Topik ini menjelaskan item pemeriksaan yang didukung oleh model penilaian kematangan tata kelola 3.0.
Keamanan
Kategori | Item pemeriksaan | Deskripsi | Deskripsi perbaikan cepat | Dukungan keputusan |
Pengelolaan identitas personel | MFA tidak diaktifkan untuk Akun Alibaba Cloud. | Kami merekomendasikan Anda mengaktifkan otentikasi multi-faktor (MFA) untuk Akun Alibaba Cloud guna mencapai tingkat keamanan yang lebih tinggi. Akun Alibaba Cloud tanpa MFA dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas personel | Akun Alibaba Cloud digunakan untuk masuk ke konsol dalam 90 hari terakhir. | Akun Alibaba Cloud memiliki hak istimewa tinggi dan tidak dapat dibatasi oleh kondisi seperti alamat IP sumber atau waktu akses. Jika akun ini disusupi, risiko keamanannya tinggi. Akun Alibaba Cloud dianggap tidak sesuai jika digunakan untuk masuk ke konsol dalam 90 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas personel | Kami merekomendasikan Anda menyatukan pengelolaan identitas untuk beberapa akun Anda. | Anda dapat menggunakan CloudSSO untuk mengelola pengguna Alibaba Cloud di perusahaan Anda secara terpusat, mengonfigurasi single sign-on (SSO) antara penyedia identitas (IdP) perusahaan Anda dan Alibaba Cloud, serta mengonfigurasi izin akses untuk semua pengguna ke akun anggota dalam direktori sumber daya. Konfigurasi dianggap tidak sesuai jika CloudSSO belum digunakan untuk masuk selama lebih dari 90 hari. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas personel | RAM tidak digunakan untuk mengelola identitas. | Akun Alibaba Cloud memiliki hak istimewa tinggi. Jika akun ini disusupi, risiko keamanannya tinggi. Kami merekomendasikan Anda menggunakan identitas RAM untuk operasi sehari-hari. Akun dianggap tidak sesuai jika tidak ada identitas RAM. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas personel | SSO berbasis pengguna RAM tidak diaktifkan untuk masuk konsol. | Mengelola identitas personel secara terpusat menggunakan SSO meningkatkan efisiensi manajemen dan mengurangi risiko. Konfigurasi dianggap tidak sesuai jika SSO berbasis pengguna RAM tidak dikonfigurasikan untuk akun saat ini atau jika terjadi masuk tanpa SSO dalam 30 hari. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas personel | RAM SCIM tidak diaktifkan untuk menyinkronkan pengguna. | Anda dapat menggunakan protokol System for Cross-domain Identity Management (SCIM) untuk dengan mudah menyinkronkan identitas personel dari perusahaan Anda ke Alibaba Cloud tanpa perlu membuat pengguna secara manual. Konfigurasi dianggap tidak sesuai jika sinkronisasi SCIM tidak dikonfigurasikan untuk akun saat ini atau jika pengguna yang disinkronkan belum masuk selama dua bulan. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas personel | Ada pengguna RAM yang tidak mengaktifkan MFA. | MFA memberikan tingkat keamanan yang lebih tinggi untuk pengguna RAM. Pengguna RAM dengan masuk konsol yang diaktifkan tetapi tanpa konfigurasi MFA dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Ya |
Pengelolaan identitas personel | Ada pengguna RAM yang tidak aktif. | Saat Anda mengaktifkan masuk konsol untuk pengguna RAM, kata sandi masuk diatur. Semakin lama kata sandi tersebut ada, semakin tinggi risiko terpaparnya. Pengguna RAM yang tidak aktif dan belum masuk selama lebih dari 90 hari dianggap tidak sesuai. | Perbaikan ini menonaktifkan masuk konsol untuk pengguna RAM yang dipilih. Setelah perbaikan diterapkan, pengguna RAM tidak dapat masuk ke konsol. Pastikan bahwa pengguna RAM yang dipilih tidak lagi memerlukan akses masuk. | Ya |
Pengelolaan identitas personel | Kebijakan kekuatan kata sandi lengkap tidak dikonfigurasikan untuk pengguna RAM. | Meningkatkan kekuatan kata sandi dapat secara efektif mengurangi risiko serangan kamus dan serangan brute-force. Konfigurasi dianggap tidak sesuai jika kebijakan kata sandi kuat, kebijakan masa berlaku kata sandi, kebijakan pengecekan riwayat kata sandi, dan batas percobaan ulang kata sandi tidak dikonfigurasikan. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas personel | Ada pengguna RAM yang memiliki AccessKey dan masuk konsol diaktifkan. | Kami merekomendasikan prinsip tanggung jawab tunggal dalam semua skenario. Pengguna RAM di akun saat ini yang memiliki AccessKey dan masuk konsol diaktifkan dianggap tidak sesuai. Jika SSO berbasis pengguna diaktifkan untuk akun saat ini, konfigurasi masuk konsol diabaikan. Jika pengguna telah masuk dalam tujuh hari terakhir dan memiliki AccessKey, pengguna tersebut dianggap tidak sesuai. | Perbaikan ini menonaktifkan masuk konsol untuk pengguna RAM yang dipilih. Setelah perbaikan diterapkan, pengguna RAM tidak dapat masuk ke konsol. Pastikan bahwa pengguna RAM yang dipilih tidak lagi memerlukan akses masuk. | Ya |
Pengelolaan identitas programatik | Akun Alibaba Cloud memiliki AccessKey yang diaktifkan. | AccessKey dari Akun Alibaba Cloud memiliki izin yang sama dengan Akun Alibaba Cloud dan tidak dapat dibatasi oleh kondisi seperti alamat IP sumber atau waktu akses. Jika AccessKey bocor, risiko keamanannya tinggi. Akun dianggap tidak sesuai jika ada AccessKey untuk Akun Alibaba Cloud. | Perbaikan cepat tidak didukung. | Ya |
Pengelolaan identitas programatik | Solusi bebas AccessKey tidak digunakan untuk akses programatik. | Konfigurasi dianggap tidak sesuai jika tidak ada peran instans yang dikonfigurasikan untuk instans ECS dan plug-in RRSA (RAM Roles for Service Accounts) tidak diaktifkan untuk ACK di akun saat ini. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas programatik | Instans ECS tidak menggunakan mode diperkuat dari Metadata Service. | Pastikan bahwa instans ECS menggunakan mode diperkuat (V2) dari Metadata Service untuk mencegah potensi kebocoran Token Layanan Keamanan (STS) yang dapat terjadi di V1. Instans ECS yang menggunakan V1 dari Metadata Service dianggap tidak sesuai. Anda harus meningkatkan Metadata Service ke V2 agar sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas programatik | Ada AccessKey yang tidak aktif. | AccessKey pengguna RAM dapat digunakan untuk mengakses API Alibaba Cloud. Semakin lama AccessKey terpapar secara eksternal, semakin tinggi risiko kebocorannya. AccessKey pengguna RAM yang tidak digunakan selama lebih dari 365 hari dianggap tidak sesuai. | Perbaikan ini menonaktifkan AccessKey yang dipilih. Setelah AccessKey dinonaktifkan, ia tidak dapat digunakan. Pastikan bahwa AccessKey yang dipilih tidak digunakan dalam program atau aplikasi apa pun. | Ya |
Pengelolaan identitas programatik | Ada AccessKey yang tidak diputar secara berkala. | Pemutaran berkala mengurangi durasi paparan AccessKey, yang pada gilirannya mengurangi risiko kebocoran. AccessKey pengguna RAM yang telah digunakan selama lebih dari 365 hari dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas programatik | Ada pengguna RAM dengan dua AccessKey yang diaktifkan. | Jika pengguna RAM memiliki dua AccessKey yang diaktifkan, pengguna tersebut kehilangan kemampuan untuk memutarnya, yang menimbulkan risiko lebih besar. Pengguna RAM tunggal dengan dua AccessKey dianggap tidak sesuai. | Perbaikan ini menonaktifkan AccessKey yang dipilih. Setelah AccessKey dinonaktifkan, ia tidak dapat digunakan. Pastikan bahwa AccessKey yang dipilih tidak digunakan dalam program atau aplikasi apa pun. | Ya |
Pengelolaan identitas programatik | Ada AccessKey yang bocor dan belum diproses. | Setelah AccessKey bocor, penyerang dapat menggunakannya untuk mengakses sumber daya atau data Anda, menyebabkan insiden keamanan. Peristiwa kebocoran AccessKey yang belum diproses dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas programatik | Otentikasi kata sandi tidak diaktifkan untuk instans Redis (model baru 3.0). | Jika otentikasi kata sandi tidak diaktifkan atau dikonfigurasikan dengan tidak benar untuk instans Redis dalam virtual private cloud (VPC), hal itu dapat menyebabkan risiko seperti pelanggaran data, operasi jahat yang tidak sah, kerentanan keamanan jaringan, dan gangguan layanan. Instans Redis dalam VPC dengan otentikasi kata sandi dinonaktifkan dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan identitas programatik | Kunci KMS sedang dalam proses penghapusan (model baru 3.0). | Pastikan bahwa kunci utama yang sedang digunakan tidak dijadwalkan untuk dihapus agar tidak terhapus karena kesalahan operasi, yang akan memengaruhi operasi bisnis. Kunci utama KMS yang dijadwalkan untuk dihapus dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Terlalu banyak identitas RAM non-administrator memiliki izin berisiko tinggi di Pusat Pengguna. | Kami merekomendasikan mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM. Berikan hanya izin yang diperlukan. Identitas RAM dengan izin tulis di Pusat Pengguna (BSS) dapat memodifikasi informasi seperti pesanan, faktur, kontrak, dan tagihan, serta melakukan operasi keuangan seperti transaksi dan penarikan. Manajemen yang buruk dapat menyebabkan kerugian aset. Konfigurasi dianggap sesuai jika tiga atau lebih sedikit identitas RAM di Akun Alibaba Cloud saat ini memiliki izin tulis seperti `bss:*`, `bssapi:*`, `bss:PayOrder`, `bss:Modify*`, `bss:Create*`, `bss:*Order*`, dan `bss:Delete*`. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Semua identitas RAM diberikan izin administrator. | Kami merekomendasikan mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan memberikan hanya izin yang diperlukan. Hindari memberikan izin administrator kepada semua identitas RAM untuk mencegah dampak bisnis jika identitas disusupi. Konfigurasi dianggap sesuai jika identitas RAM diberikan izin non-administrator. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Terlalu banyak identitas RAM diberikan izin administrator. | Kami merekomendasikan mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan memberikan hanya izin yang diperlukan. Izin administrator memungkinkan melakukan operasi apa pun pada sumber daya apa pun di bawah akun. Hindari memberikan izin administrator kepada terlalu banyak identitas RAM untuk mencegah dampak bisnis jika identitas disusupi. Konfigurasi dianggap sesuai jika tiga atau lebih sedikit identitas RAM di Akun Alibaba Cloud saat ini memiliki izin administrator. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Terlalu banyak identitas RAM non-administrator diberikan hak istimewa berisiko tinggi. | Kami merekomendasikan mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan memberikan hanya izin yang diperlukan. Identitas RAM dengan izin tulis di RAM dapat membuat identitas baru atau memodifikasi izin identitas yang ada, yang mengarah pada otorisasi berlebihan dan menimbulkan risiko terhadap keamanan dan kerahasiaan sumber daya di akun. Konfigurasi dianggap sesuai jika tiga atau lebih sedikit identitas RAM di Akun Alibaba Cloud saat ini memiliki izin tulis seperti `ram:*`, `ram:Create*`, `ram:Update*`, dan `ram:Delete*`. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Identitas RAM non-administrator diberikan izin dekripsi pada semua kunci KMS. | Menggunakan KMS, Anda dapat mengontrol siapa yang dapat menggunakan kunci KMS Anda dan mengakses data terenkripsi Anda. Kebijakan RAM mendefinisikan operasi mana yang dapat dilakukan oleh identitas (pengguna, grup, atau peran) pada sumber daya tertentu. Sebagai praktik keamanan terbaik, kami merekomendasikan Anda mengikuti prinsip hak istimewa minimal. Ini berarti Anda harus memberikan hanya izin yang diperlukan kepada identitas dan mengotorisasi identitas untuk menggunakan hanya kunci yang diperlukan. Sebaliknya, tentukan set minimum kunci yang diperlukan pengguna untuk mengakses data terenkripsi, lalu berikan kebijakan akses hanya untuk kunci-kunci tersebut. Misalnya, jangan mengizinkan izin `kms:Decrypt` pada semua kunci KMS. Sebaliknya, izinkan izin ini hanya pada kunci tertentu di wilayah tertentu akun Anda. Dengan mengadopsi prinsip hak istimewa minimal, Anda dapat mengurangi risiko pelanggaran data yang tidak disengaja. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Identitas RAM memiliki izin tingkat produk yang tidak aktif. | Setelah kebijakan akses diberikan kepada identitas RAM, jika izin yang didefinisikan dalam kebijakan tersebut tidak digunakan dalam periode tertentu, izin tersebut dianggap tidak aktif. Hal ini dapat terjadi karena fungsi identitas RAM telah berubah, atau ruang lingkup izin yang sebelumnya ditentukan terlalu luas. Sebagai praktik terbaik, kami merekomendasikan Anda secara berkala mencabut izin yang tidak aktif untuk mencapai otorisasi granular. Jika identitas RAM memiliki izin tingkat produk yang tidak digunakan selama 180 hari, itu tidak sesuai dengan praktik terbaik. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Identitas RAM memiliki izin operasi berisiko tinggi yang tidak aktif. | Setelah kebijakan akses diberikan kepada identitas RAM, jika operasi (Action) yang didefinisikan dalam kebijakan tersebut tidak digunakan dalam periode tertentu, izin operasi tersebut dianggap tidak aktif. Hal ini dapat terjadi karena fungsi identitas RAM telah berubah, atau ruang lingkup izin yang sebelumnya ditentukan terlalu luas. Sebagai praktik terbaik, kami merekomendasikan Anda secara berkala mencabut izin yang tidak aktif untuk mencapai otorisasi granular. Untuk beberapa operasi berisiko tinggi (seperti membuat pengguna di RAM), izin yang tidak aktif harus dicabut tepat waktu untuk mencegah insiden keamanan. Jika identitas RAM memiliki izin operasi berisiko tinggi yang tidak digunakan selama 180 hari, itu tidak sesuai dengan praktik terbaik. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Tidak ada pengguna RAM yang mewarisi izin dari grup pengguna. | Secara default, pengguna, grup, dan peran RAM tidak dapat mengakses sumber daya apa pun. Anda dapat memberikan izin kepada pengguna, grup, atau peran menggunakan kebijakan RAM. Kami merekomendasikan Anda menerapkan kebijakan RAM langsung ke grup dan peran alih-alih pengguna. Memberikan izin pada level grup atau peran dapat mengurangi kompleksitas manajemen yang meningkat seiring jumlah pengguna, dan mengurangi risiko perluasan izin pengguna RAM secara tidak sengaja. Konfigurasi dianggap sesuai dengan praktik terbaik jika ada pengguna RAM yang mewarisi izin dari grup pengguna RAM. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Kami merekomendasikan menggunakan kebijakan kontrol untuk perlindungan batas multi-akun. | Kebijakan kontrol dalam direktori sumber daya memungkinkan organisasi membatasi layanan Alibaba Cloud yang dapat diakses oleh akun anggota dan operasi yang dapat mereka lakukan. Ini membantu mengelola batas izin akun anggota secara terpusat dan memastikan seluruh organisasi mematuhi standar keamanan dan kepatuhan yang seragam. Akun dianggap tidak sesuai jika sistem mendeteksi bahwa tidak ada kebijakan kontrol akses kustom yang dibuat dan dilampirkan ke folder atau anggota dalam direktori sumber daya untuk akun saat ini. | Perbaikan cepat tidak didukung. | Tidak |
Pengelolaan izin | Access Analyzer tidak digunakan untuk pengelolaan izin (model baru 3.0). | Access Analyzer dapat membantu Anda mengidentifikasi sumber daya yang dibagikan dengan akun eksternal dalam akun saat ini atau direktori sumber daya. Ini membantu Anda mengidentifikasi berbagi sumber daya yang tidak diharapkan dan mengurangi risiko keamanan perusahaan. Ini juga dapat membantu Anda mengidentifikasi dan melihat identitas yang terlalu diberi otorisasi dalam direktori sumber daya atau akun saat ini, serta menghasilkan hasil analisis yang sesuai untuk identitas tersebut. | Perbaikan cepat tidak didukung. | Tidak |
Pengumpulan dan arsip log | Log ActionTrail tidak disimpan dalam jangka panjang. | Konfigurasi dianggap tidak sesuai jika tidak ada jejak yang dibuat, atau jika jejak yang ada tidak mengarsipkan peristiwa dari semua wilayah, tidak mengarsipkan semua peristiwa baca dan tulis, atau memiliki periode penyimpanan kurang dari 180 hari. | Perbaikan ini meningkatkan pengaturan jejak yang ada di akun saat ini, termasuk mengaktifkan peristiwa baca dan tulis manajemen lengkap dan peristiwa dari semua wilayah. Pilih setidaknya satu jejak yang ada dari daftar untuk meningkatkan pengaturannya. Setelah perbaikan, peristiwa baca, tulis, dan semua wilayah yang baru dihasilkan akan dikirimkan ke tujuan penyimpanan jejak. Peristiwa historis dalam penyimpanan tidak terpengaruh. | Tidak |
Pengumpulan dan arsip log | Log operasi tidak dikumpulkan secara terpusat dalam lingkungan multi-akun. | ActionTrail mencatat peristiwa untuk setiap Akun Alibaba Cloud selama 90 hari terakhir secara default. Membuat jejak dapat membantu perusahaan menyimpan catatan operasi secara permanen untuk memenuhi persyaratan kepatuhan internal dan eksternal. Jejak multi-akun membantu administrator perusahaan melacak dan mengaudit log untuk beberapa akun dalam perusahaan. Konfigurasi dianggap tidak sesuai jika tidak ada jejak multi-akun yang terdeteksi. | Perbaikan cepat tidak didukung. | Tidak |
Pengumpulan dan arsip log | Log Cloud Firewall tidak dikumpulkan dan disimpan selama 180 hari atau lebih. | Cloud Firewall secara otomatis mencatat semua lalu lintas dan menyediakan fungsi pencarian yang nyaman untuk insiden serangan, detail lalu lintas, dan log operasi melalui halaman audit log visual, sehingga mudah dan cepat untuk melacak sumber serangan dan meninjau lalu lintas. Cloud Firewall menyimpan log audit selama 7 hari secara default untuk memenuhi kebutuhan audit dan analisis dasar. Namun, untuk lebih memenuhi persyaratan kepatuhan dan meningkatkan performa keamanan, kami merekomendasikan Anda memperpanjang periode penyimpanan log menjadi 180 hari atau lebih. Jika Anda telah membeli versi langganan Cloud Firewall tetapi tidak mengumpulkan dan menyimpan lognya selama 180 hari atau lebih, konfigurasi Anda tidak sesuai dengan praktik terbaik keamanan jaringan. | Perbaikan cepat tidak didukung. | Tidak |
Pengumpulan dan arsip log | Tugas pengiriman log tidak dikonfigurasikan untuk situs ESA. | Item pemeriksaan ini memastikan bahwa setidaknya satu jenis log dikonfigurasikan untuk situs, sehingga pengguna dapat memperoleh informasi log real-time rinci tentang akses ke sumber daya ESA untuk pemantauan, analisis, dan optimasi kinerja pengiriman konten. Jika tidak dikonfigurasikan, itu tidak sesuai dengan praktik terbaik untuk pemantauan dan audit. | Perbaikan cepat tidak didukung. | Tidak |
Pengumpulan dan arsip log | Pengumpulan log terpusat tidak diaktifkan dalam lingkungan multi-akun. | Konfigurasi dianggap tidak sesuai jika sistem mendeteksi bahwa layanan tepercaya untuk log audit Layanan Log Sederhana (SLS) tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Pengumpulan dan arsip log | Penyimpanan log tidak diaktifkan untuk bucket OSS (model baru 3.0). | Banyak log akses dihasilkan saat Anda mengakses OSS. Anda dapat menggunakan fitur penyimpanan log untuk menghasilkan file log untuk log-log ini setiap jam berdasarkan konvensi penamaan tetap dan menulisnya ke bucket tertentu. Untuk log yang disimpan, Anda dapat menganalisisnya menggunakan Layanan Log Sederhana Alibaba Cloud atau dengan membangun kluster Spark. Konfigurasi dianggap sesuai jika penyimpanan log diaktifkan dalam manajemen log bucket OSS. | Perbaikan cepat tidak didukung. | Tidak |
Pengumpulan dan arsip log | Pengumpulan log tidak dikonfigurasikan untuk EDAS (model baru 3.0). | Layanan Aplikasi Terdistribusi Perusahaan Alibaba Cloud (EDAS), bersama dengan Layanan Log Sederhana, telah meluncurkan fitur log yang mendukung pengiriman log file bisnis dan log output standar kontainer aplikasi yang diterapkan dalam kluster Container Service for Kubernetes (ACK) ke Layanan Log Sederhana untuk kueri dan analisis. Konfigurasi dianggap tidak sesuai jika pengumpulan log tidak dikonfigurasikan untuk EDAS. | Perbaikan cepat tidak didukung. | Tidak |
Pengumpulan dan arsip log | Kueri log real-time tidak diaktifkan untuk OSS (model baru 3.0). | Fitur log real-time untuk bucket OSS memungkinkan pengguna mengaktifkan pencatatan real-time untuk bucket tertentu untuk mencatat perilaku akses ke bucket dalam bentuk log. Log ini dapat digunakan untuk audit, pemantauan, dan analisis. Konfigurasi dianggap tidak sesuai jika kueri log real-time tidak diaktifkan untuk Object Storage Service. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan kepatuhan | Pengiriman perubahan sumber daya atau snapshot tidak dikonfigurasikan. | Konfigurasi dianggap tidak sesuai jika pengiriman perubahan sumber daya atau snapshot tidak dikonfigurasikan di Cloud Config. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan kepatuhan | Data pemeriksaan kepatuhan tidak diperoleh secara berkala. | Konfigurasi dianggap tidak sesuai jika pengiriman peristiwa tidak sesuai tidak dikonfigurasikan di Cloud Config atau hasil pemeriksaan belum dilihat selama tujuh hari. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan kepatuhan | Sumber daya cloud tidak sesuai. | Sumber daya dianggap tidak sesuai jika tingkat kepatuhan sumber daya yang diperiksa oleh aturan yang diaktifkan di Cloud Config lebih rendah dari 100%. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan kepatuhan | Pemeriksaan konfigurasi sumber daya terpadu tidak diaktifkan dalam lingkungan multi-akun. | Akun saat ini dianggap tidak sesuai jika tidak memenuhi dua kondisi berikut:
| Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan kepatuhan | Konfigurasi Cloud tidak diaktifkan. | Akun dianggap tidak patuh jika Konfigurasi Cloud tidak diaktifkan untuk akun saat ini. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan kepatuhan | Aturan kepatuhan Cloud Config tidak diaktifkan. | Akun dianggap tidak patuh jika tidak ada aturan Cloud Config yang diaktifkan untuk akun saat ini. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan kepatuhan | Aturan kepatuhan Konfigurasi Cloud tidak mencakup semua sumber daya cloud. | Penilaian didasarkan pada rasio sumber daya yang dicakup oleh aturan. Konfigurasi dianggap tidak sesuai jika cakupan tipe sumber daya kurang dari 100%. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan sumber daya komputasi | Kerentanan memerlukan perbaikan. | Manajemen kerentanan adalah proses yang berkelanjutan dan proaktif yang melindungi sistem, jaringan, dan aplikasi perusahaan dari serangan siber dan pelanggaran data. Dengan segera menangani potensi kelemahan keamanan, Anda dapat mencegah serangan dan meminimalkan kerusakan jika terjadi serangan. Akun dianggap tidak sesuai jika jumlah kerentanan yang memerlukan perbaikan lebih besar dari 0. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan sumber daya komputasi | Risiko dasar host memerlukan perbaikan. | Virus dan peretas mengeksploitasi kerentanan konfigurasi keamanan untuk membahayakan server, mencuri data, atau menanamkan backdoor. Fitur pemeriksaan dasar melakukan pemeriksaan keamanan pada konfigurasi untuk sistem operasi server, database, perangkat lunak, dan kontainer. Memperbaiki risiko dasar dengan segera memperkuat keamanan sistem, mengurangi risiko intrusi, dan membantu memenuhi persyaratan kepatuhan keamanan. Sebuah Akun Alibaba Cloud dianggap tidak sesuai jika memiliki satu atau lebih risiko dasar yang belum diperbaiki. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan sumber daya komputasi | Fitur anti-virus tidak diaktifkan. | Anda dapat mengaktifkan fitur pemindaian virus untuk secara efektif menghapus berbagai ancaman jahat dari server dan memberikan perlindungan efektif terhadap ancaman seperti ransomware utama, Trojan DDoS, program penambangan, program Trojan, program jahat, program backdoor, dan cacing. Konfigurasi dianggap tidak sesuai jika Anda telah membeli Anti-virus, Enterprise, atau Edisi Ultimate dari Security Center dan belum mengonfigurasi kebijakan pemindaian virus berkala. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan sumber daya komputasi | Kebijakan anti-ransomware tidak diaktifkan. | Intrusi ransomware mengenkripsi data bisnis pelanggan untuk tebusan, yang mengakibatkan gangguan bisnis, pelanggaran data, dan kehilangan data, sehingga membawa risiko bisnis yang serius. Konfigurasi tepat waktu dari kebijakan anti-ransomware dapat secara efektif mengurangi risiko tersebut. Konfigurasi Anda dianggap tidak sesuai jika Anda telah membeli fitur anti-ransomware tetapi belum membuat kebijakan perlindungan. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan sumber daya komputasi | Pemindaian gambar kontainer tidak dikonfigurasi. | Jika sebuah citra itu sendiri memiliki kerentanan sistem atau aplikasi, atau diganti dengan citra yang terinfeksi virus berisi sampel jahat, layanan yang dibuat berdasarkan "citra bermasalah" tersebut akan memiliki kerentanan. Dengan melakukan pemindaian keamanan pada citra di dalam repositori citra, personel keamanan dapat mendorong hasil pemindaian kepada pengembang untuk memperbaiki masalah citra dan memastikan keamanan bisnis. Konfigurasi Anda dianggap tidak sesuai jika Anda telah membeli fitur pemindaian gambar kontainer tetapi belum mengonfigurasi cakupan pemindaian di pengaturan pemindaian. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan waktu proses aplikasi | Aturan terkelola WAF tidak dikonfigurasi untuk situs ESA. | Item pemeriksaan ini memastikan bahwa situs memiliki aturan terkelola yang dikonfigurasi untuk perlindungan yang lebih baik terhadap kerentanan dalam aplikasi Web dan API. Jika tidak dikonfigurasi, maka tidak sesuai dengan praktik terbaik untuk Web Application Protection. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan waktu proses aplikasi | Aturan kustom WAF tidak dikonfigurasi untuk situs ESA. | Item pemeriksaan ini memastikan bahwa situs tersebut memiliki aturan kustom WAF yang dikonfigurasi untuk mendeteksi dan mengurangi permintaan jahat ke situs. Jika tidak dikonfigurasi, maka tidak sesuai dengan praktik terbaik untuk Web Application Protection. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan waktu proses aplikasi | Perlindungan anti-tamper web tidak diaktifkan. | Fitur perlindungan anti-tamper web memantau direktori atau file situs web secara real time dan dapat memulihkan file atau direktori yang telah dirusak dengan data cadangan ketika situs web diserang secara jahat. Ini mencegah informasi ilegal ditanamkan ke dalam situs web dan memastikan operasi normalnya. Konfigurasi Anda dianggap tidak sesuai jika Anda telah membeli fitur proteksi anti-pemalsuan tetapi jumlah server yang terhubung adalah 0. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan waktu proses aplikasi | Konfigurasi perlindungan aplikasi belum dibuat. | Dengan mendeteksi serangan dan melindungi aplikasi pada waktu proses, Anda dapat secara efektif melindungi aplikasi Java, mencegah serangan kerentanan 0-day, serta memberikan pertahanan keamanan untuk aplikasi. Konfigurasi dianggap tidak sesuai jika pelanggan yang telah membeli perlindungan aplikasi belum membuat konfigurasi aplikasi (jumlah kelompok adalah 0). | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan serangan jaringan | Tidak ada objek yang dilindungi ditambahkan ke Anti-DDoS Origin. | Setelah membeli instance Anti-DDoS Origin atau Anti-DDoS Pro atau Anti-DDoS Premium, Anda perlu menambahkan aset IP publik sebagai objek yang dilindungi agar DDoS dapat memberikan kemampuan mitigasi DDoS untuk mereka. Jika tidak, perlindungan tidak akan efektif dan akan mengakibatkan pemborosan biaya. | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan serangan jaringan | Perlindungan Cerdas DDoS AI untuk situs web diatur ke mode ketat. | Perlindungan Cerdas AI dirancang untuk meningkatkan kinerja keamanan situs web. Namun, ketika mode ketat diaktifkan dalam konfigurasi kebijakan, perlu diingat bahwa hal itu dapat menyebabkan beberapa positif palsu bagi bisnis. Oleh karena itu, mode ketat lebih cocok untuk situs web dengan kinerja buruk atau efek perlindungan yang tidak memuaskan. Perlu dicatat bahwa layanan nama domain situs web memiliki perlindungan alami terhadap serangan umum Lapisan 4. Oleh karena itu, untuk sebagian besar layanan situs web, disarankan untuk tidak mengaktifkan mode ketat dalam Perlindungan Cerdas AI, tetapi menggunakan mode normal default untuk menyeimbangkan efek perlindungan dan kelangsungan bisnis. | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan serangan jaringan | Serangan DDoS pada EIP melebihi ambang batas pertahanan (baru dalam model 3.0). | Ketika sebuah EIP mengalami serangan DDoS dengan lalu lintas tingkat tinggi dan bandwidth puncak (bps) dari lalu lintas serangan melebihi kemampuan mitigasi DDoS-nya, kebijakan penyaringan blackhole Alibaba Cloud untuk sementara memblokir lalu lintas antara produk-produk Alibaba Cloud dan Internet untuk menghindari kerusakan yang lebih besar pada produk-produk Alibaba Cloud dan mencegah satu produk cloud yang diserang oleh DDoS memengaruhi operasi normal aset lainnya. Hal ini memengaruhi komunikasi jaringan normal. Sebuah EIP dianggap tidak sesuai jika status perlindungan DDoS-nya adalah "Lubang Hitam Diaktifkan". | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan serangan jaringan | Serangan DDoS pada instance SLB melebihi ambang batas pertahanan (baru dalam model 3.0). | Ketika sebuah instance SLB mengalami serangan DDoS dengan trafik besar dan bandwidth puncak (bps) dari trafik serangan melebihi kemampuan mitigasi DDoS-nya, kebijakan penyaringan blackhole Alibaba Cloud untuk sementara memblokir trafik antara produk-produk Alibaba Cloud dan Internet untuk menghindari kerusakan lebih besar pada produk Alibaba Cloud dan mencegah satu produk cloud yang diserang oleh DDoS memengaruhi operasi normal aset lainnya. Hal ini memengaruhi komunikasi jaringan normal. Sebuah instance SLB dianggap tidak sesuai jika status perlindungan DDoS-nya adalah "Lubang Hitam Diaktifkan". | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan serangan jaringan | Serangan pada instance Anti-DDoS Pro atau Anti-DDoS Premium melebihi ambang batas pertahanan (baru dalam model 3.0). | Untuk layanan yang telah terhubung ke Anti-DDoS Pro dan Anti-DDoS Premium, ketika lalu lintas serangan melebihi bandwidth proteksi dari instans Anti-DDoS Pro atau Anti-DDoS Premium, instans tersebut akan memasuki lubang hitam, dan semua lalu lintas layanan yang diteruskan melalui instans akan diblokir, menyebabkan layanan tidak dapat diakses. Sebuah instans Anti-DDoS Pro atau Anti-DDoS Premium dianggap tidak sesuai jika status IP Anti-DDoS-nya adalah "Lubang Hitam Diaktifkan". | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan serangan jaringan | Serangan DDoS pada Instance ECS melebihi ambang batas pertahanan (baru dalam model 3.0). | Ketika sebuah instance ECS mengalami serangan DDoS dengan lalu lintas besar dan bandwidth puncak (bps) dari lalu lintas serangan melebihi kemampuan mitigasi DDoS-nya, kebijakan penyaringan blackhole Alibaba Cloud untuk sementara memblokir lalu lintas antara produk-produk Alibaba Cloud dan Internet untuk menghindari kerusakan lebih besar pada produk-produk Alibaba Cloud dari serangan DDoS dan mencegah satu produk cloud yang diserang oleh DDoS memengaruhi operasi normal aset lainnya. Hal ini memengaruhi komunikasi jaringan normal. Sebuah instance ECS dengan alamat IP publik terbuka dianggap tidak sesuai jika status perlindungan DDoS-nya adalah "Lubang Hitam Diaktifkan". | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses data | Bucket OSS memiliki aturan akses untuk akun di luar organisasi. | Pastikan bahwa Bucket OSS hanya dapat diakses oleh akun dalam organisasi untuk mencegah risiko pelanggaran data. Bucket OSS yang mengizinkan akses dari akun di luar organisasi dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses data | Public read diaktifkan untuk Bucket OSS. | Cegah isi dari sebuah Bucket OSS agar tidak dapat dibaca secara publik untuk memastikan kerahasiaan dan keamanan data. Sebuah Bucket OSS yang diatur ke mode baca-publik dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses data | Penulisan publik diaktifkan untuk Bucket OSS. | OSS mendukung akses publik dengan mengatur kebijakan bucket dan ACL. Penulisan publik berarti bahwa setiap sumber daya OSS dapat dimodifikasi atau objek file baru dapat diunggah ke bucket tanpa izin atau otentikasi tertentu. Penulisan publik berarti bahwa siapa saja dapat mengunggah dan memodifikasi data di bucket OSS, yang dapat dengan mudah menyebabkan pelanggaran data dan risiko menghasilkan biaya besar akibat akses jahat. Sebagai praktik terbaik, kami menyarankan Anda untuk menonaktifkan izin penulisan publik untuk bucket OSS dan mengakses data di bucket OSS hanya melalui Penandatanganan URL atau API. Ketika salah satu dari kebijakan bucket OSS atau ACL berisi semantik penulisan publik, bucket OSS mungkin memiliki risiko keamanan karena ditulis secara publik, yang tidak sesuai dengan praktik terbaik. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses data | Bucket OSS memiliki aturan akses untuk akun anonim. | Menerapkan prinsip hak istimewa minimal sangat mendasar untuk mengurangi risiko keamanan dan meminimalkan dampak dari kesalahan atau perilaku jahat. Jika suatu Kebijakan Bucket OSS mengizinkan akses anonim, hal itu dapat menyebabkan eksfiltrasi data oleh penyerang. Selain itu, jika akun eksternal dikendalikan oleh penyerang jahat, data Anda dapat dimanipulasi atau dihapus. Hal ini tidak hanya mengancam integritas dan kerahasiaan data, tetapi juga dapat menyebabkan gangguan bisnis dan masalah hukum. Sebagai praktik terbaik, kami menyarankan Anda untuk melarang akses anonim ke Bucket OSS melalui kebijakan. Suatu kebijakan bucket tidak sesuai dengan praktik terbaik jika berisi kebijakan yang mengizinkan akses anonim, yaitu pengguna yang diotorisasi adalah semua akun (*) dan efeknya adalah allow. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Pendengar HTTPS tidak diaktifkan untuk SLB. | Pastikan Server Load Balancer (SLB) memiliki Pendengar HTTPS yang diaktifkan untuk mengenkripsi data dalam transit menggunakan protokol TLS. Instance SLB tanpa Pendengar HTTPS yang diaktifkan dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Sertifikat server SLB akan kedaluwarsa dalam kurang dari 15 hari. | Pastikan bahwa sertifikat server yang digunakan oleh instance SLB tidak akan kedaluwarsa dalam 15 hari untuk menghindari kegagalan enkripsi transmisi karena kedaluwarsa sertifikat. Konfigurasi dianggap tidak sesuai jika periode validitas tersisa dari sertifikat server SLB kurang dari atau sama dengan 15 hari. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Sertifikat dalam layanan SSL Certificate akan kedaluwarsa dalam 15 hari. | Setelah Sertifikat SSL kedaluwarsa, Klien tidak akan dapat memverifikasi identitas server, yang dapat menyebabkan pengguna tidak dapat mengakses layanan atau menerima peringatan, memengaruhi pengalaman pengguna. Kegagalan untuk memperbarui Sertifikat tepat waktu dapat menyebabkan penurunan ketersediaan layanan, penurunan kepercayaan pelanggan, dan bahkan pelanggaran data. Selain itu, perpanjangan dan pembaruan sertifikat seringkali memerlukan periode waktu tertentu. Disarankan untuk menyisihkan waktu yang cukup untuk memperbarui sertifikat guna menghindari gangguan layanan. Sertifikat dalam layanan manajemen sertifikat digital tidak sesuai dengan praktik terbaik jika waktu kedaluwarsanya kurang dari atau sama dengan 15 hari. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Pengalihan paksa HTTPS belum dikonfigurasi untuk nama domain independen API Gateway. | Menyediakan API eksternal hanya menggunakan protokol HTTP dapat menimbulkan risiko keamanan data. Karena konten komunikasi protokol HTTP ditransmisikan dalam teks biasa, penyerang dapat dengan mudah memperoleh dan melihat konten komunikasi tersebut, sehingga mendapatkan informasi sensitif seperti kredensial pengguna dan data pribadi, yang dapat menyebabkan pelanggaran data. Sebagai praktik terbaik, disarankan untuk menggunakan protokol HTTPS untuk API yang disediakan secara eksternal dan mengatur pengalihan paksa permintaan pada Pendengar HTTP ke Pendengar HTTPS untuk memastikan bahwa data dienkripsi selama transmisi. Konfigurasi tidak sesuai dengan praktik terbaik jika pengalihan paksa HTTPS tidak dikonfigurasi untuk Nama domain independen yang terkait dengan API Gateway. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | HTTPS belum dikonfigurasi untuk nama domain CDN. | Hanya menyediakan layanan eksternal menggunakan protokol HTTP untuk CDN dapat menimbulkan risiko keamanan data. Karena konten komunikasi protokol HTTP ditransmisikan dalam teks biasa, penyerang dapat dengan mudah memperoleh dan melihat konten komunikasi tersebut, sehingga mendapatkan informasi sensitif seperti kredensial pengguna dan data pribadi, yang dapat menyebabkan pelanggaran data. Sebagai praktik terbaik, disarankan untuk menggunakan protokol HTTPS untuk nama domain CDN yang disediakan secara eksternal dan mengalihkan paksa permintaan pada Pendengar HTTP ke Pendengar HTTPS untuk memastikan bahwa data dienkripsi selama transmisi. Konfigurasi tidak sesuai dengan praktik terbaik jika fitur Percepatan aman HTTPS tidak diaktifkan untuk nama domain CDN. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Pengalihan paksa HTTP ke HTTPS tidak dikonfigurasi untuk Nama domain CDN. | Menyediakan layanan eksternal hanya menggunakan protokol HTTP untuk CDN dapat menimbulkan risiko keamanan data. Karena konten komunikasi protokol HTTP ditransmisikan dalam teks biasa, penyerang dapat dengan mudah memperoleh dan melihat konten komunikasi tersebut, sehingga mendapatkan informasi sensitif seperti kredensial pengguna dan data pribadi, yang dapat menyebabkan pelanggaran data. Sebagai praktik terbaik, disarankan untuk menggunakan protokol HTTPS untuk Nama domain CDN yang disediakan secara eksternal dan melakukan pengalihan paksa permintaan pada Pendengar HTTP ke Pendengar HTTPS untuk memastikan bahwa data dienkripsi selama transmisi. Konfigurasi tidak sesuai dengan praktik terbaik jika tipe pengalihan paksa dalam konfigurasi HTTPS dari Nama domain CDN tidak diatur ke HTTPS -> HTTP. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Instans Elasticsearch tidak menggunakan protokol transmisi HTTPS. | Menyediakan layanan hanya menggunakan protokol HTTP untuk sebuah instance Elasticsearch dapat menimbulkan risiko keamanan data. Karena isi komunikasi protokol HTTP ditransmisikan dalam teks biasa, penyerang dapat dengan mudah memperoleh dan melihat isi komunikasi tersebut, sehingga mendapatkan informasi sensitif yang dapat menyebabkan pelanggaran data. Sebagai praktik terbaik, disarankan untuk menggunakan protokol HTTPS untuk mengakses Elasticsearch di dalam aplikasi atau klien guna memastikan bahwa data dienkripsi selama transmisi. Konfigurasi sesuai dengan praktik terbaik jika saklar untuk menggunakan protokol HTTPS diaktifkan dalam pengaturan jaringan kluster dari instance Elasticsearch. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | TLS v1.2 tidak diaktifkan untuk situs ESA. | Item pemeriksaan ini memastikan bahwa situs telah mengaktifkan TLS v1.2, menggunakan versi protokol yang lebih baru untuk meningkatkan tingkat keamanan website. Jika tidak diaktifkan, maka tidak sesuai dengan praktik terbaik untuk keamanan transmisi data. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | HSTS tidak diaktifkan untuk situs ESA. | Item pemeriksaan ini memastikan bahwa situs telah mengaktifkan HTTP Strict Transport Security (HSTS) untuk mengurangi risiko pembajakan saat kunjungan pertama. Jika tidak diaktifkan, maka tidak sesuai dengan praktik terbaik untuk keamanan transmisi data. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Force HTTPS tidak diaktifkan untuk situs ESA. | Item pemeriksaan ini memastikan bahwa situs telah mengaktifkan HTTPS secara paksa untuk memastikan bahwa permintaan HTTP dari klien ke node edge ESA dialihkan secara paksa ke HTTPS. Jika tidak diaktifkan, maka tidak sesuai dengan praktik terbaik untuk keamanan transmisi data. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan data dalam transit | Sertifikat SSL yang digunakan oleh CDN akan segera kedaluwarsa (baru dalam model 3.0). | Pastikan bahwa Sertifikat SSL/TLS yang terikat pada Nama domain berada dalam periode validitasnya untuk menghindari risiko keamanan dan gangguan bisnis yang disebabkan oleh kedaluwarsa sertifikat. Konfigurasi dianggap tidak sesuai jika jumlah hari tersisa sebelum sertifikat CDN kedaluwarsa kurang dari jumlah hari yang ditentukan oleh parameter (default adalah 15 hari). | Perbaikan cepat tidak didukung. | Tidak |
Enkripsi data statis | Enkripsi Data Transparan (TDE) tidak diaktifkan untuk PolarDB (baru dalam model 3.0). | Enkripsi data transparan (TDE) melakukan enkripsi dan dekripsi I/O secara real-time pada file data. Data dienkripsi sebelum ditulis ke disk dan didekripsi saat dibaca dari disk ke memori. Tidak mengaktifkan fitur TDE untuk PolarDB dapat menyebabkan risiko pelanggaran data, akses tidak sah, atau perubahan data. Kluster PolarDB tanpa TDE yang diaktifkan dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Enkripsi data statis | Enkripsi Data Transparan (TDE) tidak diaktifkan untuk RDS (baru dalam model 3.0). | Dalam skenario seperti kepatuhan keamanan atau enkripsi data statis, disarankan untuk menggunakan fitur enkripsi data transparan (TDE) untuk melakukan enkripsi dan dekripsi I/O secara real-time pada file data. Dengan melakukan enkripsi data statis di lapisan database, hal ini dapat secara efektif mencegah kemungkinan penyerang mengabaikan database untuk langsung membaca informasi sensitif dari penyimpanan, sehingga secara efektif meningkatkan keamanan data sensitif dalam database. Instans RDS tanpa TDE yang diaktifkan dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Penyembunyian data | Pendeteksian data sensitif tidak diaktifkan di Data Security Center (baru dalam model 3.0). | Data sensitif terutama mencakup data bernilai tinggi seperti informasi pelanggan, data teknis, dan informasi pribadi, yang ada dalam berbagai bentuk di aset pengguna Alibaba Cloud. Kebocoran data sensitif dapat menyebabkan kerugian ekonomi dan merek yang serius bagi perusahaan. Pusat Keamanan Data dapat memindai data di database seperti MaxCompute, OSS, layanan database Alibaba Cloud (RDS, PolarDB-X, PolarDB, OceanBase, Tablestore), dan database yang dikelola sendiri berdasarkan bidang kunci data sensitif yang telah ditentukan sebelumnya, serta menentukan apakah itu adalah data sensitif berdasarkan jumlah kecocokan dalam aturan data sensitif. Konfigurasi dianggap tidak sesuai jika deteksi data sensitif tidak diaktifkan di Pusat Keamanan Data. | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan dan pemulihan event keamanan | Security Center tidak digunakan untuk perlindungan keamanan (baru dalam model 3.0). | Aset cloud menghadapi banyak ancaman keamanan, seperti penyebaran virus, serangan siber, enkripsi ransomware, dan eksploitasi kerentanan. Security Center menyediakan kemampuan keamanan seperti manajemen aset, pemeriksaan konfigurasi, dan pertahanan aktif. Anda dapat membangun sistem pertahanan keamanan untuk aset cloud Anda dengan membeli layanan perlindungan keamanan yang sesuai. Konfigurasi dianggap tidak sesuai jika versi Security Center yang digunakan tidak lebih tinggi dari Edisi Dasar. | Perbaikan cepat tidak didukung. | Tidak |
