检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
后,还需为独立域名添加SSL证书。SSL证书是进行数据传输加密和身份证明的证书,支持单向认证和双向认证两种认证方式。 单向认证:客户端与服务端连接时,客户端需要校验服务端SSL证书合法性。 双向认证:客户端与服务端连接时,除了客户端需要校验服务端SSL证书合法性,服务端也需要校验客户端SSL证书合法性。
满足安全算法要求的私有CA或私有证书。 检测逻辑 私有证书管理服务的私有CA或私有证书使用禁止的密钥算法或签名哈希算法,视为“不合规”。 私有证书管理服务的私有CA或私有证书未使用禁止的密钥算法或签名哈希算法,视为“合规”。 父主题: 云证书管理服务 CCM
应用场景 私有证书被部署在服务节点上,频繁用于加密通信,为了避免私钥的泄露,通常根据业务场景的安全级别要求,来设定私有证书的有效期。如果私有证书过期,则会导致业务通信中断。 修复项指导 请通过私有证书轮换替换掉即将过期的证书,或者在费用中心为其续费。 检测逻辑 私有证书在指定时间内到期,视为“不合规”。
CDN支持使用自有证书或SCM证书,见配置HTTPS证书。 建议您使用SCM证书,自有证书存在如下缺点: 私钥泄露风险:若私钥未妥善存储,可能被攻击者窃取,导致加密数据被解密或中间人攻击。 弱加密算法隐患:若自有证书使用过时算法,可能被暴力破解。 证书生命周期管理繁琐:需手动或自建
应用场景 证书+SSL方式连接数据库是安全的连接方式,保护数据传输过程中的完整性和机密性,但是会有一定的性能损耗。对同步性能敏感的场景下,需要平衡性能和安全的取舍。 修复项指导 请为源数据库和目标数据库都配置SSL证书,可参考源数据库SSL证书类型检查和目标数据库SSL证书类型检查。
CDN支持HTTPS安全加速,您可以通过在CDN控制台配置加速域名的HTTPS证书,启用HTTPS加速服务,证书配置成功后,客户端可以使用HTTPS协议请求CDN节点。 使用HTTPS可以保证数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
经开启了SSL加密传输。 修复项指导 如需开启SSL加密传输,可以通过SSL设置页面开通SSL并配置SSL证书。该资源已经停售,建议使用Redis实例,见停售说明。 检测逻辑 Memcached未启用公网访问,视为“合规”。 Memcached启用公网访问,且配置了SSL数据加密传输,视为“合规”。
发的无效或过期证书,这有助于防止身份验证中断或停机。用新证书替换旧证书的过程称为证书轮换。 修复项指导 当证书即将过期时,请及时轮换证书 。 检测逻辑 SAML协议IdP证书在指定时间内到期,视为“不合规”。 SAML协议IdP证书在指定时间内未到期,视为“合规”。 父主题: IAM身份中心
云证书管理服务 CCM 检查私有CA是否过期 检查私有证书是否过期 检查私有根CA是否停用 私有证书管理服务算法检查 父主题: 系统内置预设策略
整数类型。 应用场景 私有CA过期会导致一系列严重的安全、运维和业务问题,因为CA是数字证书信任链的根基。 所有子证书失效:CA过期后,由其签发的所有子证书将不再被信任,导致依赖这些证书的服务无法正常运行。 云服务中断:CA过期可能导致依赖CA进行加密通讯的云服务中断。 修复项指导
检测逻辑 私有CA是根CA且未停用,视为“不合规”。 私有CA是根CA且已停用,视为“合规”。 私有CA不是根CA,视为“合规”。 父主题: 云证书管理服务 CCM
DDS实例开启SSL 规则详情 表1 规则详情 参数 说明 规则名称 dds-instance-enable-ssl 规则展示名 DDS实例开启SSL 规则描述 DDS实例未开启SSL,视为“不合规”。 标签 dds 规则触发方式 配置变更 规则评估的资源类型 dds.instances
确保Redis资源可以公网访问时,已经配置了SSL加密传输。Redis 6.0基础版实例SSL默认关闭,Redis 4.0/5.0不支持SSL加密传输,仅支持明文传输。详见Redis实例是否支持SSL加密传输。 修复项指导 Redis 6.0/7.0基础版的单机、主备、Cluster集群实例支持开启SSL链路加密传
请根据如下指导,为RDS实例设置SSL数据加密: 设置SSL数据加密(MySQL); 设置SSL数据加密(MariaDB); 设置SSL数据加密(PostgreSQL); 检测逻辑 RDS实例未设置SSL数据加密,视为“不合规”。 RDS实例设置了SSL数据加密,视为“合规”。 父主题:
DWS集群启用SSL加密连接 规则详情 表1 规则详情 参数 说明 规则名称 dws-enable-ssl 规则展示名 DWS集群启用SSL加密连接 规则描述 DWS集群未启用SSL加密连接,视为“不合规”。 标签 dws 规则触发方式 配置变更 规则评估的资源类型 dws.clusters
Kafka队列打开内网SSL加密访问 规则详情 表1 规则详情 参数 说明 规则名称 dms-kafka-not-enable-private-ssl 规则展示名 DMS Kafka队列打开内网SSL加密访问 规则描述 DMS kafka队列未打开内网SSL加密访问,视为“不合规”。
RocketMQ实例打开SSL加密访问 规则详情 表1 规则详情 参数 说明 规则名称 dms-rocketmq-not-enable-ssl 规则展示名 DMS RocketMQ实例打开SSL加密访问 规则描述 DMS RocketMQ实例未打开SSL加密访问,视为“不合规”。
RabbitMq队列打开SSL加密访问 规则详情 表1 规则详情 参数 说明 规则名称 dms-rabbitmq-not-enable-ssl 规则展示名 DMS RabbitMq队列打开SSL加密访问 规则描述 DMS rabbitmqs队列未打开SSL加密访问,视为“不合规”。
Kafka队列打开公网SSL加密访问 规则详情 表1 规则详情 参数 说明 规则名称 dms-kafka-not-enable-public-ssl 规则展示名 DMS Kafka队列打开公网SSL加密访问 规则描述 DMS kafka队列未打开公网SSL加密访问,视为“不合规”。
OBS桶策略授权行为使用SSL加密 规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-ssl-requests-only 规则展示名 OBS桶策略授权行为使用SSL加密 规则描述 OBS桶策略授权了无需SSL加密的行为,视为“不合规”。 标签 obs、acce
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
