规” 11.4 dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照，视为“不合规” 11.4 gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的GaussDB实例，视为“不合规” 11.4 gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB实例，视为“不合规” 11.4 gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份，视为“不合规” 11.4 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源，视为“不合规” 12.2 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的虚拟私有云资源绑定，视为“不合规” 12.2 drs-data-guard-job-not-public 数据复制服务实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络，视为“不合规” 12.2 drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络，视为“不合规” 12.2 drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络，视为“不合规” 12.2 ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs、vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” 12.2 ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” 12.2 function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” 12.2 function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” 12.2 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” 12.2 pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期，视为“不合规” 12.2 pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书没有标记在指定时间内到期，视为“不合规” 12.2 rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” 12.2 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” 12.2 vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” 12.2 vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规” 12.2 vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)，视为“不合规” 12.2 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放TCP 22端口，视为“不合规” 12.2 vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”，视为“不合规” 12.3 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 12.3 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 12.3 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 12.3 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 12.6 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 12.6 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 12.6 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 12.6 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 13.6 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规”

适用于医疗行业的合规实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规”。 as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的vpc资源绑定，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” drs-data-guard-job-not-public 数据复制服务实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络，视为“不合规” drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络，视为“不合规” drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络，视为“不合规” dws-enable-log-dump DWS集群启用日志转储 dws DWS集群未启用日志转储，视为“不合规” dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照，视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs，vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” eip-use-in-specified-days EIP在指定天数内绑定到资源实例 eip EIP创建指定天数内未使用，视为“不合规” elb-predefined-security-policy-https-check ELB监听器配置指定预定义安全策略 elb 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规“ elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” gaussdb-nosql-enable-backup GeminiDB开启备份 gaussdb nosql GeminiDB未开启备份，视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gaussdb nosql GeminiDB未使用磁盘加密，视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不存在KMS的任一阻拦action iam IAM策略存在允许的任一KMS阻拦的action，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略admin权限(*:*:*或*:*或*)，视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的*:*权限，视为“不合规” iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定region列表创建CTS追踪器，视为“不合规” pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期，视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书没有标记在指定时间内到期，视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定，视为“不合规” rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源，视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证，视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs，evs 已挂载的云硬盘未进行加密，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有ipv4地址(0.0.0.0/0)，视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放TCP 22端口，视为“不合规” vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”，视为“不合规” 父主题： 合规规则包示例模板

默认规则 此表中的建议项编号对应PCI DSS: v3.2.1中参考文档的章节编号，供您查阅参考。 表1 适用于适用于PCI-DSS的标准合规包默认规则说明 建议项编号 建议项说明 合规规则 指导说明 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保 云搜索 服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-kms-encrypted-check 确保 云审计 服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-lts-enable 确保使用 云日志 服务（LTS）集中收集云审计服务（CTS）的数据。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-multiple-public-ip-check 此规则检查您的ECS实例是否具有多个弹性公网IP。拥有多个弹性公网IP可能会增加网络安全的复杂性。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 volumes-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，因此请确保为华为云ElasticVolumeService（华为云EVS）卷启用加密。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（23）端口时认为不合规，确保对服务器的远程访问安全性。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 2.4 维护PCIDSS范围内的系统组件清单。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.4 维护PCIDSS范围内的系统组件清单。 eip-unbound-check 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 eip-use-in-specified-days 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 vpc-acl-unused-check 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务（SFSTurbo）已通过KMS进行加密。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（ CDM A）通用分组无线业务（GPRS）卫星通信 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-authority-expiration-check 华为云 云证书管理服务 提供有PCA服务，可以帮助您通过简单的可视化操作，以低投入的方式创建企业内部CA并使用它签发证书。确保用户明确该私有CA的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-expiration-check PCA是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书。确保用户明确该私有证书的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-end-of-maintenance-version 确保CCE集群版本为处于维护中的版本。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-oldest-supported-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5 保护审计跟踪，使其无法更改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 11.5 部署更改检测机制（例如，文件完整性监控工具），以提醒人员注意对关键系统文件、配置文件或内容文件的未经授权的修改（包括更改、添加和删除）;并将软件配置为至少每周执行一次关键文件比较。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（24）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（25）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（26）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（27）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（28）端口时认为不合规，确保对服务器的远程访问安全性。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5.2 保护审计跟踪文件免遭未经授权的修改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 10.5.3 及时将审计跟踪文件备份到难以更改的集中式日志服务器或介质。 cts-lts-enable 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 10.5.5 对日志使用文件完整性监视或更改检测软件，以确保在不生成警报的情况下无法更改现有日志数据（尽管添加新数据不应引起警报）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（29）端口时认为不合规，确保对服务器的远程访问安全性。 3.5.2 将对加密密钥的访问限制为所需的最少保管人数量。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 3.6.4 已达到其加密期结束的密钥的加密密钥更改（例如，在定义的时间段过去后和/或给定密钥生成一定数量的密文之后），由关联的应用程序供应商或密钥所有者定义，并基于行业最佳实践和准则（例如，NIST特别出版物800-57）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 3.6.5 当密钥的完整性被削弱（例如，知道明文密钥组件的员工离职）或怀疑密钥被泄露时，必要时停用或替换密钥（例如，存档、销毁和/或吊销）。注意：如果需要保留已停用或替换的加密密钥，则必须安全地存档这些密钥（例如，使用密钥加密密钥）。存档的加密密钥只能用于解密/验证目的。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 3.6.7 防止未经授权替换加密密钥。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 8.1.1 在允许所有用户访问系统组件或持卡人数据之前，为所有用户分配一个唯一的ID。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 8.1.4 在90天内删除/禁用非活动用户账号。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务（SFSTurbo）已通过KMS进行加密。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 8.2.3 密码/密码必须满足以下条件：要求最小长度至少为7个字符。包含数字和字母字符。或者，密码/密码短语的复杂性和强度必须至少与上述指定的参数相当。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.5 不要允许个人提交与他或她使用的最后四个密码/密码中的任何一个相同的新密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