Tanggapan dan pemulihan event keamanan | Peringatan yang harus diproses ada di Security Center. | Event peringatan keamanan adalah ancaman yang terdeteksi oleh Security Center di server atau produk cloud Anda, mencakup tipe peringatan keamanan seperti perlindungan anti-tamper web, anomali proses, webshell, login tidak biasa, dan proses jahat. Pemrosesan tepat waktu terhadap peringatan dapat meningkatkan postur keamanan aset Anda. Konfigurasi dianggap tidak sesuai jika jumlah peringatan yang belum diproses lebih besar dari 0. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Jenis jaringan dari template peluncuran ECS diatur ke jaringan klasik (baru dalam model 3.0). | Pengguna di jaringan klasik tidak dapat mencapai isolasi tingkat jaringan, dan beberapa penyewa berada dalam satu kolam IP yang sama. Pengguna juga tidak dapat menerapkan topologi jaringan dan alamat IP kustom. Jika suatu aplikasi yang terpapar di jaringan klasik memiliki kerentanan, maka aplikasi tersebut dapat diserang oleh penyewa lain di cloud. Virtual private cloud (VPC) menyediakan langkah-langkah keamanan yang lebih baik di berbagai tingkatan. Bagi perusahaan dan organisasi yang mengutamakan keamanan data, menggunakan VPC jelas merupakan pilihan yang lebih baik. Konfigurasi dianggap tidak sesuai jika jenis jaringan pada konfigurasi template peluncuran ECS diatur ke jaringan klasik. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Aturan masuk dari grup keamanan yang terkait dengan grup penskalaan Auto Scaling diatur ke 0.0.0.0/0 dan semua Port (baru dalam model 3.0). | Setelah aktivitas skala keluar dipicu, Auto Scaling secara otomatis membuat Instance ECS berdasarkan konfigurasi penskalaan. Jika aturan grup keamanan yang terkait dengan konfigurasi grup penskalaan Auto Scaling mengizinkan akses dari semua alamat IP (0.0.0.0/0) pada port apa pun, Instance ECS yang dibuat akan memiliki risiko keamanan. Konfigurasi dianggap tidak sesuai jika aturan masuk dari grup keamanan yang terkait dengan konfigurasi grup penskalaan Auto Scaling berisi 0.0.0.0/0 dan tidak menentukan port tertentu. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | API Server dari kluster ACK memiliki titik akhir publik yang diaktifkan (baru dalam model 3.0). | Menetapkan titik akhir publik untuk kluster ACK meningkatkan risiko berbagai objek sumber daya (seperti Pod, Layanan, dan Pengontrol Replika) diserang di Internet. Tidak disarankan untuk menetapkan titik akhir publik. Kluster ACK dengan titik akhir publik yang ditetapkan tidak sesuai dengan kebijakan. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Node master dari kluster EMR memiliki titik akhir publik yang diaktifkan (baru dalam model 3.0). | Jika alamat IP publik ditetapkan ke node master dari kluster EMR, hal ini secara signifikan meningkatkan risiko serangan di lingkungan jaringan publik. Penyerang dapat memindai, menyusup, atau melakukan perilaku jahat lainnya pada node master melalui alamat IP publik yang terpapar, sehingga mengancam keamanan seluruh kluster. Kluster EMR dengan pengaturan koneksi publik dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Mengikat alamat publik ke Instance ECS tidak dilarang. | Untuk mengurangi risiko serangan, disarankan untuk mencegah Instance ECS terpapar langsung ke Internet dan mengakses Internet melalui Gateway NAT atau Server Load Balancer. Instance ECS yang terikat pada alamat publik dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Aturan masuk grup keamanan diatur ke 0.0.0.0/0 dan semua Port. | Larang aturan grup keamanan mengizinkan akses dari semua alamat IP (0.0.0.0/0) pada Port apa pun. Akses harus dibatasi pada rentang IP dan Port tertentu. Sebuah grup keamanan dianggap tidak sesuai jika aturan masuknya berisi 0.0.0.0/0 dan tidak menentukan Port tertentu. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Grup keamanan membuka port yang rentan (22/3389/...) ke Internet. | Larang aturan grup keamanan mengizinkan akses publik ke port yang rentan seperti SSH (22) dan RDP (3389) untuk mencegah serangan jaringan dan akses tidak sah. Sebuah grup keamanan dianggap tidak sesuai jika membuka port yang rentan seperti SSH (22) dan RDP (3389) ke Internet. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Daftar putih tidak diatur untuk Proyek MaxCompute (baru dalam model 3.0). | Setelah fitur daftar putih diaktifkan untuk sebuah proyek MaxCompute, hanya perangkat dalam daftar putih yang diizinkan mengakses ruang proyek tersebut. Jika fitur daftar putih tidak diaktifkan untuk sebuah proyek MaxCompute, semua IP yang menggunakan titik akhir publik dapat mengakses proyek MaxCompute tersebut, yang menimbulkan risiko paparan Internet. Sebuah proyek MaxCompute dianggap tidak sesuai jika dikonfigurasikan untuk akses jaringan eksternal dan fitur daftar putih IP tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Akses publik dan akses jaringan klasik diaktifkan untuk instans Tablestore. | Tablestore secara default membuat Nama domain publik, Nama domain VPC, dan Nama domain jaringan klasik untuk setiap Instans. Nama domain publik dapat diakses melalui Internet, dan pengguna mana pun dapat mengakses sumber daya Tablestore melalui Nama domain publik di Internet. Nama domain jaringan klasik terlihat oleh server ECS di Wilayah yang sama, dan aplikasi dapat mengakses Instans dari server ECS jaringan klasik di Wilayah yang sama melalui Nama domain jaringan klasik. Sebagai praktik terbaik, disarankan agar Instans hanya mengizinkan akses dari Konsol atau VPC. Membatasi akses ke Instans dari Internet atau jaringan klasik dapat memberikan isolasi jaringan yang lebih baik dan meningkatkan keamanan data. Sebuah Instans Tablestore mematuhi praktik terbaik jika jenis jaringannya diatur ke "Hanya Akses dari Konsol atau VPC" atau "Hanya Akses VPC Terikat". | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Instans PolarDB memiliki titik akhir publik yang diaktifkan dan tidak ada daftar putih yang diatur. | Membuka akses publik untuk database dapat menimbulkan risiko keamanan. Begitu database dibuka untuk publik, database tersebut mungkin terpapar kepada penyerang jahat. Selain itu, jika kontrol akses yang tepat tidak diterapkan di atas paparan publik, hal ini dapat dengan mudah menyebabkan pelanggaran data atau kerusakan. Sebagai praktik terbaik, disarankan untuk hanya mengizinkan instansiasi basis data diakses dari dalam VPC, menetapkan daftar putih IP yang sesuai, dan menetapkan akun serta kata sandi yang kompleks untuk database. Kluster tidak sesuai dengan praktik terbaik jika memiliki titik akhir publik yang diaktifkan dan daftar putih disetel ke 0.0.0.0/0. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Instans Redis memiliki titik akhir publik yang diaktifkan dan tidak ada daftar putih yang diatur. | Membuka akses publik untuk database dapat menimbulkan risiko keamanan. Setelah database dibuka untuk publik, ia mungkin terpapar kepada penyerang jahat. Selain itu, jika kontrol akses yang tepat tidak diterapkan di atas paparan publik, hal ini dapat dengan mudah menyebabkan pelanggaran data atau kerusakan. Sebagai praktik terbaik, disarankan untuk hanya mengizinkan instansiasi basis data diakses dari dalam VPC, menetapkan daftar putih IP yang sesuai, dan menetapkan akun serta kata sandi yang kompleks untuk database. Sebuah instans tidak sesuai dengan praktik terbaik jika memiliki titik akhir publik yang diaktifkan dan daftar putih diatur ke 0.0.0.0/0. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Instans MongoDB memiliki titik akhir publik yang diaktifkan dan tidak ada daftar putih yang diatur. | Membuka akses publik untuk database dapat menimbulkan risiko keamanan. Begitu database dibuka untuk publik, ia mungkin terpapar kepada penyerang jahat. Selain itu, jika kontrol akses yang tepat tidak diterapkan di atas paparan publik, hal ini dapat dengan mudah menyebabkan pelanggaran data atau kerusakan. Sebagai praktik terbaik, disarankan untuk hanya mengizinkan instansiasi basis data diakses dari dalam VPC, menetapkan daftar putih IP yang sesuai, dan menetapkan akun serta kata sandi yang kompleks untuk database. Sebuah instans tidak sesuai dengan praktik terbaik jika memiliki titik akhir publik yang diaktifkan dan daftar putih diatur ke 0.0.0.0/0. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Instans RDS memiliki titik akhir publik yang diaktifkan dan tidak ada daftar putih yang diatur. | Membuka akses publik untuk sebuah database dapat menimbulkan risiko keamanan. Begitu sebuah database dibuka untuk publik, database tersebut mungkin terpapar kepada penyerang jahat. Selain itu, jika kontrol akses yang tepat tidak diterapkan di atas paparan publik, hal ini dapat dengan mudah menyebabkan pelanggaran data atau kerusakan. Sebagai praktik terbaik, disarankan untuk hanya mengizinkan instansiasi basis data diakses dari dalam VPC, menetapkan daftar putih IP yang sesuai, dan menetapkan akun serta kata sandi yang kompleks untuk database. Sebuah instans tidak sesuai dengan praktik terbaik jika memiliki titik akhir publik yang diaktifkan dan daftar putih diatur ke 0.0.0.0/0. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Instansi Elasticsearch memiliki titik akhir publik yang diaktifkan dan tidak ada daftar putih yang diatur. | Membuka akses publik untuk Elasticsearch dapat menimbulkan risiko keamanan. Begitu sebuah instans dibuka untuk publik, instans tersebut mungkin terpapar kepada penyerang jahat. Selain itu, jika kontrol akses yang tepat tidak diterapkan di atas paparan publik, hal ini dapat dengan mudah menyebabkan pelanggaran data atau kerusakan. Sebagai praktik terbaik, disarankan untuk hanya mengizinkan instans Elasticsearch diakses dari dalam VPC, menetapkan daftar putih IP yang sesuai, dan mengonfigurasi kontrol akses yang tepat. Sebuah instans tidak sesuai dengan praktik terbaik jika memiliki titik akhir publik yang diaktifkan dan daftar putih diatur ke 0.0.0.0/0. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Layanan Kibana dari instance Elasticsearch memiliki titik akhir publik yang diaktifkan. | Membuka akses publik untuk Kibana dapat menimbulkan risiko keamanan. Begitu sebuah instans terbuka untuk publik, ia mungkin terpapar kepada penyerang jahat. Selain itu, jika kontrol akses yang tepat tidak diterapkan di atas paparan publik, hal ini dapat dengan mudah menyebabkan pelanggaran data atau kerusakan. Sebagai praktik terbaik, disarankan untuk hanya mengizinkan instans Kibana diakses dari dalam VPC, menetapkan daftar putih IP yang sesuai, dan mengonfigurasi kontrol akses yang tepat. Konfigurasi tersebut tidak sesuai dengan praktik terbaik jika layanan Kibana dari instans Elasticsearch memiliki akses publik yang diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Cloud Firewall tidak melindungi semua aset publik. | Item pemeriksaan ini memastikan bahwa semua aset publik dilindungi oleh Cloud Firewall. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall, tetapi ada aset dengan alamat IP publik untuk mana perlindungan firewall internet tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Tidak ada Kebijakan ACL yang dibuat untuk Cloud Firewall. | Setelah sakelar firewall diaktifkan, jika Anda tidak mengonfigurasi kebijakan kontrol akses (ACL), Cloud Firewall secara default mengizinkan semua lalu lintas dalam proses pencocokan kebijakan kontrol akses. Anda dapat mengonfigurasi kebijakan pemblokiran dan pengizinan lalu lintas untuk firewall yang berbeda sesuai dengan kebutuhan bisnis Anda untuk lebih mengontrol akses tidak sah ke aset Anda. Konfigurasi tersebut tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall tetapi belum membuat kebijakan kontrol akses. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Spesifikasi bandwidth proteksi Cloud Firewall tidak mencukupi. | Item pemeriksaan ini memastikan bahwa spesifikasi Cloud Firewall masuk akal dalam hal bandwidth proteksi. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall, tetapi bandwidth puncak aktual dalam 30 hari terakhir melebihi bandwidth proteksi yang dibeli. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Cloud Firewall tidak digunakan untuk melindungi lalu lintas jaringan. | Cloud Firewall adalah firewall SaaS di platform cloud yang dapat mencapai isolasi dan kontrol keamanan terpadu untuk batas Internet, batas VPC, dan batas host dari aset jaringan cloud Anda. Ini adalah garis pertahanan jaringan pertama untuk bisnis Anda di cloud. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda tidak menggunakan Cloud Firewall. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Jumlah otorisasi yang tersedia untuk Cloud Firewall tidak mencukupi. | Item pemeriksaan ini memastikan bahwa spesifikasi Cloud Firewall masuk akal dalam hal jumlah otorisasi yang tersedia. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall, tetapi jumlah aset dengan alamat IP publik yang tidak diaktifkan perlindungan firewall internet melebihi jumlah otorisasi perlindungan yang tersedia. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Pertahanan dasar tidak diaktifkan untuk Cloud Firewall IPS. | Fitur pertahanan dasar harus diaktifkan untuk modul Sistem Pencegahan Intrusi (IPS) dari Cloud Firewall. Pertahanan dasar menyediakan kemampuan pencegahan intrusi dasar, termasuk intersepsi serangan brute-force, intersepsi kerentanan eksekusi perintah, dan kontrol atas koneksi pasca-infeksi ke server C&C (command and control), memberikan perlindungan dasar untuk aset Anda. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall tetapi belum mengaktifkan fitur ini. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Virtual patching tidak diaktifkan untuk Cloud Firewall IPS. | Fitur pembenahan virtual harus diaktifkan untuk modul Sistem Pencegahan Intrusi (IPS) dari Cloud Firewall. Cloud Firewall dapat memberikan perlindungan real-time bagi Anda terhadap kerentanan berisiko tinggi yang populer dan kerentanan darurat. Pembenahan virtual menyediakan patch panas di lapisan jaringan untuk kerentanan berisiko tinggi dan kerentanan darurat yang dapat dieksploitasi secara remote, serta mencegat perilaku serangan kerentanan secara real-time, menghindari gangguan bisnis saat memperbaiki kerentanan host. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall tetapi belum mengaktifkan fitur ini. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Intelligence ancaman tidak diaktifkan untuk Cloud Firewall IPS. | Fitur intelijen ancaman harus diaktifkan untuk modul Sistem Pencegahan Intrusi (IPS) dari Cloud Firewall untuk memindai dan mendeteksi intelijen ancaman serta menyediakan kontrol pusat untuk pemblokiran intelijen. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall tetapi belum mengaktifkan fitur ini. | Perbaikan cepat tidak didukung. | Tidak |
Kontrol akses jaringan | Lalu lintas akses VPC tidak sepenuhnya dilindungi oleh Firewall VPC. | Item pemeriksaan ini mengharuskan seluruh lalu lintas akses VPC dilindungi oleh Firewall VPC (Virtual Private Cloud) dari Cloud Firewall guna mengurangi risiko terhadap lalu lintas jaringan privat internal. Konfigurasi tersebut tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall, namun terdapat lalu lintas akses VPC yang Firewall VPC-nya tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Kebijakan deny default tidak dikonfigurasikan untuk Cloud Firewall. | Untuk memastikan keamanan jaringan, Cloud Firewall harus dikonfigurasikan dengan kebijakan deny default (yaitu, kebijakan versi alamat IPv4 di mana sumber dan tujuan akses masuk/keluar adalah 0.0.0.0/0 dan tindakannya adalah tolak). Kecuali lalu lintas tepercaya yang diizinkan secara eksplisit, semua lalu lintas lainnya harus diblokir secara default. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall tetapi belum mengonfigurasi kebijakan deny default. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Mode Blokir tidak diaktifkan untuk IPS Cloud Firewall. | Modul sistem pencegahan intrusi (IPS) Cloud Firewall harus dikonfigurasikan dalam Mode Blokir untuk memblokir lalu lintas jahat dan menghentikan aktivitas intrusi. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall tetapi belum mengaktifkan fitur ini. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan jaringan | Gateway NAT tidak sepenuhnya dilindungi oleh firewall NAT. | Untuk mengurangi risiko akses jaringan pribadi ke Internet, semua instans Gateway NAT harus terhubung ke firewall NAT Cloud Firewall untuk perlindungan. Konfigurasi tidak sesuai dengan praktik terbaik keamanan jaringan jika Anda menggunakan Cloud Firewall, tetapi ada Gateway NAT yang perlindungannya tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Stabilitas
Kategori | Butir pemeriksaan | Deskripsi | Deskripsi perbaikan cepat | Dukungan keputusan |
Tipe instans | Instance ECS menggunakan tipe instans yang dibagikan atau sudah tidak digunakan lagi. | Menggunakan tipe instans yang dibagikan atau sudah tidak digunakan lagi untuk Instance ECS tidak dapat menjamin performa komputasi yang stabil. Instance ECS dari keluarga instans yang sudah tidak digunakan lagi atau dibagikan dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Tipe instans | Instans Elasticsearch menggunakan tipe instans pengembangan dan pengujian. | Instans Elasticsearch dengan spesifikasi 1-core 2 GB hanya cocok untuk skenario pengujian dan tidak untuk lingkungan produksi. Instans Elasticsearch dengan spesifikasi 1-core 2 GB dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Tipe instans | Instans RDS menggunakan tipe instans Edisi Dasar. | Instans RDS Edisi Dasar hanya memiliki satu node database dan tidak ada node sekunder untuk cadangan panas. Oleh karena itu, ketika node tersebut mengalami kegagalan tak terduga atau tugas-tugas seperti memulai ulang instans, mengubah konfigurasi, atau meningkatkan versi dilakukan, instans tersebut akan tidak tersedia untuk periode yang lama. Pada saat yang sama, spesifikasi bersama dan serbaguna dalam keluarga instans RDS berbagi sumber daya dengan instans lain pada mesin fisik yang sama dan hanya cocok untuk skenario aplikasi dengan persyaratan stabilitas rendah. Jika bisnis Anda memiliki persyaratan ketersediaan tinggi untuk database, disarankan untuk menggunakan Edisi Ketersediaan Tinggi/Edisi Kluster untuk seri produk dan tipe Dedicated untuk keluarga instans. Konfigurasi dianggap tidak sesuai jika seri produk RDS tidak menggunakan Edisi Ketersediaan Tinggi/Edisi Kluster, atau keluarga instans RDS tidak menggunakan spesifikasi Dedicated. | Perbaikan cepat tidak didukung. | Tidak |
Tipe instans | ACK menggunakan Edisi Dasar dari kluster terkelola. | Dibandingkan dengan edisi terkelola sebelumnya, edisi terkelola ACK Pro lebih meningkatkan keandalan, keamanan, dan penjadwalan kluster, serta cocok untuk bisnis skala besar di lingkungan produksi. Edisi non-profesional dari kluster terkelola dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Tipe instans | Instans Redis menggunakan tipe instans edisi sumber terbuka. | Redis Edisi Perusahaan menyediakan performa yang lebih kuat, lebih banyak struktur data, dan metode penyimpanan yang lebih fleksibel. Instans Redis yang bukan Edisi Perusahaan dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Jenis Instans | Instans MongoDB menggunakan jenis Instans mandiri. | Ketika MongoDB mengadopsi arsitektur satu node, waktu pemulihan kesalahan lebih lama dan tidak ada jaminan SLA. Instans MongoDB yang bukan multi-zona dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Tipe instans | Instans ApsaraMQ for RocketMQ menggunakan tipe instans Edisi Standar. | Edisi Standar ApsaraMQ for RocketMQ menggunakan instans bersama dan tidak direkomendasikan untuk digunakan di lingkungan produksi. Edisi bersama dari instans ApsaraMQ for RocketMQ dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Instance ECS menggunakan versi OS yang sudah kedaluwarsa. | Sebuah Instance ECS yang menggunakan versi OS yang tidak didukung dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Instans Elasticsearch menggunakan versi yang tidak direkomendasikan. | Sebuah instans Elasticsearch dianggap tidak sesuai jika versinya berada dalam rentang versi yang tidak direkomendasikan. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Database PolarDB tidak menggunakan versi minor yang stabil. | Sebuah database PolarDB dianggap tidak sesuai jika status versi minornya tidak stabil. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Instans Redis tidak ditingkatkan ke versi minor terbaru. | Sebuah Instans Redis dianggap tidak sesuai jika tidak ditingkatkan ke versi minor terbaru. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Versi mesin MSE terlalu rendah. | Menggunakan versi mesin MSE terbaru adalah kunci untuk memastikan kontinuitas layanan MSE. Jika versi mesin terlalu rendah, dapat menyebabkan masalah berikut: cacat kode menyebabkan GC tidak dapat diklaim kembali, dan luapan memori menyebabkan memori terus meningkat, kecepatan mulai lambat, cacat serialisasi Json, serta masalah lainnya. Konfigurasi dianggap tidak sesuai jika versi mesin MSE-ZK atau MSE-Ans atau versi Klien MSE-Ans terlalu rendah. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Versi gerbang MSE-Ingress terlalu rendah. | Menggunakan versi terbaru Ingress adalah kunci untuk memastikan kontinuitas layanan gerbang. Jika versinya terlalu rendah, dapat menyebabkan masalah berikut: risiko keamanan atau stabilitas, dan dapat menyebabkan daftar instans layanan Nacos yang dilanggani menjadi tidak akurat. Konfigurasi dianggap tidak sesuai jika versi MSE-Ingress terlalu rendah. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Versi ACK yang tidak dipelihara digunakan. | Komunitas Kubernetes merilis versi minor sekitar setiap 4 bulan. Disarankan untuk menggunakan versi yang dipelihara. Kluster versi kedaluwarsa memiliki risiko keamanan dan risiko stabilitas. Setelah versi kluster kedaluwarsa, Anda tidak akan dapat menikmati fitur dan perbaikan bug yang didukung oleh versi Kubernetes baru, Anda tidak akan dapat memperoleh dukungan teknis yang tepat waktu dan efektif, dan Anda akan menghadapi risiko tidak dapat memperbaiki kerentanan keamanan. Konfigurasi dianggap "sesuai" jika versi kluster ACK yang digunakan belum berhenti dipelihara. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Peningkatan otomatis versi mesin minor tidak diaktifkan untuk instans RDS (baru dalam model 3.0). | ApsaraDB RDS mendukung peningkatan otomatis atau manual versi mesin minor. Ketika versi mesin minor lebih rendah daripada versi mesin minor terbaru, sistem akan secara berkala mengeluarkan tugas O&M aktif untuk meningkatkan versi mesin minor. Instans akan menerima versi terbaru termasuk peningkatan performa, dukungan fitur baru, dan resolusi masalah keamanan, yang dapat memastikan optimalisasi berkelanjutan dan keamanan layanan database. Sebuah instans RDS dianggap tidak sesuai jika peningkatan otomatis versi mesin minor tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Versi utama dari database MySQL pada instans RDS terlalu rendah (baru dalam model 3.0). | Menggunakan versi MySQL yang siklus hidupnya telah berhenti atau akan segera berhenti akan menyebabkan sistem menghadapi risiko keamanan, hambatan performa, masalah kompatibilitas, dan kurangnya dukungan teknis. Peningkatan tepat waktu ke versi MySQL yang didukung dapat memberikan patch keamanan terbaru, peningkatan performa, dan peningkatan fitur, mengurangi risiko O&M, serta meningkatkan keandalan sistem secara keseluruhan. Instans RDS saat ini dianggap tidak sesuai jika menggunakan versi 5.5 atau 5.6. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Fungsi Function Compute FC 2.0 menggunakan waktu proses yang sudah tidak digunakan lagi (baru dalam model 3.0). | Dengan iterasi versi waktu proses, Function Compute akan menghentikan pemeliharaan beberapa waktu proses dan tidak lagi menyediakan dukungan teknis serta pembaruan keamanan untuk mereka. Disarankan untuk memigrasikan fungsi ke waktu proses yang didukung terbaru guna mendapatkan dukungan teknis dan pembaruan keamanan. Sebuah fungsi FC 2.0 dianggap tidak sesuai jika waktu proses yang digunakan adalah salah satu dari nodejs12, nodejs10, nodejs8, dotnetcore2.1, python2.7, nodejs6, atau nodejs4.4. | Perbaikan cepat tidak didukung. | Tidak |
