基线检查项目 - 云服务基线简介_态势感知 SA_用户指南_基线检查

态势感知支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

本章节将介绍SA云服务基线检查支持的检查项目。

表10-1 基线检查项目

IAM用户启用检查启用统一身份认证（Identity and Access

Management，IAM）服务后，系统默认用户组admin中的IAM用户，可以使用华为云所有服务。

检查所有IAM用户列表，是否已启用至少两个IAM用户，

以及IAM用户所属的用户组是否都为admin用户组。

检查项目检查内容 IAM用户开启登录保护

检查在IAM的安全设置中启用登录保护后，登录时还需要通过虚拟MFA或短信或邮件验证，再次确认登录者身份，进一步提高帐号安全性，有效避免钓鱼式攻击或者用户密码意外泄漏，保护您安全使用云产品。

检查在IAM的安全设置中是否开启登录保护。

IAM用户开启操作保护

检查在IAM的安全设置中开启操作保护后，主账户及子用户在控制台进行敏感操作（如：删除弹性云服务器、解绑弹性 IP等）时，将通过虚拟MFA、手机短信或邮件再次确认操作者身份，进一步提高帐号安全性，有效保护您安全使用云产品。

检查IAM用户是否开启操作保护。

管理员帐号AK/SK启用检查

访问密钥（AK/SK，Access Key ID/Secret Access Key）

是帐号的长期身份凭证。

由于管理员具有IAM用户管理权限，且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患，建议管理员帐号不启用AK/SK身份凭证。

检查管理员账户是否启用访问密钥。

IAM用户密码配置检查 IAM用户的密码策略建议设置强密码策略。建议满足以下要求：包含以下字符中的3种：大写字母、小写字母、数字和特殊字符；密码最小长度为8；新密码不能与最近的历史密码相同（重复次数设置为3）

检查IAM用户的密码策略是否符合要求。

IAM登录验证策略（帐号锁定策略）检查

拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。

IAM允许用户设置帐号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。

建议设置为在60分钟内登录失败5次，用户被锁定。

检查帐号锁定策略是否设置为在60分钟内登录失败5次，

用户被锁定。

IAM登录验证策略（帐

号锁定时限）检查拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。

用户可设置帐号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。

IAM应允许用户设置帐号锁定时间，且在此期间用户将无法输入密码。帐号锁定时限建议设置为15分钟。

检查帐号锁定时限是否设置为15分钟。

检查项目检查内容 IAM密码策略（防止密

码重复使用）检查 IAM允许用户设置密码策略。

启用防止密码重复使用规则后，新密码不能与最近使用的密码相同。

检查IAM密码策略是否启用密码重复使用规则，且重复次数小于五次。

IAM用户密码强度检查 IAM用户的登录密码建议设置为安全程度强的密码。

IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使帐号更安全，建议您定期更换密码以保护帐号安全。

检查IAM用户的密码强度是否为最高级别。

CBH实例登录开启多因

子认证检查通过Web浏览器或SSH客户端登录CBH实例时应开启用户的多因子认证，进一步提高堡垒机帐号安全性。多因子认证方式有：手机短信、手机令牌、USBKey、动态令牌。

检查CBH实例是否已开启多因子认证。

安全上云合规检查—检测

表10-3 检测风险项检查项目

检查项目检查内容

ELB健康状态检查弹性负载均衡（Elastic Load Balance，ELB）定期向后端服务器发送请求健康检查，通过健康检查来判断后端服务器是否可用。

如果判断出后端服务器健康检查异常，ELB会将异常后端服务器的流量分发到正常后端服务器。

当异常后端服务器恢复正常运行后，ELB会自动恢复其承载业务流量能力。

检查所有ELB实例是否开启健康检查功能，以及检查后端服务器状态是否正常。

检查项目检查内容

CTS启用检查云审计服务（Cloud Trace Service，CTS）可以将当前账户下所有的操作记录在追踪器中，通过查询和审计操作记录，实现安全分析、资源变更、合规审计、问题定位等。

检查是否已经开通CTS，以及检查是否有一个追踪器的状态为正常。

OBS桶日志记录启用检

查对象存储服务（Object Storage Service，OBS）的桶日志记录，指用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶（即目标桶）中。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。

检查所有OBS桶，是否开启日志记录功能。

数据库安全审计启用检访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。

检查项目检查内容

高危端口如下：20，21，135，137，138，139，445，

389，593，1025

未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24

检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。

绑定EIP的ECS配置密钥

对登录检查当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。

日志指标过滤和告警事

件（VPC更改）检查日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因VPC更改而产生的日志和告警事件。服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因网络网关更改而产生的日志和告警事件。

日志指标过滤和告警事件（安全组更改）检查

日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因安全组更改而产生的日志和告警事件。

检查项目检查内容日志指标过滤和告警事

件（子网更改）检查

检查CTS中是否存在因子网更改而产生的日志和告警事件。

日志指标过滤和告警事

件（VPN更改）检查日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因VPN更改而产生的日志和告警事件。

ELB实例（共享型）启用访问控制检查

共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。

检查弹性负载均衡（Elastic Load Balance，ELB）实例，

是否开启访问控制策略。

网络ACL规则配置检查网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。

检查是否配置网络ACL规则。

用于VPC对等连接路由

表检查对等连接是指两个VPC之间的网络连接，因此用于对等连 VPC。

两个VPC之间可以采用对等连接进行互连。

VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。

检查VPC规范是否合理。

在文檔中云服务基线简介_态势感知 SA_用户指南_基线检查_华为云 (頁 82-107)