默认规则 此表中的建议项编号对应C5_2020中参考文档的章节编号，供您查阅参考。 表1 适用于德国云计算合规标准目录的标准合规包默认规则说明 建议项编号 合规规则 指导 COS-03 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 COS-03 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 COS-03 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 COS-03 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 COS-03 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 COS-03 css-cluster-in-vpc 确保云搜索服务位于虚拟私有云中。 COS-03 css-cluster-in-vpc 确保云搜索服务位于虚拟私有云中。 COS-03 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 COS-03 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 COS-03 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 COS-03 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 COS-03 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 COS-03 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-03 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 COS-05 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 COS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 COS-05 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 COS-05 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息，确保华为云ecs实例无法公开访问来管理对华为云的访问。 COS-05 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 COS-05 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 COS-05 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 COS-05 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 COS-05 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-05 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 CRY-02 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 CRY-02 elb-predefined-security-policy-https-check 确保独享型负载均衡器使用了指定的安全策略。在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。 CRY-02 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 CRY-02 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 CRY-02 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 CRY-02 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 CRY-02 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 CRY-03 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 CRY-03 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 CRY-03 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 CRY-03 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 CRY-04 kms-rotation-enabled 确保数据加密服务密钥启用密钥轮换。 DEV-07 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 DEV-07 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 DEV-07 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 DEV-07 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 DEV-07 multi-region-cts-tracker-exists 云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 IDM-01 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 IDM-01 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 IDM-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-01 iam-root-access-key-check 确保根访问密钥已删除。 IDM-01 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 IDM-01 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-01 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 IDM-01 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 IDM-01 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IDM-01 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 IDM-08 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 CRY-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-09 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-09 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 IDM-09 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 OPS-01 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云RDS会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。 OPS-02 as-group-elb-healthcheck-required 弹性负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。这条规则确保与负载均衡器关联的伸缩组使用弹性负载均衡健康检查。 OPS-02 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云RDS会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。 OPS-07 rds-instance-enable-backup 确保云数据库资源开启备份。 OPS-07 dws-enable-snapshot 自动快照采用差异增量备份，当创建集群时，自动快照默认处于启用状态。当集群启用了自动快照时，DWS将按照设定的时间和周期以及快照类型自动创建快照，默认为每8小时一次。用户也可以对集群设置自动快照策略，并根据自身需求，对集群设置一个或多个自动快照策略。 OPS-07 gaussdb-nosql-enable-backup 确保GeminiDB开启备份。 OPS-14 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 OPS-14 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 OPS-15 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 OPS-15 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 OPS-15 dws-enable-log-dump 要获取有关华为云DWS集群上用户活动的信息，请确保启用日志转储。 OPS-15 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 OPS-15 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 OPS-15 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 PSS-05 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 PSS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 PSS-05 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 PSS-07 iam-password-policy 确保IAM用户密码强度满足密码强度要求。