Versi stabil | Versi komponen Kubelet pada node kluster ACK tertinggal dari lapisan kontrol (baru dalam model 3.0). | Jika versi komponen Kubelet pada node kluster ACK tertinggal dari lapisan kontrol, hal ini dapat menyebabkan kegagalan kompatibilitas. Lapisan kontrol (seperti API Server) mungkin tidak dapat berkomunikasi secara normal dengan versi lama Kubelet karena adanya fitur baru atau peningkatan protokol, yang mengakibatkan status node abnormal, kegagalan penjadwalan Pod, atau node ditandai sebagai tidak tersedia. Selain itu, versi lama Kubelet mungkin belum memperbaiki kerentanan keamanan yang diketahui, meningkatkan risiko node diserang, dan pada saat yang sama menghambat kemampuan peningkatan versi kluster secara keseluruhan. Dalam jangka panjang, hal ini dapat menyebabkan kekurangan fungsi atau kesulitan pemeliharaan. Anda perlu segera meningkatkan Kubelet ke versi yang kompatibel untuk memulihkan stabilitas komunikasi dan menghilangkan risiko keamanan. Sebuah node kluster ACK dianggap tidak sesuai jika versi komponen Kubelet-nya tertinggal dari lapisan kontrol. | Perbaikan cepat tidak didukung. | Tidak |
Risiko kedaluwarsa | Instans Internet Shared Bandwidth berisiko kedaluwarsa. | Sebuah instans Internet Shared Bandwidth dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu saat ini dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya CBWP yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instance ECS berisiko kedaluwarsa. | Sebuah instance ECS dengan langganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instance ECS berlangganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans RDS berisiko kedaluwarsa. | Instans RDS dengan langganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans RDS berlangganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans Bastionhost berisiko kedaluwarsa. | Sebuah instans Bastionhost dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans Bastionhost langganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instance SLB berisiko kedaluwarsa. | Sebuah instance SLB dengan model langganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instance SLB berlangganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans EIP berisiko kedaluwarsa. | Instans EIP dengan langganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans EIP berlangganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans AnalyticDB for MySQL Data Warehouse Edition berisiko kedaluwarsa. | Instans AnalyticDB for MySQL Data Warehouse Edition dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans Data Warehouse Edition AnalyticDB for MySQL yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans PolarDB berisiko kedaluwarsa. | Instans PolarDB berlangganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans PolarDB langganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Paket bandwidth Cloud Enterprise Network (CEN) berisiko kedaluwarsa. | Paket bandwidth CEN dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu saat ini dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans CEN langganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans DRDS berisiko kedaluwarsa. | Sebuah instans PolarDB-X 1.0 atau PolarDB-X 2.0 dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu saat ini dan perpanjangan otomatis tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Risiko kedaluwarsa | Instance Anti-DDoS Pro atau Anti-DDoS Premium berisiko kedaluwarsa. | Sebuah instans DDoS dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu saat ini dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans DDoSCOO langganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans Redis berisiko kedaluwarsa. | Instans Redis berlangganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans Redis langganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans MongoDB berisiko kedaluwarsa. | Instans MongoDB berlangganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan ini akan mengaktifkan perpanjangan otomatis untuk sumber daya instans MongoDB langganan yang Anda pilih. | Tidak |
Risiko kedaluwarsa | Instans Gateway VPN berisiko kedaluwarsa (baru dalam model 3.0). | Pastikan untuk memperpanjang langganan instans VPN Gateway tepat waktu agar terhindar dari gangguan bisnis akibat kedaluwarsa. Instans VPN Gateway berlangganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Risiko kedaluwarsa | Instans KMS berisiko kedaluwarsa (baru dalam model 3.0). | Pastikan untuk memperpanjang langganan instans KMS tepat waktu agar terhindar dari gangguan bisnis akibat kedaluwarsa. Sebuah instans KMS berlangganan dianggap tidak sesuai jika waktu kedaluwarsanya kurang dari 7 hari dari waktu pemeriksaan dan perpanjangan otomatis tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Perlindungan penghapusan | Perlindungan penghapusan tidak diaktifkan untuk instans ALB. | Sebuah instans ALB dianggap tidak sesuai jika perlindungan penghapusan tidak diaktifkan. | Perbaikan ini mengaktifkan fitur perlindungan penghapusan untuk sumber daya yang dipilih, yang mencegahnya dirilis melalui Konsol, API, atau baris perintah. Untuk merilis instans, Anda harus terlebih dahulu menonaktifkan perlindungan penghapusan di halaman detail instans. | Tidak |
Perlindungan penghapusan | Perlindungan penghapusan tidak diaktifkan untuk instans RDS. | Sebuah instans RDS dianggap tidak sesuai jika perlindungan rilis tidak diaktifkan. | Perbaikan ini mengaktifkan fitur perlindungan penghapusan untuk sumber daya yang dipilih, yang mencegahnya dirilis melalui Konsol, API, atau baris perintah. Untuk merilis instans tersebut, Anda harus terlebih dahulu menonaktifkan perlindungan penghapusan di halaman detail instans. | Tidak |
Perlindungan penghapusan | Perlindungan penghapusan tidak diaktifkan untuk Instance SLB. | Sebuah Instance SLB dianggap tidak sesuai jika perlindungan penghapusan tidak diaktifkan. | Perbaikan ini mengaktifkan fitur perlindungan penghapusan untuk sumber daya yang dipilih, yang mencegahnya dirilis melalui Konsol, API, atau baris perintah. Untuk merilis instans, Anda harus terlebih dahulu menonaktifkan perlindungan penghapusan di halaman detail instans. | Tidak |
Perlindungan penghapusan | Perlindungan penghapusan tidak diaktifkan untuk instans EIP. | Instans EIP dianggap tidak sesuai jika perlindungan penghapusan tidak diaktifkan. | Perbaikan ini mengaktifkan fitur perlindungan penghapusan untuk sumber daya yang dipilih, yang mencegahnya dirilis melalui Konsol, API, atau baris perintah. Untuk merilis instans, Anda harus terlebih dahulu menonaktifkan perlindungan penghapusan di halaman detail instans. | Tidak |
Perlindungan penghapusan | Cluster lock tidak diaktifkan untuk kluster PolarDB. | Sebuah instans PolarDB dianggap tidak sesuai jika kunci kluster tidak diaktifkan. | Perbaikan ini mengaktifkan fitur perlindungan penghapusan untuk sumber daya yang dipilih, yang mencegahnya dirilis melalui Konsol, API, atau baris perintah. Untuk merilis instans, Anda harus terlebih dahulu menonaktifkan perlindungan penghapusan di halaman detail instans. | Tidak |
Perlindungan penghapusan | Kunci kluster tidak diaktifkan untuk kluster ACK. | Sebuah kluster ACK dianggap tidak sesuai jika perlindungan penghapusan tidak diaktifkan. | Perbaikan ini mengaktifkan fitur perlindungan penghapusan untuk sumber daya yang dipilih, yang mencegahnya dirilis melalui Konsol, API, atau baris perintah. Untuk merilis instans, Anda harus terlebih dahulu menonaktifkan perlindungan penghapusan di halaman detail instans. | Tidak |
Perlindungan penghapusan | Perlindungan rilis tidak diaktifkan untuk instans MongoDB. | Sebuah instans MongoDB dianggap tidak sesuai jika perlindungan rilis tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans Elasticsearch diterapkan di zona tunggal. | Sebuah instance Elasticsearch yang tidak diterapkan di beberapa zona dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans RDS diterapkan di zona tunggal. | Instans RDS yang tidak diterapkan di beberapa zona dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instance SLB dan kelompok servernya ditempatkan dalam zona tunggal. | Konfigurasi dianggap tidak sesuai jika instance SLB berada dalam zona tunggal, atau jika kelompok server yang digunakan oleh Pendengar di bawah instance SLB tidak memiliki sumber daya dari beberapa zona yang ditambahkan. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Hot standby kluster penyimpanan tidak diaktifkan untuk Kluster PolarDB. | Kluster PolarDB dianggap tidak sesuai jika klaster penyimpanan siaga panas tidak diaktifkan dan data didistribusikan dalam zona tunggal. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans Redis diterapkan di zona tunggal. | Instans Redis yang tidak diterapkan di beberapa zona dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Penyimpanan dengan redundansi zona tidak diaktifkan untuk Bucket OSS. | Sebuah Bucket OSS dianggap tidak sesuai jika penyimpanan redundan zona tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans MongoDB diterapkan di zona tunggal. | Instans MongoDB yang tidak diterapkan di beberapa zona dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Komponen MSE terkait diterapkan di zona tunggal. | Disarankan untuk mengadopsi arsitektur penerapan multi-zona untuk komponen MSE terkait guna meningkatkan stabilitasnya. Komponen MSE terkait dianggap tidak sesuai jika diterapkan dalam zona tunggal. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Gerbang MSE diterapkan di zona tunggal. | Semua replika instans dari gateway saat ini diterapkan di zona yang sama (AZ). Bentuk penerapan ini tidak memiliki kemampuan ketersediaan tinggi, dan bisnis Anda mungkin terganggu dalam kasus ekstrem. Harap tingkatkan ke versi baru sesegera mungkin untuk mendistribusikan instans gateway ke beberapa zona. Komponen gerbang MSE Ingress dianggap tidak sesuai jika memiliki arsitektur zona tunggal. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Host Bastion diterapkan di zona tunggal. | Disarankan untuk menggunakan Bastionhost Enterprise Dual-Engine atau Edisi Rahasia Nasional untuk memenuhi kemampuan pemulihan bencana multi-zona. Menggunakan Bastionhost Edisi Dasar dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans VPN diterapkan di zona tunggal. | Untuk instans saluran data tunggal yang sudah ada, sangat disarankan untuk mengaktifkan ketersediaan tinggi AZ di Konsol dan mengonfigurasi saluran data ganda untuk membangun koneksi dengan pihak lain. Menggunakan instans saluran data tunggal untuk VPN dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Router transit diterapkan di zona tunggal. | Untuk Router transit yang sudah ada, sangat disarankan untuk mengonfigurasi beberapa zona untuk memenuhi pemulihan bencana multi-zona. Mengatur vSwitch di satu zona untuk koneksi VPC dari Router transit dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans NLB diterapkan di zona tunggal. | Untuk instans Network Load Balancer, sangat disarankan untuk mengonfigurasi beberapa zona untuk memenuhi pemulihan bencana multi-zona. Menggunakan instans Network Load Balancer dengan zona tunggal dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans AnalyticDB for PostgreSQL diterapkan di zona tunggal. | Disarankan untuk mengaktifkan pemulihan bencana lintas zona untuk instans AnalyticDB for PostgreSQL. Ketika zona utama gagal, node zona sekunder akan secara otomatis beralih ke node utama untuk terus menyediakan layanan dan memastikan kelangsungan bisnis. Sebuah instans AnalyticDB for PostgreSQL dianggap tidak sesuai jika pemulihan bencana lintas zona tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans Lindorm diterapkan di zona tunggal. | Disarankan untuk menerapkan instans Lindorm di beberapa zona. Instans multi-zona memiliki kemampuan pemulihan bencana yang lebih tinggi. Pada saat yang sama, instans Lindorm dapat mencapai konsistensi kuat data di antara beberapa zona, dan juga dapat mengeluarkan permintaan serta mengembalikan hasil tercepat di bawah konsistensi data akhir, sehingga meningkatkan kualitas layanan bisnis online. Sebuah instans Lindorm dianggap tidak sesuai jika tidak menggunakan penerapan multi-zona. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans HBase diterapkan di zona tunggal. | Disarankan untuk mengadopsi arsitektur penerapan multi-zona, yang memiliki kemampuan pemulihan bencana yang lebih tinggi. Sebuah instans HBase dianggap tidak sesuai jika tidak menggunakan penerapan multi-zona. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans Tablestore diterapkan di zona tunggal. | Instans OTS di Wilayah saat ini tidak mendukung kemampuan pemulihan bencana multi-zona. Instans OTS dianggap tidak sesuai jika tidak menggunakan penerapan multi-zona. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Bucket OSS yang terkait dengan ACR tidak memiliki penyimpanan redundan zona yang diaktifkan. | Disarankan untuk menggunakan instans ACR Edisi Perusahaan dan menggunakan penyimpanan OSS dengan redundansi zona. ACR yang terkait dengan Bucket OSS dengan redundansi lokal dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans ApsaraMQ for RocketMQ tidak menggunakan edisi kluster ketersediaan tinggi. | Disarankan untuk menggunakan edisi kluster ketersediaan tinggi, yang memiliki kemampuan pemulihan bencana multi-zona. Menggunakan instans ApsaraMQ for RocketMQ 5.0 yang bukan multi-zona dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans GWLB diterapkan di zona tunggal. | Disarankan untuk mengaktifkan beberapa zona untuk instans GWLB agar memiliki kemampuan pemulihan bencana multi-zona. Menggunakan instans Gateway Load Balancer yang tidak multi-zona dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Flink tidak menggunakan tipe CU lintas-zona. | Disarankan untuk mengaktifkan lintas-zona untuk CU Flink agar memiliki kemampuan pemulihan bencana multi-zona. Instans Flink yang tidak menggunakan CU multi-zona dianggap "tidak sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Kluster ACK diterapkan di zona tunggal. | Menggunakan kluster regional dapat mencapai kemampuan pemulihan bencana lintas wilayah. Menggunakan kluster ACK regional dengan node yang tersebar di 3 zona atau lebih dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Gateway VPN tidak menggunakan mode saluran data ganda. | Koneksi IPsec-VPN dengan dua saluran data memiliki saluran data utama dan saluran data sekunder. Jika saluran data utama gagal, lalu lintas dapat ditransmisikan melalui saluran data sekunder, yang meningkatkan ketersediaan tinggi dari koneksi IPsec-VPN. Menggunakan gateway VPN dengan dua saluran data di mana kedua saluran data, utama dan sekunder, terhubung ke pihak lain dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Proyek SLS tidak menggunakan penyimpanan redundan zona. | Simple Log Service menyediakan dua jenis redundansi penyimpanan: penyimpanan redundan lokal dan penyimpanan redundan zona, mencakup mekanisme redundansi data dari rentang zona tunggal hingga multi-zona untuk memastikan daya tahan dan ketersediaan data. Menggunakan proyek log dengan penyimpanan redundan zona dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Layanan titik akhir Privatelink diterapkan di zona tunggal. | Menyusun beberapa zona untuk layanan titik akhir dapat sangat mengurangi risiko terjadinya gangguan layanan, mendistribusikan lalu lintas secara lebih merata, menghindari pembebanan berlebih pada zona tunggal, dan memberikan akses berdasarkan kedekatan lokasi, sehingga mengurangi latensi jaringan serta meningkatkan kecepatan akses. Menyusun beberapa zona untuk layanan titik akhir dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans PolarDB-X2 diterapkan di zona tunggal. | Disarankan untuk menggunakan instans PolarDB-X2 multi-zona, yang memiliki kemampuan pemulihan bencana multi-zona. Instans PolarDB-X 2.0 dengan arsitektur multi-zona dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Sumber daya yang dipasang ke kelompok server NLB semuanya berada dalam zona tunggal. | Disarankan untuk menambahkan sumber daya dari beberapa zona ke kelompok server Network Load Balancer agar memiliki kemampuan pemulihan bencana multi-zona. Konfigurasi dianggap "sesuai" jika sumber daya dalam kelompok server Network Load Balancer didistribusikan di beberapa zona. Aturan ini "tidak berlaku" jika tidak ada sumber daya dalam kelompok server atau tipe sumber daya adalah IP. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans ALB diterapkan di zona tunggal. | Jika hanya satu zona yang dipilih, ketika zona ini gagal, instans ALB akan terpengaruh, yang pada gilirannya memengaruhi stabilitas bisnis. Instans ALB yang merupakan instans multi-zona dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans Message Queue for Apache Kafka diterapkan di zona tunggal. | Ketika Anda menggunakan instans Edisi Profesional dan hanya memilih zona tunggal untuk penerapan, Anda dapat meningkatkan kluster ke arsitektur penerapan multi-zona dengan mengedit zona sekunder, sehingga meningkatkan kemampuan pemulihan bencana kluster. Menggunakan instans Message Queue for Apache Kafka multi-zona dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Kluster ApsaraDB for ClickHouse diterapkan di zona tunggal. | Disarankan untuk menggunakan instans kluster ApsaraDB for ClickHouse multi-zona, yang memiliki kemampuan pemulihan bencana multi-zona. Menggunakan instans kluster ApsaraDB for ClickHouse multi-zona dianggap "sesuai". Saat ini, hanya versi komunitas yang diperiksa apakah merupakan arsitektur multi-zona. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Sumber daya yang dipasang ke kelompok server ALB semuanya berada dalam zona tunggal. | Menambahkan sumber daya dari beberapa zona ke dalam kelompok server ALB dapat memastikan bahwa bahkan jika satu zona gagal, aplikasi dapat terus berjalan di zona lainnya, memberikan toleransi kesalahan yang lebih baik. Konfigurasi dianggap "sesuai" jika sumber daya yang dipasang ke kelompok server ALB didistribusikan di beberapa zona. Aturan ini tidak berlaku jika kelompok server ALB tidak memiliki sumber daya yang dipasang atau jika tipe kelompok server adalah IP atau Function Compute. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Kluster ACS diterapkan di zona tunggal. | Disarankan untuk menggunakan kluster ACS multi-zona regional, yang memiliki kemampuan pemulihan bencana multi-zona. Menggunakan kluster ACS regional dengan node yang tersebar di 3 zona atau lebih dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Instans API Gateway diterapkan di zona tunggal. | Disarankan untuk menggunakan instans gerbang multi-zona, yang memiliki kemampuan pemulihan bencana multi-zona. Menggunakan instans gerbang multi-zona dianggap "sesuai". | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Distribusi Instance ECS di seluruh zona dalam suatu Wilayah tidak merata (baru dalam model 3.0). | Menyebarkan semua Instance ECS di zona yang sama menimbulkan risiko kegagalan pada satu titik. Ketika zona tersebut gagal (misalnya karena kerusakan perangkat keras atau gangguan jaringan), semua Instance ECS di wilayah tersebut akan menjadi tidak tersedia secara bersamaan, yang mengakibatkan terganggunya operasional bisnis. Konfigurasi ini dianggap tidak sesuai jika semua Instance ECS di wilayah yang sama ditempatkan di zona yang sama. