配置审计 CONFIG-适用于中国香港金融管理局的标准合规包:默认规则
下载配置审计 CONFIG用户手册完整版
默认规则
此表中的建议项编号对应HKMA.2022.08.31中参考文档的章节编号,供您查阅参考。
建议项编号 |
建议项说明 |
合规规则 |
指导 |
|---|---|---|---|
I-2 |
根据采用的云部署模型,包括多租户风险,以及集中风险。 |
iam-group-has-users-check |
确保IAM群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。 |
I-2 |
根据采用的云部署模型,包括多租户风险,以及集中风险。 |
iam-user-group-membership-check |
确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。 |
I-2 |
根据采用的云部署模型,包括多租户风险,以及集中风险。 |
iam-root-access-key-check |
确保删除根访问密钥,从而帮助您限制访问权限和授权。 |
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
kms-rotation-enabled |
启用密钥轮换,确保密钥在加密周期结束后轮换。 |
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
iam-password-policy |
识别登录用户的密码强度符合要求。 |
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
cts-support-validate-check |
启用云审计服务追踪器的日志文件校验,验证日志文件转储后是否被修改、删除或未更改。 |
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
rds-instances-enable-kms |
确保云数据库(RDS)实例启用了加密。 |
II-5 |
应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 |
dcs-redis-enable-ssl |
为了帮助保护传输中的敏感数据,确保为Redis启用SSL协议。 |
此表中的建议项编号对应SA-2中参考文档的章节编号,供您查阅参考。
建议项编号 |
建议项说明 |
合规规则 |
指导 |
|---|---|---|---|
2.5.1 |
根据采用的云部署模型,包括应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 |
cts-kms-encrypted-check |
由于日志可能存在敏感数据,请确保云审计服务的追踪器已启用加密事件文件。 |
2.5.1 |
应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 |
rds-instances-enable-kms |
确保云数据库实例已启用加密。 |
2.5.1 |
应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 |
css-cluster-disk-encryption-check |
确保云搜索服务集群开启磁盘加密。 |
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
vpc-flow-logs-enabled |
VPC流日志提供了虚拟私有云的流量信息的详细记录。 |
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
apig-instances-execution-logging-enabled |
API网关日志记录访问API的用户的详细视图以及访问API的方式,实现用户活动的可见性。 |
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
cts-lts-enable |
使用云审计服务集中收集和管理日志事件活动。 |
2.8.1 |
应保存适当和最新的资料记录,可供金管局检查。 |
cts-support-validate-check |
启用云审计服务追踪器的日志文件校验,验证日志文件转储后是否被修改、删除或未更改。 |
此表中的建议项编号对应OR-2中参考文档的章节编号,供您查阅参考。
建议项编号 |
建议项说明 |
合规规则 |
指导 |
|---|---|---|---|
4.2.2 |
应注意在不同的业务周期或受季节因素影响时,其运作能力有所不同。例如,较多首次公开发行股票时,交易系统会有较大压力。 |
as-group-elb-healthcheck-required |
弹性负载均衡定期发送网络请求,以测试弹性伸缩组中的云服务器的运行状况。 |
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
as-multiple-az |
弹性伸缩在多可用区中部署,以帮助保持足够的容量和可用性。 |
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
css-cluster-multiple-az-check |
云搜索服务在多可用区中部署,以帮助保持足够的容量和可用性。 |
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
elb-multiple-az-check |
弹性负载均衡在多可用区中部署,以帮助保持足够的容量和可用性。 |
6.1 |
应为管理所有可能影响维持关键运作的风险做好准备。 |
rds-instance-multi-az-support |
云数据库在多可用区中部署,以帮助保持足够的容量和可用性。 |
6.2 |
业务操作风险管理的重点是防范及减少运作损失,有助认可机构维持运作稳健性。 |
kms-not-scheduled-for-deletion |
确保KMS密钥未处于“计划删除”状态,防止被意外或恶意删除。 |
此表中的建议项编号对应TM-G-1中参考文档的章节编号,供您查阅参考。
建议项编号 |
建议项说明 |
华为云合规规则 |
指导 |
|---|---|---|---|
3.1.4 |
应采用业内认可的加密解决方案及稳健的密钥管理手法,以保护有关的加密密钥。 |
kms-not-scheduled-for-deletion |
帮助检查所有计划删除的密钥,以防计划删除是无意的。 |
3.1.4 |
应采用业内认可的加密解决方案及稳健的密钥管理手法,以保护有关的加密密钥。 |
kms-rotation-enabled |
启用密钥轮换,确保密钥在加密周期结束后轮换。 |
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
iam-password-policy |
识别登录用户的密码强度符合要求。 |
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
access-keys-rotated |
定期更改访问密钥是安全最佳实践,它缩短了访问密钥的活动时间。 |
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
iam-user-mfa-enabled |
确保为所有用户启用多因素身份验证(MFA)。 |
3.2.2 |
较高风险的交易或活动应采用更严格的认证方法,通常应采取多因素认证机制对用户进行身份认证。 |
root-account-mfa-enabled |
确保为root用户启用多因素身份验证(MFA)。 |
3.3.1 |
监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。 |
cts-tracker-exists |
启用云审计服务,可以记录华为云管理控制台操作和API调用。 |
3.3.1 |
监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。 |
cts-lts-enable |
使用云审计服务集中收集和管理日志事件活动。 |
3.3.2 |
应在安全管理职能上进行职责分离,或采取其他补偿措施,以减少未授权行为。 |
iam-role-has-all-permissions |
确保IAM用户权限仅限于所需的操作,避免用户的权限违反最小权限和职责分离原则。 |
5.2.1 |
应制定适当的程序,以确保持续监控应用系统的性能,并及时地、全面地汇报异常情况。 |
alarm-action-enabled-check |
确保云监控服务创建的告警规则未停用。 |
6.2.1 |
为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。 |
ecs-instance-no-public-ip |
弹性云服务器可能包含敏感信息,需要限制其从公网访问。 |
6.2.1 |
为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。 |
function-graph-public-access-prohibited |
函数工作流的函数不能公网访问,公网访问可能导致数据泄漏或资源可用性下降。 |