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Sumber daya yang dipasang ke kelompok server GWLB semuanya berada dalam zona tunggal (baru dalam model 3.0). | Memasang sumber daya ke kelompok server multi-zona dapat meningkatkan kemampuan pemulihan bencana sistem dan mengurangi risiko terjadinya gangguan bisnis. Konfigurasi dianggap tidak sesuai jika instans GWLB berada dalam zona tunggal, atau jika kelompok server yang digunakan oleh Pendengar di bawah instans GWLB tidak memiliki sumber daya dari beberapa zona yang ditambahkan. Aturan ini tidak berlaku jika tidak ada sumber daya dalam kelompok server atau jika tipe sumber daya adalah IP. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur multi-zona | Pemeriksaan kluster ACK CoreDNS hanya memiliki satu replika (baru dalam model 3.0). | Jika kluster ACK CoreDNS hanya memiliki satu replika yang dikonfigurasi, maka akan kehilangan Ketersediaan tinggi. Ketika sebuah Pod gagal, layanan DNS akan terganggu sepenuhnya, menyebabkan kegagalan resolusi nama domain untuk layanan dalam kluster, yang pada gilirannya menghalangi komunikasi antar aplikasi. Arsitektur titik-tunggal tidak dapat menoleransi kegagalan node atau operasi pemeliharaan. Gangguan layanan mungkin terjadi selama Peningkatan atau restart. Risiko meningkat seiring dengan operasi jangka panjang. Anda perlu segera menambah jumlah replika untuk memastikan redundansi dan stabilitas layanan. Sebuah kluster ACK dianggap tidak sesuai jika CoreDNS-nya hanya memiliki satu replika. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Grup penskalaan Auto Scaling hanya terkait dengan satu vSwitch. | Dengan mengaitkan dengan beberapa vSwitch, sebuah grup penskalaan dapat meningkatkan kekokohan, keandalan, dan kinerja keseluruhan dari sebuah aplikasi, sehingga lebih baik memenuhi kebutuhan bisnis. Jika sebuah vSwitch tidak dapat diakses karena masalah jaringan atau kondisi lainnya, lalu lintas pengguna masih dapat mengakses aplikasi melalui vSwitch lainnya. Sebuah grup penskalaan dianggap "sesuai" jika dikaitkan dengan setidaknya dua vSwitch. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Instans PolarDB diterapkan sebagai titik tunggal. | Konfigurasi dianggap tidak sesuai jika seri produk PolarDB yang digunakan bukan Edisi Kluster atau Edisi Kluster Multi-master. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Komponen MSE terkait diterapkan sebagai satu titik tunggal. | Untuk komponen MSE ZK, disarankan untuk melakukan penskalaan ke 3 node atau lebih. Untuk komponen Nacos-Ans, disarankan untuk melakukan penskalaan ke 3 node atau lebih. Komponen MSE terkait dianggap tidak sesuai jika diterapkan pada node tunggal. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Gerbang MSE diterapkan sebagai satu titik tunggal. | Instans node tunggal memiliki risiko arsitektur. Adanya satu titik kegagalan akan menyebabkan layanan tidak tersedia. Disarankan untuk melakukan penambahan menjadi 2 node atau lebih. Komponen MSE Ingress dianggap tidak sesuai jika diterapkan pada node tunggal. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Node primer dan sekunder dari kluster RDS memiliki tipe instans yang berbeda (baru dalam model 3.0). | Jika node utama dan sekunder dari kluster RDS tidak dikonfigurasi dengan tipe instans yang sama, hal ini dapat menyebabkan node sekunder tidak dapat mengambil alih dengan lancar ketika node utama gagal, sehingga mengakibatkan hambatan performa atau gangguan layanan. Selain itu, spesifikasi instans yang berbeda dapat menyebabkan ketidaksesuaian sumber daya, memengaruhi efisiensi sinkronisasi data dan kecepatan pemulihan, serta menurunkan kemampuan ketersediaan tinggi dan pemulihan bencana sistem. Mendeteksi dan memastikan bahwa tipe instans node utama dan sekunder konsisten membantu meningkatkan stabilitas sistem, memperkuat kemampuan failover, dan menjamin kelangsungan bisnis, memberikan keandalan dan kontrol O&M yang lebih tinggi kepada pelanggan. Sebuah kluster RDS dianggap tidak sesuai jika node utama dan sekunder dikonfigurasi dengan tipe instans yang berbeda. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Node primer dan sekunder dari kluster RDS memiliki ukuran instans yang berbeda (baru dalam model 3.0). | Jika node primer dan sekunder dari kluster RDS tidak dikonfigurasi dengan ukuran instans yang sama, hal ini dapat menyebabkan node sekunder tidak dapat mengambil alih dengan lancar ketika node primer gagal, sehingga mengakibatkan hambatan performa atau gangguan layanan. Selain itu, spesifikasi instans yang berbeda dapat menyebabkan ketidaksesuaian sumber daya, memengaruhi efisiensi sinkronisasi data dan kecepatan pemulihan, serta menurunkan kemampuan ketersediaan tinggi dan pemulihan bencana sistem. Mendeteksi dan memastikan bahwa ukuran instans node primer dan sekunder konsisten membantu meningkatkan stabilitas sistem, memperkuat kemampuan failover, dan menjamin kelangsungan bisnis, memberikan keandalan yang lebih tinggi dan pengendalian O&M kepada pelanggan. Kluster RDS dianggap tidak sesuai jika node primer dan sekunder dikonfigurasi dengan ukuran instans yang berbeda. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Otomatis primary/secondary failover tidak diaktifkan untuk instans RDS (baru dalam model 3.0). | Ketika node primer dari suatu instans mengalami kelainan dan tidak dapat digunakan, atau ketika ada risiko potensial pada instans dan perbaikan darurat telah dilakukan pada node sekunder, RDS akan secara otomatis memicu primary/secondary failover, menukar node primer dan sekunder. Setelah failover, titik akhir instans tetap tidak berubah, dan aplikasi secara otomatis terhubung ke node primer baru (node sekunder sebelumnya), sehingga memastikan ketersediaan tinggi instans. Instans RDS dianggap tidak sesuai jika fitur otomatis primary/secondary failover tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Arsitektur kluster | Mode keandalan tinggi tidak digunakan untuk Express Connect (baru dalam model 3.0). | Gunakan mode keandalan tinggi Express Connect untuk membuat dua titik akses di Wilayah yang sama guna mencapai redundansi jaringan, memastikan stabilitas dan keandalan transmisi data, serta memenuhi persyaratan kepatuhan. Konfigurasi dianggap tidak sesuai jika kurang dari dua titik akses diminta untuk Express Connect di Wilayah yang sama. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen pemantauan | Layanan Terkelola untuk Prometheus belum dikonfigurasi untuk Kluster ACK. | Menghubungkan kluster ACK ke pemantauan dapat membantu personel pengembangan dan operasi & pemeliharaan melihat status berjalan sistem, termasuk lapisan infrastruktur, lapisan performa kontainer, dan sebagainya. Konfigurasi dianggap tidak sesuai untuk semua kluster ACK jika "Enable Alibaba Cloud Prometheus Monitoring" tidak dikonfigurasi. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen pemantauan | Tidak ada aturan peringatan pemantauan yang ditetapkan untuk sumber daya cloud. | Mencapai cakupan penuh pemantauan sumber daya merupakan dasar dan kunci untuk memastikan kelangsungan bisnis. Menetapkan aturan peringatan untuk sumber daya cloud adalah sarana yang diperlukan untuk mencapai pemantauan sumber daya cloud. Konfigurasi dianggap tidak sesuai jika terdapat sumber daya cloud yang tidak dicakup oleh aturan peringatan apa pun. | Perbaikan ini secara otomatis mengaktifkan aturan peringatan berdasarkan praktik terbaik untuk tipe sumber daya cloud yang tidak dikonfigurasi dengan CloudMonitor. Secara default, notifikasi dikirim ke penerima paket dari tipe "Alibaba Cloud Account Alert Contact". Harap konfirmasikan bahwa pengaturan sudah benar. Setelah mengaktifkan perbaikan ini, Anda dapat melihat status atau memperbarui parameter peringatan di fitur One-Click Alerting dari CloudMonitor. | Tidak |
Manajemen Pemantauan | Pemantauan aplikasi tidak dikonfigurasi untuk kluster ACK | Untuk aplikasi terdistribusi dan layanan mikro, Anda dapat menghubungkan ke Application Real-Time Monitoring Service (ARMS) untuk menerapkan Analisis Tracing dan pemantauan performa tingkat kode secara real-time. Hal ini membantu insinyur O&M tetap mengetahui status kesehatan aplikasi. Aplikasi yang diterapkan di Container Service for Kubernetes atau Elastic Compute Service (ECS) dianggap tidak sesuai jika tidak terhubung ke Application Real-Time Monitoring Service (ARMS). | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Pemantauan | Aturan peringatan memiliki peringatan persisten yang belum ditangani | Aturan peringatan yang tetap dalam keadaan Peringatan untuk periode waktu yang lama merupakan masalah yang memerlukan perhatian dan pengelolaan. Biasanya, Anda perlu menyelesaikan masalah tersebut sesegera mungkin untuk memulihkan metrik ke tingkat normal. Sebagai alternatif, Anda dapat menyesuaikan aturan peringatan berdasarkan kondisi aktual untuk mencegah banyak pemberitahuan peringatan atau kelelahan peringatan mengganggu tugas pemantauan dan operasi & pemeliharaan normal. Aturan peringatan yang dikonfigurasi di CloudMonitor dianggap tidak sesuai jika tetap dalam keadaan Peringatan selama lebih dari 24 jam. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Pemantauan | Tidak ada aturan peringatan prioritas tinggi yang dikonfigurasi di ARMS | Jika Anda mengonfigurasi aturan peringatan yang valid, Anda dapat menerima notifikasi tepat waktu ketika sistem bisnis Anda tidak berperforma sesuai harapan dan kemudian membuat tanggapan darurat yang tepat waktu. Konfigurasi dianggap tidak sesuai jika tidak ada aturan peringatan P1 untuk Pemantauan Aplikasi atau pemantauan Prometheus, atau tidak ada kebijakan notifikasi yang sesuai yang dikonfigurasi di ARMS. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Pemantauan | Peringatan prioritas tinggi di ARMS tidak ditangani secara tepat waktu | Metrik Mean Time To X (MTTx), seperti Mean Time To Recovery (MTTR), adalah metrik penting untuk mengukur efisiensi penanganan peringatan. Tanggapan yang tepat waktu terhadap peringatan prioritas tinggi dapat secara efektif meningkatkan efisiensi pemulihan untuk peringatan dan bahkan titik kegagalan, sehingga meningkatkan kualitas layanan sistem bisnis. Konfigurasi dianggap tidak sesuai jika aturan peringatan P1 tidak dikonfigurasikan untuk Pemantauan Aplikasi atau pemantauan Prometheus, atau jika ada peringatan di Alibaba Cloud ARMS yang tertunda, sedang diproses, atau memerlukan waktu lebih dari 30 menit untuk diselesaikan. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen pemantauan | Sumber daya ARMS tidak dipantau secara terpusat di seluruh Akun Alibaba Cloud. | Anda dapat membuat instans agregasi global untuk menerapkan pemantauan terpusat di seluruh akun. Konfigurasi dianggap tidak sesuai jika sistem mendeteksi bahwa akun saat ini tidak menggunakan ARMS atau belum membuat instans globalview. | Perbaikan cepat tidak didukung. | Tidak |
Pendeteksian ancaman | Sebuah instance ECS telah dimatikan karena pembayaran tertunda atau penangguhan terkait keamanan. | Shutdown tak terduga dari sebuah Instance ECS dapat menyebabkan gangguan layanan, kehilangan data, atau inkonsistensi data, serta memengaruhi kinerja sistem atau menyebabkan ancaman keamanan. Ancaman diidentifikasi jika sebuah Instance ECS di akun saat ini dimatikan karena pembayaran tertunda atau penangguhan terkait keamanan. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Instance ECS memiliki event O&M yang tertunda. | Jika peristiwa O&M terjadwal untuk suatu Instance ECS tidak ditangani secara tepat waktu, Instance ECS tersebut dapat dimulai ulang selama jam sibuk, yang memengaruhi stabilitas bisnis dari instans tersebut. Suatu ancaman diidentifikasi jika akun saat ini memiliki peristiwa O&M ECS tertunda dengan status menanyakan, dijadwalkan, atau sedang dieksekusi. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Pemeriksaan kesehatan tidak dikonfigurasi untuk VBR dari sumber daya CEN. | Fitur pemeriksaan kesehatan Cloud Enterprise Network (CEN) mendeteksi konektivitas sirkuit Express Connect yang terkait dengan instans VBR. Dalam skenario di mana terdapat rute redundan antara CEN dan pusat data, jika pemeriksaan kesehatan mendeteksi kegagalan pada sirkuit Express Connect, alih otomatis ke rute aktif akan dilakukan untuk memastikan transmisi lalu lintas tanpa gangguan. Konfigurasi dianggap tidak sesuai jika pemeriksaan kesehatan tidak dikonfigurasikan untuk VBR yang terkait dengan instans CEN. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Latensi replikasi yang berlebihan antara instansi hanya baca RDS dan instans utamanya (baru dalam model 3.0) | Instans hanya baca RDS menggunakan teknologi replikasi berbasis log MySQL asli (replikasi asinkron atau replikasi semi-sinkron), yang secara tak terhindarkan menyebabkan latensi sinkronisasi. Latensi dapat menyebabkan ketidaksesuaian data antara instans hanya baca dan instans utama, yang dapat menyebabkan masalah bisnis. Selain itu, latensi juga dapat menyebabkan akumulasi log, yang menyebabkan ruang penyimpanan instans hanya baca cepat habis. Instans dianggap tidak sesuai jika latensi maksimum antara instans hanya baca RDS dan instans utamanya melebihi 60 detik dalam periode tertentu (dalam jam). | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Jumlah alamat IP yang tersedia tidak mencukupi di dalam VPC (baru pada model 3.0) | Pastikan setiap vSwitch memiliki jumlah alamat IP yang cukup untuk mencegah kegagalan perluasan bisnis karena sumber daya yang tidak mencukupi. Sebuah vSwitch dianggap tidak sesuai jika jumlah Alamat IPv4 yang tersedia kurang dari atau sama dengan nilai yang ditentukan. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Konfigurasi nama domain asal OSS untuk nama domain CDN tidak normal (baru dalam model 3.0) | Jika nama domain asal yang dikonfigurasi untuk nama domain CDN tidak ada, permintaan sumber daya gagal dan fitur bisnis terpengaruh. Selain itu, kegagalan pengambilan asal menyebabkan CDN berulang kali mencoba permintaan tersebut, yang meningkatkan overhead jaringan yang tidak perlu. Nama domain CDN dianggap tidak sesuai jika menggunakan nama domain OSS sebagai asalnya dan sumber daya OSS Bucket yang bersangkutan tidak aktif. Nama domain CDN yang tidak menggunakan nama domain OSS sebagai informasi asal tidak termasuk dalam cakupan deteksi. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Server Load Balancer abnormal yang terkait dengan kelompok Auto Scaling ESS (baru dalam model 3.0) | Setelah grup penskalaan dikaitkan dengan Instance SLB, instans secara otomatis ditambahkan sebagai server backend ke Instance SLB, baik instans tersebut dibuat secara otomatis oleh grup penskalaan atau ditambahkan secara manual ke grup penskalaan. Jika Server Load Balancer atau kelompok servernya tidak ada, aktivitas penskalaan grup penskalaan gagal. Konfigurasi dianggap tidak sesuai jika Load Balancer Klasik atau Load Balancer Aplikasi yang dikaitkan dengan grup Auto Scaling bukan sumber daya aktif. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Gambar kustom yang dikonfigurasi untuk template peluncuran ECS tidak normal (baru dalam model 3.0) | Template peluncuran adalah alat yang dapat Anda gunakan untuk dengan cepat membuat instans. Hal ini meningkatkan efisiensi dan pengalaman pengguna. Jika gambar kustom yang dikonfigurasi dalam template peluncuran tidak ada, template peluncuran gagal dieksekusi. Sebuah gambar kustom dianggap tidak sesuai jika gambar kustom yang terkait dengan template peluncuran ECS bukan merupakan sumber daya yang dipertahankan. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Catatan SPF abnormal dalam penguraian DNS dari kotak surat nama domain (baru dalam model 3.0) | SPF adalah protokol otentikasi email berbasis DNS yang mendefinisikan server mail (alamat IP atau nama domain) mana yang berwenang untuk mengirim email atas nama suatu nama domain. Ketika server mail menerima email, ia memverifikasi alamat IP pengirim terhadap Catatan SPF untuk menentukan apakah email tersebut valid. Menetapkan nilai SPF yang masuk akal dan valid dapat mencegah pemalsuan email, mengurangi ancaman spam, dan meningkatkan kemampuan pengiriman email. Untuk setiap Rekaman MX dalam nama domain DNS, sistem memeriksa apakah rekaman tersebut berisi setidaknya satu Rekaman TXT dengan nilai SPF yang valid dimulai dengan "v=spf1". Nama domain DNS yang tidak memenuhi kondisi tersebut dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Nama domain OSS yang dikonfigurasi untuk rekaman CNAME di DNS tidak normal (baru dalam model 3.0) | Jika rekaman CNAME untuk resolusi nama domain DNS dikonfigurasi dengan nama domain OSS yang salah, sumber daya gagal dimuat saat Anda mengaksesnya menggunakan nama domain. Hal ini memengaruhi fitur bisnis normal. Konfigurasi dianggap tidak sesuai jika rekaman CNAME di DNS dikonfigurasi dengan nama domain OSS tetapi bucket OSS yang sesuai tidak dipertahankan. Nama domain DNS yang rekaman CNAME-nya tidak menggunakan nama domain OSS tidak termasuk dalam cakupan deteksi. | Perbaikan cepat tidak didukung. | Tidak |
Pendeteksian ancaman | Replikasi data untuk instans RDS PostgreSQL tidak dalam mode sinkron atau semi-sinkron (baru dalam model 3.0). | RDS PostgreSQL mendukung tiga mode replikasi data: asinkron, sinkron, dan semi-sinkron. Mode asinkron memberikan tanggapan tercepat tetapi hanya cocok untuk skenario yang tidak memerlukan keandalan data tinggi. Data mungkin hilang jika database mengalami crash, yang menimbulkan ancaman terhadap keandalan. Sebuah instans RDS PostgreSQL dianggap tidak sesuai jika menggunakan mode replikasi asinkron (parameter synchronous_commit diatur ke off). | Perbaikan cepat tidak didukung. | Tidak |
Pendeteksian ancaman | Tingkat kegagalan koneksi ALB yang tinggi (baru dalam model 3.0) | Tingkat kegagalan koneksi yang tinggi untuk Application Load Balancer (ALB) dapat menunjukkan bahwa layanan backend tidak normal, jaringan tidak stabil, atau konfigurasi tidak benar. Hal ini dapat menyebabkan kegagalan akses pengguna, gangguan bisnis, dan pengalaman pengguna yang menurun. Dengan memeriksa metrik tingkat kegagalan koneksi ALB, Anda dapat segera mendeteksi dan menemukan penyebab utama masalah tersebut. Ini meningkatkan ketersediaan dan stabilitas sistem, mengoptimalkan efisiensi pengalihan lalu lintas, memastikan kelangsungan bisnis dan kualitas layanan, serta memberikan pelanggan kemampuan pengiriman aplikasi cloud yang lebih andal. Sebuah instans ALB dianggap tidak sesuai jika tingkat kegagalannya lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam periode sebelumnya. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Proporsi tinggi kesalahan ALB 4xx (baru dalam model 3.0) | Jika proporsi kesalahan 4xx untuk sebuah Instans ALB terus-menerus melebihi ambang batas yang ditentukan selama periode waktu tertentu, biasanya ini menunjukkan bahwa banyak pengecualian terjadi pada permintaan klien, seperti permintaan tidak valid, kesalahan parameter, verifikasi identitas gagal, atau frekuensi akses yang terlalu tinggi (seperti serangan DDoS). Hal ini tidak hanya memengaruhi pengalaman pengguna bagi pengguna normal tetapi juga dapat mengekspos bug desain antarmuka sistem atau risiko keamanan. Sebuah Instans ALB dianggap tidak sesuai jika proporsi kesalahan 4xx lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam rentang waktu sebelumnya. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Persentase ALB 5xx Titik kegagalan terlalu tinggi (baru dalam model 3.0) | Jika persentase Titik kegagalan 5xx untuk instans ALB terus-menerus melebihi ambang batas yang ditentukan, hal ini menunjukkan bahwa layanan backend sering mengalami gangguan internal. Gangguan ini dapat disebabkan oleh kelainan aplikasi, sumber daya yang tidak mencukupi, kesalahan konfigurasi, atau gangguan layanan dependen. Hal ini secara langsung menyebabkan pengalaman pengguna yang menurun, ancaman lebih besar terhadap gangguan bisnis, dan memengaruhi stabilitas serta ketersediaan sistem. Sebuah instans ALB dianggap tidak sesuai jika persentase Titik kegagalannya lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam periode sebelumnya. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Tingkat kegagalan jabat tangan TLS ALB yang tinggi (baru dalam model 3.0) | Tingginya tingkat kegagalan jabat tangan TLS ALB dapat menunjukkan masalah dengan komunikasi terenkripsi antara Klien dan server, seperti konfigurasi Sertifikat yang salah, versi protokol yang tidak kompatibel, suite kunci yang tidak cocok, atau penggunaan algoritma enkripsi yang tidak didukung oleh Klien. Hal ini tidak hanya dapat menyebabkan akses pengguna gagal dan memengaruhi ketersediaan layanan, tetapi juga mengekspos kerentanan keamanan dan meningkatkan ancaman serangan man-in-the-middle. Sebuah instans ALB dianggap tidak sesuai jika tingkat kegagalan jabat tangan TLS-nya lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam rentang waktu tertentu. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Pemanfaatan koneksi tinggi pada instans Redis (baru dalam model 3.0) | Jika utilisasi koneksi dari sebuah instans Redis terus-menerus melebihi ambang batas yang ditentukan selama periode waktu tertentu, hal ini menunjukkan bahwa sumber daya koneksi saat ini mendekati atau telah mencapai batas atas. Ini dapat mencegah klien baru untuk membuat koneksi, menyebabkan permintaan ditolak, atau meningkatkan latensi tanggapan, yang pada gilirannya memengaruhi performa dan stabilitas bisnis. Situasi ini juga dapat menunjukkan masalah seperti kebocoran koneksi, konfigurasi kolam koneksi yang tidak tepat, atau tekanan lalu lintas yang tiba-tiba. Sebuah instans Redis dianggap tidak sesuai jika rata-rata utilisasi koneksinya lebih besar dari atau sama dengan 50% selama setidaknya 8 jam dalam periode sebelumnya. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Jumlah server backend untuk Layanan CoreDNS di kluster ACK adalah 0 (model baru 3.0). | Jika jumlah server backend untuk CoreDNS di kluster ACK adalah 0, penemuan layanan sepenuhnya gagal. Komunikasi antar-layanan dalam kluster, seperti pemanggilan layanan dan akses database, terputus. Aplikasi tidak dapat menyelesaikan alamat menggunakan nama layanan. Ini secara langsung memengaruhi ketersediaan bisnis dan menyebabkan ancaman stabilitas kluster. Kluster ACK dianggap tidak sesuai jika jumlah server backend untuk Layanan CoreDNS-nya adalah 0. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Status backend Gateway CLB instans API Server di kluster ACK abnormal (model baru 3.0). | Status backend abnormal dari instans API Server CLB di kluster ACK memutus komunikasi lapisankontrol dan menyebabkan kegagalan total dalam manajemen kluster. Klien seperti kubectl tidak dapat mengakses API Server, yang mencegah operasi seperti penyebaran aplikasi atau melihat status. Selain itu, komponen dalam kluster seperti kubelet dan controller terputus dari API Server. Ini memicu status node abnormal, kegagalan penjadwalan Pod, dan kegagalan mekanisme pemulihan otomatis. Akibatnya, kluster menjadi tidak stabil, dan layanan bisnis terganggu karena API Server tidak dapat dijangkau. Alat pemantauan seperti Prometheus tidak dapat mengumpulkan data metrik, yang mencegah peringatan tepat waktu dan pemecahan masalah untuk anomali. Lebih serius lagi, ketidaktersediaan API Server dalam jangka panjang dapat menyebabkan inkonsistensi antara status kluster dan data yang disimpan di etcd, yang mengarah pada kehilangan data atau operasi abnormal. Anda harus segera memeriksa konfigurasi CLB, status kesehatan node backend, dan konektivitas jaringan untuk memastikan lalu lintas didistribusikan dengan benar dan mencegah crash total kluster. Kluster ACK dianggap tidak sesuai jika backend instans API Server CLB-nya berada dalam status abnormal. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Konfigurasi pendengar untuk port CLB yang terikat pada APIServer kluster ACK abnormal (model baru 3.0). | Konfigurasi pendengar abnormal untuk port CLB yang terikat pada APIServer kluster ACK dapat menyebabkan gangguan akses layanan API. Ini mencegah klien seperti kubectl terhubung ke kluster dan menyebabkan kegagalan operasi O&M sepenuhnya. Selain itu, komponen dalam kluster seperti kubelet tidak dapat berkomunikasi dengan APIServer. Ini mengarah pada status node abnormal, kegagalan penjadwalan Pod, dan ketidaktersediaan layanan. Jika protokol pendengar salah atau pembatasan grup keamanan hilang, ancaman akses tidak sah atau pembajakan lalu lintas mungkin terjadi. Anda harus segera memperbaiki konfigurasi port pendengar, memverifikasi tipe protokol, dan memeriksa kebijakan keamanan untuk mencegah kegagalan kluster dan pelanggaran data. Konfigurasi dianggap tidak sesuai jika konfigurasi pendengar untuk port CLB yang terikat pada APIServer kluster ACK abnormal. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Instans SLB yang terpasang pada API server kluster ACK tidak ada (model baru 3.0). | Jika API server kluster ACK tidak terpasang pada instans SLB, layanan API kehilangan titik masuk lalu lintas. Klien eksternal seperti kubectl tidak dapat mengakses API Server melalui load balancing, dan manajemen kluster sepenuhnya terganggu. Karena komponen dalam kluster seperti kubelet dan controller tidak dapat membuat komunikasi stabil, ini dapat menyebabkan status node abnormal, kegagalan penjadwalan Pod, dan ketidaktersediaan layanan. Selain itu, node API Server secara langsung mengekspos alamat IP mereka, kehilangan kemampuan distribusi lalu lintas dan failover. Ini menciptakan risiko titik kegagalan tunggal dan meningkatkan ancaman akses tidak sah atau serangan DDoS. Anda harus segera membuat dan memasang instans SLB untuk memulihkan ketersediaan tinggi dan akses aman. Kluster ACK dianggap tidak sesuai jika instans SLB yang terpasang pada API server-nya tidak ada. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Status instans CLB yang terpasang pada API server kluster ACK abnormal (model baru 3.0). | Status abnormal dari instans CLB yang terpasang pada API server kluster ACK menyebabkan pengalihan lalu lintas layanan API gagal. Akibatnya, klien seperti kubectl tidak dapat membuat koneksi stabil, dan manajemen kluster sepenuhnya terblokir. Karena gangguan komunikasi, komponen internal seperti kubelet dan VPC controller menyebabkan status node abnormal, stagnasi penjadwalan Pod, dan ketidaktersediaan layanan. Selain itu, pemeriksaan kesehatan CLB yang gagal dapat menyebabkan lalu lintas terkonsentrasi pada node yang bermasalah, yang meningkatkan risiko titik kegagalan tunggal. Jika status abnormal disertai dengan kesalahan konfigurasi keamanan, seperti lalu lintas tidak terenkripsi atau port terbuka, akses tidak sah atau serangan man-in-the-middle mungkin terjadi. Anda harus segera memulihkan status kesehatan instans CLB dan memverifikasi kebijakan keamanan untuk mencegah kelumpuhan kluster dan pelanggaran data. Konfigurasi dianggap tidak sesuai jika instans CLB yang terpasang pada API server kluster ACK berada dalam status abnormal. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Konfigurasi penskalaan untuk pool node di kluster ACK tidak tersedia (model baru 3.0). | Jika konfigurasi penskalaan untuk pool node di kluster ACK tidak tersedia, kluster tidak dapat menyesuaikan jumlah node secara otomatis. Selama periode beban tinggi, kluster tidak dapat diskalakan secara dinamis. Ini menyebabkan kehabisan sumber daya, kegagalan penjadwalan Pod, atau gangguan layanan. Selama periode beban rendah, kluster tidak dapat dikurangi, yang menghasilkan sumber daya idle dan pemborosan biaya. Ketika sebuah node gagal, mekanisme penggantian otomatis menjadi tidak valid. Ini dapat menyebabkan node tidak tersedia untuk jangka waktu yang lama dan mengurangi ketersediaan tinggi (HA) kluster. Dalam jangka panjang, ini juga akan menyebabkan kegagalan kebijakan otomatis seperti HPA, status kluster menjadi tidak seimbang, dan biaya O&M meningkat. Anda harus segera memperbaiki konfigurasi penskalaan untuk memulihkan kemampuan elastis. Konfigurasi dianggap tidak sesuai jika konfigurasi penskalaan untuk pool node di kluster ACK tidak tersedia. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Grup penskalaan untuk pool node di kluster ACK tidak tersedia (model baru 3.0). | Jika grup penskalaan untuk pool node di kluster ACK tidak tersedia, kluster sepenuhnya kehilangan kemampuan penskalaan otomatis. Selama periode beban tinggi, kluster tidak dapat diskalakan secara dinamis. Ini dapat menyebabkan kehabisan sumber daya node, kegagalan penjadwalan Pod, atau latensi respons layanan atau gangguan. Selama periode beban rendah, kluster tidak dapat dikurangi, yang menghasilkan sumber daya idle dan pemborosan biaya. Ketika sebuah node atau Pod gagal, mekanisme penggantian otomatis menjadi tidak efektif. Ini dapat menyebabkan node offline untuk jangka waktu yang lama dan meningkatkan risiko titik kegagalan tunggal dalam kluster. Selain itu, status grup penskalaan yang abnormal mencegah kluster merespons secara elastis terhadap lalu lintas burst atau persyaratan pemeliharaan. Dalam jangka panjang, ini mengarah pada stabilitas layanan yang menurun dan efisiensi O&M yang lebih rendah. Anda harus segera memperbaiki status grup penskalaan untuk memulihkan kemampuan elastis kluster. Kluster dianggap tidak sesuai jika grup penskalaan untuk pool node di kluster ACK tidak tersedia. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | Grup keamanan untuk pool node di kluster ACK tidak tersedia (model baru 3.0). | Grup keamanan yang tidak tersedia untuk pool node di kluster ACK menyebabkan aturan akses jaringan menjadi tidak valid. Komunikasi antar komponen kluster, seperti komunikasi antara kubelet dan API Server atau penemuan layanan antara Pod, mungkin terputus karena port yang diblokir atau aturan yang hilang. Selain itu, lalu lintas tidak sah dapat melewati perlindungan, yang meningkatkan risiko intrusi node atau serangan DDoS. Jika aturan keluar abnormal, node tidak dapat mengakses penyimpanan eksternal, repositori gambar, atau layanan pemantauan, yang menyebabkan kegagalan pemanggilan layanan dependen. Grup keamanan yang tidak valid juga dapat menyebabkan node terisolasi secara salah, yang memengaruhi penjadwalan Pod dan kelangsungan bisnis. Anda harus segera memperbaiki konfigurasi aturan untuk memulihkan isolasi jaringan dan keamanan komunikasi. Konfigurasi dianggap tidak sesuai jika grup keamanan untuk pool node di kluster ACK tidak tersedia. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan ancaman | vSwitch untuk pool node di kluster ACK tidak tersedia (model baru 3.0). | Jika vSwitch untuk pool node di kluster ACK tidak tersedia, komunikasi jaringan antar node terputus. Ini mencegah Pod dan layanan berinteraksi lintas node, yang dapat menyebabkan kegagalan penemuan layanan atau stagnasi transmisi data. Komunikasi antara kontrol plane dan node pekerja terputus, dan node ditandai sebagai tidak tersedia. Ini mungkin memicu eviksi yang salah atau pengurangan kluster yang abnormal. Selain itu, node tidak dapat mengakses sumber daya eksternal seperti penyimpanan dan database, yang melumpuhkan fitur aplikasi. Risiko partisi jaringan meningkat, yang dapat menyebabkan split-brain kluster atau inkonsistensi data. Dari sudut pandang O&M, terputusnya data pemantauan membuat sulit untuk menemukan kesalahan secara tepat waktu. Anda harus segera memulihkan layanan vSwitch untuk memastikan konektivitas jaringan. Kluster dianggap tidak sesuai jika vSwitch untuk pool node di kluster ACK tidak tersedia. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Inspeksi kluster ACK menemukan bahwa APIService tidak tersedia (model baru 3.0). | Ketidakterseediaan APIService di kluster ACK menyebabkan fitur API ekstensi gagal. Sumber daya kustom seperti CustomResourceDefinitions (CRDs) tidak dapat berkomunikasi dengan kontrol plane. Ini mengarah pada pengecualian manajemen untuk komponen yang bergantung pada API ekstensi, seperti Operator dan Service Mesh. Permintaan API, seperti pembaruan status sumber daya dan pengiriman konfigurasi, gagal karena gangguan layanan. Ini dapat menyebabkan hilangnya data pemantauan, kegagalan kebijakan otomatis, atau kesalahan dalam perintah manajemen kluster. Jika API ekstensi inti seperti Admission Webhooks terpengaruh, alur pembuatan sumber daya terblokir. Ini meningkatkan risiko operasi kluster yang terhenti. Anda harus segera memulihkan APIService untuk mencegah fitur penting lumpuh dan menghindari inkonsistensi data. Kluster dianggap tidak sesuai jika APIService-nya tidak tersedia. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Kluster ACK memiliki Pod CoreDNS abnormal (model baru 3.0). | Keberadaan Pod CoreDNS abnormal di kluster ACK menstabilkan layanan resolusi DNS. Ini dapat menyebabkan timeout atau kegagalan komunikasi antar layanan yang menggunakan nama domain, yang mengarah pada gangguan panggilan aplikasi. Pod abnormal dapat memicu restart controller berkelanjutan, yang meningkatkan beban pada kontrol plane. Mereka juga mengonsumsi sumber daya node tanpa memberikan layanan efektif. Jika Pod abnormal karena kesalahan konfigurasi atau kerentanan gambar, ini dapat menyebabkan hijacking DNS atau pencemaran resolusi. Ini dapat menghasilkan kesalahan routing layanan atau pelanggaran data. Anda harus segera menyelidiki status Pod dan memperbaiki konfigurasinya untuk memulihkan keandalan layanan DNS. Keberadaan Pod CoreDNS abnormal di kluster ACK dianggap sebagai item yang tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Status abnormal komponen elastis di kluster ACK (model baru 3.0). | Jika status komponen elastis di kluster ACK abnormal, mekanisme seperti penskalaan otomatis dan auto healing gagal. Selama periode beban tinggi, kluster tidak dapat diskalakan secara dinamis. Ini menyebabkan hambatan sumber daya dan latensi respons layanan atau gangguan. Ketika sebuah node atau Pod gagal, ia tidak dapat diganti secara otomatis, yang meningkatkan risiko ketersediaan. Pada saat yang sama, kluster tidak dapat mengoptimalkan alokasi sumber daya berdasarkan kebijakan. Ini menghasilkan pemborosan biaya atau penurunan efisiensi O&M. Dalam jangka panjang, ini dapat memblokir alur bisnis utama. Anda harus segera memperbaiki status komponen elastis untuk memulihkan kemampuan rotasi otomatis kluster. Kluster dianggap tidak sesuai jika status komponen elastis di kluster ACK abnormal. | Perbaikan cepat tidak didukung. | Tidak |
Pemeriksaan risiko | Metode penagihan Layanan LoadBalancer di kluster ACK tidak sesuai dengan instans aktual (model baru 3.0). | Ketidaksesuaian antara metode penagihan Layanan LoadBalancer di kluster ACK dan instans aktual akan menyebabkan penagihan abnormal. Ini dapat menyebabkan pengiriman tak terduga, seperti dikenakan biaya berdasarkan penggunaan saat langganan diharapkan, atau pelepasan sumber daya tak terduga saat sumber daya langganan tidak diperpanjang setelah kedaluwarsa. Masalah ini dapat menyebabkan gangguan layanan. Selain itu, manajemen sumber daya yang kacau dapat mengganggu kebijakan penskalaan otomatis, yang meningkatkan biaya O&M dan ancaman. Anda harus segera menyesuaikan konfigurasi metode penagihan untuk mencegah drift tagihan dan penurunan ketersediaan bisnis. Konfigurasi dianggap tidak sesuai jika metode penagihan Layanan LoadBalancer di kluster ACK tidak sesuai dengan instans aktual. | Perbaikan cepat tidak didukung. | Tidak |
Deteksi ancaman | ID instans sertifikat Layanan LoadBalancer di kluster ACK tidak sesuai dengan instans aktual (model baru 3.0). | Ketidaksesuaian antara ID instans sertifikat Layanan LoadBalancer di kluster ACK dan sertifikat yang sebenarnya dilampirkan menyebabkan konfigurasi Transport Layer Security (TLS) menjadi tidak valid. Ini dapat menyebabkan penolakan koneksi layanan HTTPS atau peringatan keamanan dan memutus akses pengguna. Sertifikat yang tidak valid dapat mengekspos lalu lintas tidak terenkripsi, yang meningkatkan risiko serangan man-in-the-middle. Selain itu, pemeriksaan kesehatan CLB yang abnormal dapat menyebabkan status layanan backend disalahartikan, yang memperburuk alokasi lalu lintas yang tidak teratur. Anda harus segera menyinkronkan konfigurasi sertifikat untuk memulihkan komunikasi aman dan ketersediaan layanan. Konfigurasi dianggap tidak sesuai jika ID instans sertifikat Layanan LoadBalancer di kluster ACK tidak sesuai dengan instans aktual. | Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan snapshot | Tidak ada set cadangan data aktif yang tersedia untuk AnalyticDB for PostgreSQL (model baru 3.0). | Pemeriksaan cadangan data untuk AnalyticDB for PostgreSQL memastikan bahwa kebijakan cadangan instans dikonfigurasi dengan benar untuk mencegah gangguan bisnis akibat kehilangan data atau kesalahan operasi. Memeriksa kebijakan cadangan dan status cadangan secara berkala dapat secara efektif meningkatkan keamanan data dan kemampuan pemulihan. Instans AnalyticDB for PostgreSQL non-Serverless dalam mode penyimpanan-elastis yang sedang berjalan dianggap tidak sesuai jika tidak ada set cadangan data aktif yang tersedia untuk instans tersebut dalam jumlah jam tertentu. Secara default, periode tersebut adalah 7 hari (168 jam). | Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan snapshot | Tidak ada volume yang dipasang ke grup kontainer ECI. | Grup kontainer ECI dianggap tidak sesuai jika tidak ada volume yang dipasang padanya. | Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan snapshot | Cadangan otomatis dinonaktifkan untuk instans Elasticsearch. | Instans Elasticsearch yang dinonaktifkan cadangan otomatisnya dianggap tidak sesuai. | Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan snapshot | Cadangan log dinonaktifkan untuk instans RDS. | Instans RDS dianggap tidak sesuai jika cadangan log dinonaktifkan. | Perbaikan ini mengaktifkan cadangan log untuk instans RDS yang dipilih. Periode retensi default adalah 7 hari. | Tidak |
Cadangan data dan snapshot | Cadangan log tidak diaktifkan untuk instans AnalyticDB for MySQL. | Kluster ADB dianggap tidak sesuai jika cadangan log tidak diaktifkan. | Perbaikan ini mengaktifkan cadangan log untuk kluster AnalyticDB for MySQL yang dipilih. Periode retensi default adalah 7 hari. | Tidak |
Cadangan data dan snapshot | Cadangan level-2 tidak diaktifkan untuk kluster PolarDB. | Kluster PolarDB dianggap tidak sesuai jika cadangan level-2 tidak diaktifkan dan periode retensi lebih besar dari atau sama dengan 30. | Perbaikan ini menetapkan siklus cadangan data level-2 dan periode retensi cadangan level-2 untuk kluster PolarDB yang dipilih. Periode retensi default adalah 30 hari. Jika cadangan level-2 tidak diaktifkan, maka secara otomatis diaktifkan. | Tidak |
Pencadangan Data dan Snapshot | Backup inkremental tidak diaktifkan untuk instans Redis. | Instans Redis tipe Tair dianggap tidak sesuai jika cadangan inkremental tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan snapshot | Cadangan log tidak diaktifkan untuk instans MongoDB. | Instans MongoDB dianggap tidak sesuai jika cadangan log tidak diaktifkan. | Perbaikan ini mengaktifkan cadangan log untuk kluster MongoDB yang dipilih. Periode retensi default adalah 7 hari. | Tidak |
Cadangan data dan snapshot | Kebijakan snapshot otomatis tidak dikonfigurasikan untuk disk ECS. | Disk ECS dianggap tidak sesuai jika kebijakan snapshot otomatis tidak dikonfigurasikan untuknya. | Perbaikan ini mengaktifkan kebijakan snapshot yang ditentukan untuk disk ECS yang dipilih. Karena kebijakan snapshot independen di setiap wilayah, jika kebijakan dengan nama yang sama ada di wilayah tempat disk yang dipilih berada, kebijakan yang ada digunakan. Jika tidak, kebijakan snapshot baru dibuat. | Tidak |
Cadangan data dan snapshot | Cadangan data untuk instansECS memiliki ancaman (model baru 3.0). | Untuk skenario berbeda seperti perlindungan data sehari-hari, perlindungan untuk operasi berisiko tinggi, pemulihan bencana regional, dan pemulihan instans penuh, Anda harus memilih solusi snapshot dan cadangan yang berbeda. Jika tidak, Anda mungkin gagal memulihkan data. Solusi cadangan yang tidak lengkap juga menyebabkan kemampuan pemulihan dan efisiensi file inti tidak memenuhi harapan. Instans ECS dianggap tidak sesuai jika tidak memenuhi semua kondisi berikut:
| Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan snapshot | Kebijakan cadangan data untuk bucket OSS berisiko. | Anda harus melindungi data pada level bucket. Jika versioning tidak diaktifkan, versi historis objek yang ditimpa atau dihapus mungkin tidak disimpan. Jika terjadi masalah, Anda tidak dapat memulihkan objek dalam bucket ke titik waktu tertentu. Selain itu, jika replikasi lintas wilayah tidak diaktifkan, operasi di bawah akun yang sama atau berbeda tidak disinkronkan ke wilayah lain. Ini sangat merusak kelangsungan bisnis ketika bencana atau kegagalan terjadi. Bucket OSS dianggap tidak sesuai jika tidak memenuhi kondisi berikut:
| Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan snapshot | Kebijakan cadangan data untuk sistem file NAS berisiko. | Jika recycle bin dan Cloud Backup tidak diaktifkan untuk NAS, Anda tidak dapat memulihkan file Anda secara tepat waktu ketika mereka dihapus atau dirusak secara tidak sengaja. Jika replikasi lintas wilayah tidak diaktifkan untuk vault cadangan, Anda tidak dapat menerapkan cadangan multi-versi geo-redundan dan tidak dapat memulihkan data di wilayah berbeda. Ini sangat mempengaruhi kelangsungan bisnis. Sistem file NAS dianggap tidak sesuai jika tidak memenuhi kondisi berikut:
| Perbaikan cepat tidak didukung. | Tidak |
Cadangan data dan Snapshot | Kebijakan cadangan data untuk instans Tablestore memiliki ancaman (baru dalam model 3.0) | Jika cadangan Tablestore dan replikasi lintas wilayah tidak diaktifkan, Anda tidak dapat memulihkan data penting secara cepat, efisien, aman, dan andal. Jika terjadi kegagalan, kelangsungan bisnis sangat terpengaruh. Instans Tablestore dianggap tidak sesuai jika tidak memenuhi semua kondisi berikut:
| Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Pemanggilan API ECS dibatasi | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas bisnis. Konfigurasi dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Panggilan API RDS dibatasi. | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas bisnis. Instans dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & kapasitas | Panggilan API SLB dibatasi. | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas layanan. Item dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Panggilan API CDN dibatasi. | Panggilan API dibatasi, yang menyebabkan panggilan gagal. Ini dapat memengaruhi stabilitas layanan. Layanan dianggap tidak sesuai jika ada masalah pembatasan abnormal untuk panggilan API dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Panggilan API Redis dibatasi. | Panggilan API dibatasi. Ini menyebabkan panggilan gagal dan dapat memengaruhi stabilitas bisnis. Instans dianggap tidak sesuai jika panggilan API telah dibatasi secara abnormal dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota dan Kapasitas | Pemanggilan API PolarDB dibatasi | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas bisnis. Instans dianggap tidak sesuai jika panggilan API mengalami masalah pembatasan dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Pemanggilan API VPC dibatasi | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas layanan. Item dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Panggilan API ACK dibatasi. | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas bisnis. Item dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Panggilan API RocketMQ dibatasi. | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas bisnis. Layanan dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & kapasitas | Panggilan API CEN dibatasi. | Panggilan API yang dibatasi menyebabkan kegagalan panggilan, yang dapat memengaruhi stabilitas layanan. Item dianggap tidak sesuai jika panggilan API telah dibatasi dalam tujuh hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Panggilan API ALB dibatasi. | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas layanan. Sumber daya dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & kapasitas | Panggilan API NAS dibatasi. | Panggilan API dibatasi, yang menyebabkan panggilan gagal dan dapat memengaruhi stabilitas bisnis. Item dianggap tidak sesuai jika panggilan API telah dibatasi dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total kluster ACK mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi operasi seperti pembuatan, modifikasi, atau perluasan sumber daya produk. Item dianggap tidak sesuai ketika item kuota terkait jumlah kluster ACK mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota vCPU untuk instans ECS bayar sesuai penggunaan mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi operasi seperti pembuatan, modifikasi, atau penskalaan sumber daya produk. Item dianggap tidak sesuai jika penggunaan kuota vCPU untuk instans ECS bayar sesuai penggunaan mencapai 80% dari batas kuota. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota vCPU untuk instans ECS langganan mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Sumber daya dianggap tidak sesuai jika penggunaan kuota vCPU untuk instans ECS langganan mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota vCPU untuk instans spot ECS mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Kuota dianggap tidak sesuai ketika kuota untuk vCPU instans spot ECS mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total grup keamanan mendekati batas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item dianggap tidak sesuai ketika kuota untuk jumlah total grup keamanan mencapai 80% dari batasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total set penyebaran mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi operasi seperti pembuatan, modifikasi, atau perluasan sumber daya produk. Status dianggap tidak sesuai jika kuota untuk jumlah total set penyebaran mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total elastic network interfaces (ENI) mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item dianggap tidak sesuai ketika item kuota terkait jumlah total elastic network interfaces (ENI) mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total instans SLB mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Kuota dianggap tidak sesuai jika penggunaan kuota untuk jumlah total instans SLB mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah server yang dapat dilampirkan ke backend instans SLB mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Sumber daya dianggap tidak sesuai jika kuota untuk jumlah server yang dapat dilampirkan ke backend instans SLB mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah pendengar dalam instans SLB mendekati batas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Instans SLB dianggap tidak sesuai jika penggunaan kuotanya untuk jumlah pendengar mencapai 80% dari batas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah EIP yang dapat dilampirkan ke Gateway NAT mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Sumber daya dianggap tidak sesuai jika penggunaan kuota untuk jumlah EIP yang dapat dilampirkan ke Gateway NAT mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah entri SNAT dalam Gateway NAT mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Sumber daya dianggap tidak sesuai jika penggunaan kuota untuk entri SNAT dalam Gateway NAT mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah nama domain yang dipercepat yang didukung oleh CDN mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item dianggap tidak sesuai ketika penggunaan kuota untuk jumlah nama domain yang dipercepat yang didukung oleh CDN mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk refresh direktori CDN mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item kuota dianggap tidak sesuai jika penggunaannya untuk refresh direktori CDN mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk refresh URL CDN mendekati batas atas (model baru 3.0). | Item kuota dianggap tidak sesuai jika penggunaannya untuk refresh URL CDN mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota prefetch CDN mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item dianggap tidak sesuai jika penggunaan kuota prefetch CDN mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total grup penskalaan ESS mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item kuota untuk jumlah total grup penskalaan ESS dianggap tidak sesuai jika penggunaannya mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total tumpukan ROS mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Dianggap tidak sesuai ketika kuota untuk jumlah total tumpukan ROS mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total disk EBS mendekati batas atas (baru dalam model 3.0) | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item ini dianggap tidak sesuai jika penggunaan kuota untuk jumlah total disk EBS mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total EIP mendekati batas (baru dalam model 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Kuota dianggap tidak sesuai jika penggunaan kuota untuk jumlah total EIP mencapai 80% dari batasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total instans ALB mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau penskalaan sumber daya produk. Kuota dianggap tidak sesuai jika penggunaan kuota untuk jumlah total instans ALB mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk jumlah total instans NLB mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau penskalaan sumber daya produk. Item ini dianggap tidak patuh jika penggunaan kuota untuk jumlah total instans NLB mencapai 80% dari batas atas. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Penggunaan kuota untuk instans RDS on-demand mendekati batas atas (model baru 3.0). | Kuota sumber daya yang tidak mencukupi dapat membatasi pembuatan, modifikasi, atau perluasan sumber daya produk. Item kuota dianggap tidak sesuai jika penggunaan item kuota untuk instans RDS on-demand mencapai 80% dari batas atasnya. | Perbaikan cepat tidak didukung. | Tidak |
Kuota & Kapasitas | Ruang penyimpanan tersisa pada instans RDS tidak mencukupi (model baru 3.0). | Ruang penyimpanan tersisa yang tidak mencukupi dalam instans RDS dapat menyebabkan kegagalan penulisan database, penurunan performa, bahkan gangguan layanan atau ancaman kehilangan data. Anda harus menambah kapasitas instans atau membersihkan data secara tepat waktu untuk mencegah anomali bisnis, memastikan operasi database stabil, dan meningkatkan keandalan sistem serta O&M proaktif. Instans RDS dianggap tidak sesuai jika ruang penyimpanan tersisanya kurang dari 10%. | Perbaikan cepat tidak didukung. | Tidak |
Biaya
Kategori | Item pemeriksaan | Deskripsi | Deskripsi perbaikan cepat | Dukungan keputusan |
Kebijakan biaya | Suite manajemen biaya tidak diaktifkan untuk kluster ACK | Metode tradisional kurang efektif dalam memberikan wawasan dan kontrol biaya dalam skenario cloud-native. Suite manajemen biaya menyediakan fitur seperti deteksi pemborosan dan prediksi biaya. Konfigurasi ini bukan praktik terbaik jika suite manajemen biaya tidak diaktifkan untuk kluster ACK. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi metode penagihan | Metode penagihan langganan direkomendasikan untuk instance RDS. | Kami merekomendasikan Anda menggunakan metode penagihan langganan untuk sumber daya yang digunakan dalam jangka panjang. Dalam kondisi normal, metode penagihan langganan lebih hemat biaya dibandingkan dengan metode penagihan bayar sesuai pemakaian untuk instance RDS. Instance RDS yang menggunakan metode penagihan bayar sesuai pemakaian bukan merupakan praktik terbaik. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi metode penagihan | Instance ECS bayar sesuai penggunaan tidak tercakup dalam rencana penghematan | Kami merekomendasikan Anda menggunakan metode penagihan langganan untuk sumber daya yang digunakan dalam jangka panjang. Dalam kondisi normal, metode penagihan langganan lebih hemat biaya dibandingkan dengan metode penagihan bayar sesuai penggunaan untuk instance ECS. Rencana penghematan adalah rencana diskon yang menawarkan harga lebih rendah pada sumber daya bayar sesuai penggunaan sebagai imbalan atas komitmen untuk jumlah penggunaan konsisten selama periode tertentu. Instance ECS yang menggunakan metode penagihan bayar sesuai penggunaan dan tidak tercakup dalam rencana penghematan bukan merupakan praktik terbaik. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Penggunaan sumber daya rendah untuk instance ECS | Mempertahankan tingkat pemanfaatan sumber daya instance ECS pada level yang wajar dalam jangka panjang adalah tugas penting dalam manajemen biaya cloud. Platform cloud menyediakan instance ECS dengan berbagai spesifikasi. Anda harus memilih instance dengan spesifikasi yang sesuai berdasarkan siklus bisnis Anda untuk mengontrol biaya instance ECS. Konfigurasi ini bukan praktik terbaik jika pemanfaatan CPU dan penggunaan memori instance ECS keduanya lebih rendah dari 3% selama 30 hari berturut-turut. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Penggunaan disk rendah untuk instance ECS | Mempertahankan tingkat pemanfaatan sumber daya instance ECS pada level yang wajar dalam jangka panjang adalah tugas penting dalam manajemen biaya cloud. Platform cloud menyediakan instance ECS dengan berbagai spesifikasi. Anda harus memilih instance dengan spesifikasi yang sesuai berdasarkan siklus bisnis Anda untuk mengontrol biaya instance ECS. Konfigurasi ini bukan praktik terbaik jika penggunaan disk instance ECS lebih rendah dari 3% selama 30 hari berturut-turut. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Penggunaan sumber daya rendah untuk instance RDS | Mempertahankan tingkat pemanfaatan sumber daya instance RDS pada level yang wajar dalam jangka panjang adalah tugas penting dalam manajemen biaya cloud. Platform cloud menyediakan instance RDS dengan berbagai spesifikasi. Anda harus memilih instance dengan spesifikasi yang sesuai berdasarkan siklus bisnis Anda untuk mengontrol biaya instance RDS. Konfigurasi ini bukan praktik terbaik jika pemanfaatan CPU, penggunaan memori, dan penggunaan disk instance RDS semuanya lebih rendah dari 3% selama 30 hari berturut-turut. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Penggunaan disk rendah untuk instance RDS | Mempertahankan tingkat pemanfaatan sumber daya instance RDS pada level yang wajar dalam jangka panjang adalah tugas penting dalam manajemen biaya cloud. Platform cloud menyediakan instance RDS dengan berbagai spesifikasi. Anda harus memilih instance dengan spesifikasi yang sesuai berdasarkan siklus bisnis Anda untuk mengontrol biaya instance RDS. Konfigurasi ini bukan praktik terbaik jika penggunaan disk instance RDS lebih rendah dari 3% selama 30 hari berturut-turut. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Instance ALB idle ada | Instance ALB dianggap tidak sesuai jika memiliki pendengar yang tidak ditambahkan server backend dan instance tersebut dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Instance Bandwidth Internet Bersama idle ada | Instance Bandwidth Internet Bersama dianggap tidak sesuai jika tidak terkait dengan sumber daya apa pun dan dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Instance gambar kontainer idle ada | Instance gambar kontainer dianggap tidak sesuai jika tidak ada namespace atau repository image yang dibuat untuknya dan instance tersebut dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Instance ECS idle ada | Instance ECS dianggap tidak sesuai jika berada dalam status Stopped dan mode hemat tidak diaktifkan untuknya. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Disk ECS idle ada | Disk dianggap tidak sesuai jika tidak dalam status In Use dan dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Instance EIP idle ada | EIP dianggap tidak sesuai jika tidak terkait dengan sumber daya apa pun dan dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Gateway NAT idle ada | Gateway NAT dianggap tidak sesuai jika tidak terkait dengan EIP, atau EIP terkait tidak memiliki entri SNAT atau DNAT, dan gateway tersebut dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Gateway NAT VPC idle ada | Gateway NAT VPC dianggap tidak sesuai jika tidak terkait dengan EIP, atau EIP terkait tidak memiliki entri SNAT atau DNAT, dan gateway tersebut dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Sistem file NAS idle ada | Sistem file NAS dianggap tidak sesuai jika tidak ada titik pemasangan yang ditambahkan ke sistem file tersebut dan sistem file itu dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Instance SLB idle ada | Instance SLB dianggap tidak sesuai jika tidak memiliki pendengar yang berjalan dan dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Gateway VPN idle ada | Gateway VPN dianggap tidak sesuai jika tidak dikonfigurasi rute berbasis tujuan, penyebaran rute BGP otomatis tidak diaktifkan, dan gateway tersebut dibuat lebih dari 7 hari yang lalu. | Perbaikan cepat tidak didukung. | Tidak |
Optimasi sumber daya aplikasi | Situs ESA dalam keadaan tidak normal | Item pemeriksaan ini memastikan bahwa situs diaktifkan sehingga ESA dapat memberikan akselerasi dan perlindungan untuk situs tersebut. Ini bukan praktik terbaik untuk optimasi sumber daya aplikasi jika situs tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan biaya | Peringatan saldo rendah tidak diaktifkan untuk akun (baru dalam model 3.0) | Jika Anda tidak mengaktifkan fitur peringatan saldo rendah di Konsol Biaya dan Pengeluaran, Anda mungkin tidak menerima notifikasi ketika saldo akun Anda hampir habis. Hal ini dapat menyebabkan penangguhan layanan, kehilangan data, atau gangguan bisnis karena pembayaran tertunda. Selain itu, kurangnya mekanisme peringatan dapat menyebabkan biaya yang tidak terkendali dan mempengaruhi manajemen anggaran perusahaan serta kepatuhan finansial. Akun Anda dianggap tidak sesuai jika fitur peringatan saldo rendah tidak diaktifkan untuk akun Anda di Konsol Biaya dan Pengeluaran. | Perbaikan cepat tidak didukung. | Tidak |
Efisiensi
Kategori | Item pemeriksaan | Deskripsi | Deskripsi perbaikan cepat | Dukungan keputusan |
Manajemen Sumber Daya | Instansi terkait berada di kelompok sumber daya yang berbeda | Jika instansi terkait tidak berada dalam kelompok sumber daya yang sama, manajemen berbasis kelompok sumber daya (seperti izin, keuangan, dan manajemen O&M) tidak dapat mencakup semua sumber daya target. Konfigurasi dianggap tidak sesuai jika instansi terkait ada tetapi tidak berada dalam kelompok sumber daya kustom yang sama. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Sumber Daya | Kelompok sumber daya kustom tidak digunakan untuk mengelompokkan sumber daya | Anda dapat menggunakan kelompok sumber daya kustom untuk secara fleksibel mengontrol akses dan penggunaan sumber daya. Konfigurasi dianggap tidak sesuai jika proporsi sumber daya yang termasuk dalam kelompok sumber daya kustom kurang dari 75% dari total sumber daya. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Sumber Daya | Tag kustom tidak digunakan untuk menandai sumber daya | Anda dapat menggunakan tag kustom untuk secara fleksibel mengidentifikasi, mengurutkan, dan mengatur berbagai sumber daya. Konfigurasi dianggap tidak sesuai jika proporsi sumber daya dengan tag kustom kurang dari 75% dari total sumber daya. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Sumber Daya | Tag pembuat tidak diaktifkan | Saat skala sumber daya di cloud berkembang untuk sebuah perusahaan, beberapa pengguna diperlukan untuk mengelola sumber daya tersebut. Dalam skenario seperti manajemen biaya dan keamanan, penting untuk secara efektif mengidentifikasi pembuat sumber daya untuk memfasilitasi alokasi biaya atau penelusuran keamanan, sehingga meningkatkan efisiensi manajemen. Konfigurasi dianggap tidak sesuai jika tag pembuat tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Sumber Daya | Tag yang telah ditentukan sebelumnya tidak digunakan | Tag yang telah ditentukan sebelumnya dibuat terlebih dahulu dan berlaku untuk semua Wilayah. Anda dapat menggunakan tag yang telah ditentukan sebelumnya untuk dengan mudah melampirkan tag dan mengelola sumber daya cloud selama fase implementasi sumber daya. Konfigurasi dianggap tidak sesuai jika proporsi tag yang telah ditentukan sebelumnya terhadap tag kustom kurang dari 80%. | Perbaikan cepat tidak didukung. | Tidak |
Manajemen Sumber Daya | Fitur pencarian sumber daya multi-akun tidak diaktifkan | Menggunakan Direktori sumber daya untuk mengelola beberapa Akun Alibaba Cloud, akun manajemen atau akun administrator yang didelegasikan dapat melihat dan mengambil sumber daya cloud dari semua anggota dalam Direktori sumber daya. Konfigurasi dianggap tidak sesuai jika pencarian sumber daya lintas akun tidak diaktifkan. | Perbaikan cepat tidak didukung. | Tidak |
Sistem akun | Akun tidak dikelola oleh Direktori sumber daya | Dibandingkan dengan pengelolaan desentralisasi dari beberapa akun, pengelolaan terpusat dari beberapa akun memberikan manfaat dalam hal izin, keamanan, dan biaya bagi sebuah perusahaan. Konfigurasi dianggap tidak sesuai jika akun saat ini tidak termasuk dalam Direktori sumber daya apa pun. | Perbaikan cepat tidak didukung. | Tidak |
Sistem akun | Kami merekomendasikan Anda menetapkan akun administrator yang didelegasikan untuk Direktori sumber daya. | Anda dapat menggunakan akun administrator yang didelegasikan untuk memisahkan tugas manajemen organisasi dari tugas manajemen bisnis. Akun manajemen melakukan tugas manajemen organisasi dari Direktori sumber daya, dan akun administrator yang didelegasikan melakukan tugas manajemen bisnis dari layanan tepercaya. Konfigurasi dianggap tidak sesuai jika tidak ada akun administrator yang didelegasikan yang ditetapkan untuk layanan tepercaya yang diaktifkan oleh akun manajemen (MA) dari Direktori sumber daya. | Perbaikan cepat tidak didukung. | Tidak |
Sistem akun | Anda dapat mengelola kontak pesan secara terpusat di beberapa akun. | Anda dapat menggunakan fitur manajemen kontak pesan dari Direktori sumber daya untuk menerapkan pengelolaan terpusat kontak pesan lintas akun. Konfigurasi dianggap tidak sesuai jika tidak ada kontak pesan yang terdeteksi untuk Direktori sumber daya, atau jika kontak pesan tidak disambungkan ke Direktori sumber daya, folder, atau anggota. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | Tingkat keberhasilan panggilan API pembuatan sumber daya di bawah 100% | Konfigurasi dianggap tidak sesuai jika tingkat keberhasilan pembuatan sumber daya infrastruktur menggunakan metode otomatis (seperti OpenAPI, Cloud Control API, SDK, dan Terraform) dalam 30 hari terakhir kurang dari 100%. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | Tingkat keberhasilan panggilan API modifikasi sumber daya di bawah 100% | Konfigurasi dianggap tidak sesuai jika tingkat keberhasilan modifikasi sumber daya infrastruktur menggunakan metode otomatis (seperti OpenAPI, Cloud Control API, SDK, dan Terraform) dalam 30 hari terakhir kurang dari 100%. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API ECS yang sudah tidak digunakan dipanggil | API ECS yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API ECS yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API RDS yang sudah tidak digunakan dipanggil | API RDS yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API RDS yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API SLB yang sudah tidak digunakan dipanggil | API SLB yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API SLB yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API CDN yang sudah tidak digunakan dipanggil | API CDN yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API CDN yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API Redis yang sudah tidak digunakan dipanggil | API Redis yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API Redis yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API PolarDB yang sudah tidak digunakan dipanggil | API PolarDB yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API PolarDB yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API VPC yang sudah tidak digunakan dipanggil | API VPC yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API VPC yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API ACK yang sudah tidak digunakan dipanggil | API ACK yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API ACK yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API RocketMQ yang sudah tidak digunakan dipanggil | API RocketMQ yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API RocketMQ yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API CEN yang sudah tidak digunakan dipanggil | API CEN yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API CEN yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API ALB yang sudah tidak digunakan dipanggil | API ALB yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API ALB yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | API NAS yang sudah tidak digunakan dipanggil | API NAS yang sudah tidak digunakan tidak lagi dipelihara, menimbulkan ancaman stabilitas, dan tidak mendukung fitur baru. Perilaku dianggap tidak sesuai jika API NAS yang sudah tidak digunakan telah dipanggil dalam 30 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | Merupakan praktik terbaik untuk mengotomatiskan penyediaan sumber daya rutin. | Konfigurasi dianggap tidak sesuai jika rasio pembuatan sumber daya dengan memanggil OpenAPI di luar Konsol dalam setahun terakhir kurang dari 100%. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | Kami merekomendasikan mengotomatiskan manajemen berkelanjutan sumber daya. | Konfigurasi dianggap tidak sesuai jika rasio manajemen berkelanjutan sumber daya dengan memanggil OpenAPI di luar Konsol dalam 30 hari terakhir kurang dari 100%. | Perbaikan cepat tidak didukung. | Tidak |
Penyediaan dan orkestrasi sumber daya | Kami merekomendasikan mengotomatiskan manajemen sumber daya. | Konfigurasi dianggap tidak sesuai jika rasio pemanggilan OpenAPI menggunakan metode otomatis seperti SDK, Terraform, Cloud Control API, CADT, ROS, dan Service Catalog dalam 30 hari terakhir kurang dari 100%. | Perbaikan cepat tidak didukung. | Tidak |
Kinerja
Kategori | Item pemeriksaan | Deskripsi | Perbaikan cepat | Dukungan keputusan |
Pemantauan kinerja | Komponen MSE memiliki risiko kapasitas. | Pastikan bahwa kapasitas sumber daya berada dalam rentang yang wajar. Jika batas kapasitas terlampaui, risiko stabilitas dapat terjadi. Konfigurasi dianggap tidak sesuai jika metrik MSE apa pun melebihi batas kapasitasnya. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Instans RDS memiliki beban kinerja tinggi (baru dalam model 3.0). | Jika utilisasi CPU, penggunaan memori, atau jumlah koneksi dari instans RDS tetap tinggi untuk waktu yang lama, hal ini dapat menyebabkan penurunan kinerja sistem, stabilitas berkurang, atau bahkan gangguan layanan. Kami menyarankan Anda untuk memantau dan menangani masalah ini secara tepat waktu. Konfigurasi dianggap tidak sesuai jika rata-rata penggunaan salah satu metrik berikut dari instans RDS lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam 7 hari terakhir: utilisasi CPU, penggunaan memori, penggunaan koneksi, atau IOPS. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Instans Redis memiliki beban kinerja tinggi (baru dalam model 3.0). | Jika utilisasi CPU atau penggunaan memori dari instans Redis tetap tinggi untuk waktu yang lama, hal ini dapat menyebabkan penurunan kinerja sistem, stabilitas berkurang, atau bahkan gangguan layanan. Kami menyarankan Anda untuk memantau dan menangani masalah ini secara tepat waktu. Konfigurasi dianggap tidak sesuai jika rata-rata penggunaan utilisasi CPU atau penggunaan memori dari instans Redis lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam 7 hari terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Instans SLB memiliki beban kinerja tinggi (baru dalam model 3.0). | Jika penggunaan jumlah koneksi maksimum, koneksi baru, atau bandwidth keluar dari instans SLB tetap tinggi untuk waktu yang lama, hal ini dapat menyebabkan penurunan kinerja sistem, stabilitas berkurang, atau bahkan gangguan layanan. Kami menyarankan Anda untuk memantau dan menangani masalah ini secara tepat waktu. Konfigurasi dianggap tidak sesuai jika rata-rata penggunaan salah satu metrik berikut dari instans SLB lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam 7 hari terakhir: penggunaan jumlah koneksi maksimum, koneksi baru, atau penggunaan bandwidth keluar. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Bandwidth Internet Bersama yang terkait dengan instans ALB memiliki beban kinerja tinggi (baru dalam model 3.0). | Jika penggunaan bandwidth keluar dari Bandwidth Internet Bersama yang terkait dengan instans ALB tetap tinggi untuk waktu yang lama, hal ini dapat menyebabkan penurunan kinerja sistem, stabilitas berkurang, atau bahkan gangguan layanan. Kami menyarankan Anda untuk memantau dan menangani masalah ini secara tepat waktu. Konfigurasi dianggap tidak sesuai jika penggunaan bandwidth keluar maksimum dari Bandwidth Internet Bersama yang terkait dengan instans ALB lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam 24 jam terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | EIP yang terkait dengan instans ALB memiliki beban kinerja tinggi (baru dalam model 3.0). | Jika penggunaan bandwidth keluar dari EIP yang terkait dengan instans ALB tetap tinggi untuk waktu yang lama, hal ini dapat menyebabkan penurunan kinerja sistem, stabilitas berkurang, atau bahkan gangguan layanan. Kami menyarankan Anda untuk memantau dan menangani masalah ini secara tepat waktu. Konfigurasi dianggap tidak sesuai jika penggunaan bandwidth keluar maksimum dari EIP apa pun yang terkait dengan instans ALB lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam 24 jam terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Gateway VPN memiliki beban kinerja tinggi (baru dalam model 3.0). | Jika penggunaan bandwidth masuk atau keluar dari Gateway VPN tetap tinggi untuk waktu yang lama, hal ini dapat menyebabkan penurunan kinerja sistem, stabilitas berkurang, atau bahkan gangguan layanan. Kami menyarankan Anda untuk memantau dan menangani masalah ini secara tepat waktu. Konfigurasi dianggap tidak sesuai jika penggunaan bandwidth masuk atau keluar maksimum dari Gateway VPN lebih besar dari atau sama dengan 80% selama setidaknya 8 jam dalam 24 jam terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Sumber daya ECS memiliki risiko kinerja karena penggunaan memori tinggi. | Pastikan bahwa penggunaan memori produk cloud inti seperti ECS berada pada level sehat untuk menghindari risiko penurunan kinerja atau gangguan layanan yang disebabkan oleh kekurangan memori. Konfigurasi dianggap tidak sesuai jika penggunaan memori instans ECS lebih dari 85% selama total lebih dari 9 jam dalam 24 jam terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Disk EBS memiliki risiko kinerja karena throughput tinggi. | Ini membantu pelanggan mencegah hambatan kinerja, mengevaluasi apakah sumber daya penyimpanan dialokasikan secara wajar, dan menentukan apakah perlu melakukan peningkatan sumber daya untuk memastikan kelangsungan bisnis. Konfigurasi dianggap tidak sesuai jika penggunaan IOPS atau BPS disk EBS melebihi 90% dari batas IOPS atau BPS untuk tipe disk tersebut dalam 24 jam terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Disk EBS memiliki risiko kinerja karena penggunaan ruang disk tinggi. | Penggunaan ruang disk tinggi dapat meningkatkan risiko kehilangan data. Ini membantu pelanggan mengidentifikasi potensi hambatan kinerja pada tahap awal dan mengambil langkah-langkah untuk mencegah penurunan kinerja. Konfigurasi dianggap tidak sesuai jika penggunaan ruang disk dari disk EBS melebihi 80%. | Perbaikan cepat tidak didukung. | Tidak |
Pemantauan kinerja | Sumber daya ECS memiliki risiko kinerja karena utilisasi CPU tinggi. | Memastikan bahwa utilisasi CPU produk cloud inti seperti ECS berada pada level sehat adalah fundamental untuk menjamin kinerja bisnis yang stabil dan berkelanjutan. Beban tinggi tidak hanya memperlambat respons aplikasi tetapi juga dapat memicu mekanisme perlindungan otomatis, seperti restart sistem otomatis atau penurunan layanan. Konfigurasi dianggap tidak sesuai jika utilisasi CPU instans ECS lebih dari 85% selama total lebih dari 8 jam dalam 24 jam terakhir. | Perbaikan cepat tidak didukung. | Tidak |
Desain jaringan | CDN tidak digunakan untuk mempercepat akses ke sumber daya OSS (baru dalam model 3.0). | Menggunakan CDN untuk mendistribusikan sumber daya statis seperti gambar, video, dan dokumen di OSS dapat mengurangi biaya lalu lintas dan meningkatkan kecepatan pemuatan sumber daya. CDN menyebarkan node cache di beberapa wilayah di seluruh dunia. Ketika pengguna meminta akses ke sumber daya statis di OSS, CDN mengarahkan permintaan pengguna ke node cache terdekat, menghilangkan kebutuhan untuk permintaan jarak jauh langsung ke sumber daya OSS. Pada saat yang sama, node cache terdekat mengembalikan sumber daya yang di-cache kepada pengguna tanpa harus mengambilnya dari asal OSS. Proses ini menghasilkan biaya lalu lintas downstream CDN. Harga satuan lalu lintas downstream CDN lebih rendah daripada harga lalu lintas keluar OSS melalui Internet. Konfigurasi dianggap tidak sesuai jika Bucket OSS saat ini sering diminta tetapi CDN tidak digunakan untuk optimasi transmisi data OSS. | Perbaikan cepat tidak didukung. | Tidak |
Desain jaringan | Perutean pintar tidak diaktifkan untuk situs ESA di wilayah global. | Item pemeriksaan ini memastikan bahwa perutean pintar diaktifkan untuk situs guna meningkatkan efek percepatan ESA di wilayah global. Jika tidak diaktifkan, konfigurasi tidak sesuai dengan praktik terbaik untuk optimasi jaringan. | Perbaikan cepat tidak didukung. | Tidak |
Desain jaringan | Aturan cache tidak dikonfigurasikan untuk situs ESA. | Item pemeriksaan ini memastikan bahwa aturan cache dikonfigurasikan untuk situs guna mengurangi lalu lintas pengambilan asal. Jika tidak dikonfigurasikan, konfigurasi tidak sesuai dengan praktik terbaik untuk optimasi jaringan. | Perbaikan cepat tidak didukung. | Tidak |
Desain jaringan | Nama domain kustom tidak diatur untuk Bucket OSS. | Menggunakan nama domain kustom dapat meningkatkan citra merek dan profesionalisme, serta meningkatkan stabilitas. Nama domain kustom dapat diikat melalui rekaman CNAME untuk mencapai percepatan CDN dan meningkatkan kinerja akses. Ini juga mendukung akses aman HTTPS untuk meningkatkan keamanan transmisi data. Konfigurasi dianggap tidak sesuai jika nama domain kustom tidak diatur untuk Bucket OSS. | Perbaikan cepat tidak didukung. | Tidak |
Gunakan sumber daya elastis | Grup Penyesuaian Skala Otomatis tidak dapat secara otomatis menyesuaikan skala untuk kinerja. | Produk cloud inti seperti sumber daya ECS dapat secara otomatis menambah atau mengurangi sumber daya berdasarkan beban kinerja untuk memastikan keseimbangan dinamis selama operasi bisnis. | Perbaikan cepat tidak didukung. | Tidak |
Gunakan sumber daya elastis | Fitur penyesuaian skala otomatis tidak diaktifkan untuk RDS (baru dalam model 3.0). | Jika fitur penyesuaian skala otomatis tidak diaktifkan untuk instans RDS, instans tersebut mungkin tidak dapat menambahkan sumber daya secara tepat waktu untuk menangani pertumbuhan beban selama jam sibuk, atau melepaskan sumber daya idle selama jam sepi. Hal ini dapat menyebabkan hambatan kinerja, latensi respons, atau bahkan gangguan layanan, sementara juga menyebabkan pemborosan sumber daya dan biaya tidak perlu. Mengaktifkan fitur penyesuaian skala otomatis membantu pelanggan mencapai penjadwalan sumber daya elastis dan pemanfaatan yang efisien. Ini memastikan stabilitas dan ketersediaan tinggi database, mengoptimalkan struktur biaya, dan meningkatkan kecerdasan manajemen sumber daya cloud. Konfigurasi dianggap tidak sesuai jika fitur penyesuaian skala otomatis tidak diaktifkan untuk instans RDS. | Perbaikan cepat tidak didukung. | Tidak |
Item pemeriksaan yang Dihapus
Beberapa item pemeriksaan dari model 2.0 telah digabungkan ke dalam model 3.0. Karena model 3.0 mencakup deteksi terkait ancaman, item pemeriksaan berikut telah dihapus.
Pilar | Kategori | Item Pemeriksaan | Deskripsi Item Pemeriksaan |
Keamanan | Hindari penyalahgunaan hak istimewa | Terlalu banyak identitas RAM diberikan izin penting pada OSS dan SLS | Kami merekomendasikan untuk mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan hanya memberikan izin yang diperlukan. Identitas RAM yang memiliki izin oss:Delete* atau log:Delete* dapat menghapus data yang disimpan di OSS atau SLS. Pengelolaan yang tidak tepat dapat menyebabkan kehilangan data. Identitas RAM yang memiliki izin seperti oss:PutBucketAcl, oss:PutObjectAcl, dan oss:PutBucketPolicy dapat memodifikasi izin akses pada file di Bucket OSS. Hal ini dapat memungkinkan akses eksternal ke file OSS dan menyebabkan akses data tanpa izin. Persyaratan terpenuhi jika tiga atau lebih sedikit identitas RAM di Akun Alibaba Cloud saat ini memiliki izin oss:Delete*, oss:PutAcl, oss:PutPolicy, log:Delete*, atau log:Update*. |
Keamanan | Hindari penyalahgunaan hak istimewa | Terlalu banyak identitas RAM diberikan izin penting pada direktori sumber daya | Anda dapat menggunakan direktori sumber daya untuk mengelola akun secara terpusat dalam suatu organisasi. Anda juga dapat membuat akun baru atau menghapus akun yang ada dari organisasi saat ini. Sebagai praktik terbaik, hanya administrator atau pemimpin tim manajemen cloud dalam organisasi yang harus memiliki izin tulis pada direktori sumber daya, seperti izin untuk mengaktifkan atau menonaktifkan direktori sumber daya, membuat, mengundang, atau menghapus akun, dan mengganti jenis akun. Dalam kebanyakan kasus, tidak lebih dari tiga karyawan di perusahaan yang seharusnya memiliki izin ini. Kami merekomendasikan agar Anda tidak memberikan pengguna biasa izin tulis pada direktori sumber daya. Jika tidak, kesalahan operasi seperti menghapus Akun Alibaba Cloud dapat menyebabkan kerugian bisnis. |
Keamanan | Gunakan kontrol akses granular | Ruang lingkup akses beberapa identitas RAM dikonvergen | Kami merekomendasikan untuk mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan hanya memberikan izin yang diperlukan. Persyaratan terpenuhi jika identitas RAM dilampirkan dengan izin pada beberapa operasi Layanan Alibaba Cloud di Akun Alibaba Cloud saat ini. |
Keamanan | Gunakan kontrol akses granular | Akses ke OSS dan SLS tidak dikonvergen untuk identitas RAM apa pun | Kami merekomendasikan untuk mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan hanya memberikan izin yang diperlukan. Untuk akses ke produk data seperti OSS dan SLS, kami merekomendasikan agar Anda menggunakan otorisasi granular untuk mengurangi risiko pelanggaran data yang disebabkan oleh kebocoran identitas. Di Akun Alibaba Cloud saat ini, jika identitas RAM dilampirkan dengan izin operasi pada produk data, Anda harus menggunakan otorisasi granular. Jangan gunakan karakter wildcard (*) untuk otorisasi massal. Persyaratan terpenuhi jika kondisi-kondisi ini dipenuhi. |
Keamanan | Efisiensi dan kontrol otorisasi | Ruang lingkup efektif kebijakan kustom yang dilampirkan ke identitas RAM tidak menentukan kelompok sumber daya | Secara default, ruang lingkup efektif kebijakan kustom yang dilampirkan ke identitas RAM berada pada tingkat akun. Dalam hal ini, jika tidak ada sumber daya atau kondisi tertentu yang ditentukan dalam kebijakan kustom, identitas RAM memiliki izin yang ditentukan pada semua sumber daya dalam akun. Sebagai praktik terbaik untuk manajemen sumber daya cloud, Anda harus mengelompokkan sumber daya berdasarkan kelompok sumber daya dan kemudian memberikan izin kepada identitas RAM berdasarkan kelompok tersebut. Selama proses otorisasi, Anda dapat membatasi ruang lingkup efektif ke kelompok sumber daya untuk lebih membatasi ruang lingkup izin identitas RAM dan menerapkan otorisasi granular. Praktik terbaik ini dianggap diikuti jika ruang lingkup efektif kebijakan kustom yang dilampirkan ke identitas RAM adalah kelompok sumber daya, atau jika kelompok sumber daya ditentukan dalam kondisi kebijakan. |
Keamanan | Efisiensi dan kontrol otorisasi | Otorisasi identitas RAM yang memiliki kebijakan sistem tingkat layanan tidak dikonvergen ke kelompok sumber daya | Kami merekomendasikan untuk mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan hanya memberikan izin yang diperlukan. Anda dapat membagi sumber daya cloud menjadi kelompok sumber daya berdasarkan dimensi seperti aplikasi dan lingkungan. Saat memberikan izin, Anda dapat memberikan izin berdasarkan kelompok sumber daya untuk lebih mempersempit ruang lingkup izin dan menghindari risiko yang disebabkan oleh izin berlebihan. Persyaratan terpenuhi di Akun Alibaba Cloud saat ini jika identitas RAM memiliki kebijakan sistem tingkat layanan (seperti AliyunECSFullAccess) dan ruang lingkup otorisasi adalah kelompok sumber daya. |
Keamanan | Efisiensi dan kontrol otorisasi | Otorisasi identitas RAM yang memiliki izin administrator tidak dikonvergen ke kelompok sumber daya | Kami merekomendasikan untuk mengikuti prinsip hak istimewa minimal untuk pengelolaan izin identitas RAM dengan hanya memberikan izin yang diperlukan. Anda dapat membagi sumber daya cloud menjadi kelompok sumber daya berdasarkan dimensi seperti aplikasi dan lingkungan. Saat memberikan izin, Anda dapat memberikan izin berdasarkan kelompok sumber daya untuk lebih mempersempit ruang lingkup izin dan menghindari risiko yang disebabkan oleh izin berlebihan. Persyaratan terpenuhi di akun saat ini jika identitas RAM memiliki izin AdministratorAccess dan ruang lingkup otorisasi adalah kelompok sumber daya. |
Keamanan | Tanggapan peringatan ketidakpatuhan | Tidak ada aturan peringatan yang dikonfigurasikan untuk operasi dan kejadian terkait ancaman | Konfigurasi dianggap tidak patuh jika tidak ada aturan terkait keamanan akun atau aturan kepatuhan operasi ActionTrail yang didukung oleh peringatan kejadian ActionTrail yang diaktifkan. |
Keamanan | Aktifkan remediasi otomatis | Masalah ketidakpatuhan tidak diperbaiki secara otomatis | Konfigurasi dianggap tidak patuh jika Anda tidak mengaktifkan remediasi otomatis untuk aturan apa pun. |
Keamanan | Instans penyimpanan data tidak boleh dapat diakses melalui Internet | Daftar putih alamat IP instans PolarDB diatur ke 0.0.0.0/0 | Daftar putih alamat IP menentukan alamat IP yang diizinkan untuk mengakses kluster PolarDB. Jika Anda mengatur daftar putih alamat IP ke % atau 0.0.0.0/0, alamat IP apa pun dapat mengakses kluster database. Pengaturan ini secara signifikan mengurangi keamanan database. Jangan gunakan pengaturan ini kecuali diperlukan. Sebagai praktik terbaik, kami merekomendasikan agar Anda mengikuti prinsip hak istimewa minimal dan mengonfigurasi daftar putih alamat IP yang sesuai untuk memastikan tingkat keamanan akses yang tinggi untuk kluster PolarDB. Konfigurasi tidak mengikuti praktik terbaik jika daftar putih alamat IP kluster diatur ke 0.0.0.0/0 atau %. |
Keamanan | Instans penyimpanan data tidak boleh dapat diakses melalui Internet | Daftar putih alamat IP instans RDS diatur ke 0.0.0.0/0 | Daftar putih alamat IP menentukan alamat IP yang diizinkan untuk mengakses instans RDS. Jika Anda mengatur daftar putih alamat IP ke 0.0.0.0/0, alamat IP apa pun dapat mengakses kluster database. Pengaturan ini secara signifikan mengurangi keamanan database. Jangan gunakan pengaturan ini kecuali diperlukan. Sebagai praktik terbaik, kami merekomendasikan agar Anda mengikuti prinsip hak istimewa minimal dan mengonfigurasi daftar putih alamat IP yang sesuai untuk memastikan tingkat keamanan akses yang tinggi untuk instans database. Konfigurasi tidak mengikuti praktik terbaik jika daftar putih alamat IP instans diatur ke 0.0.0.0/0. |
Keamanan | Instans penyimpanan data tidak boleh dapat diakses melalui Internet | Daftar putih alamat IP instans Redis diatur ke 0.0.0.0/0 | Daftar putih alamat IP menentukan alamat IP yang diizinkan untuk mengakses instans Redis. Jika Anda mengatur daftar putih alamat IP ke 0.0.0.0/0, alamat IP apa pun dapat mengakses kluster database. Pengaturan ini secara signifikan mengurangi keamanan database. Jangan gunakan pengaturan ini kecuali diperlukan. Sebagai praktik terbaik, kami merekomendasikan agar Anda mengikuti prinsip hak istimewa minimal dan mengonfigurasi daftar putih alamat IP yang sesuai untuk memastikan tingkat keamanan akses yang tinggi untuk instans database. Konfigurasi tidak mengikuti praktik terbaik jika daftar putih alamat IP instans diatur ke 0.0.0.0/0. |
Keamanan | Instans penyimpanan data tidak boleh dapat diakses melalui Internet | Daftar putih alamat IP instans MongoDB diatur ke 0.0.0.0/0 | Daftar putih alamat IP menentukan alamat IP yang diizinkan untuk mengakses instans MongoDB. Jika Anda mengatur daftar putih alamat IP ke 0.0.0.0/0, alamat IP apa pun dapat mengakses kluster database. Pengaturan ini secara signifikan mengurangi keamanan database. Jangan gunakan pengaturan ini kecuali diperlukan. Sebagai praktik terbaik, kami merekomendasikan agar Anda mengikuti prinsip hak istimewa minimal dan mengonfigurasi daftar putih alamat IP yang sesuai untuk memastikan tingkat keamanan akses yang tinggi untuk instans database. Konfigurasi tidak mengikuti praktik terbaik jika daftar putih alamat IP instans diatur ke 0.0.0.0/0. |
Keamanan | Instans penyimpanan data tidak boleh dapat diakses melalui Internet | Daftar putih alamat IP instans Elasticsearch diatur ke 0.0.0.0/0 | Daftar putih alamat IP instans menentukan alamat IP yang diizinkan untuk mengakses instans Elasticsearch. Jika Anda mengatur daftar putih alamat IP ke 0.0.0.0/0 atau |
Stabilitas | Perlindungan penghapusan | Perlindungan rilis tidak diaktifkan untuk sumber daya Redis | Konfigurasi dianggap tidak patuh jika perlindungan rilis tidak diaktifkan untuk instans Redis. |
Stabilitas | Perlindungan penghapusan | Perlindungan rilis tidak diaktifkan untuk sumber daya ECS | Konfigurasi dianggap tidak patuh jika perlindungan rilis tidak diaktifkan untuk instans ECS. |
Stabilitas | Manajemen perubahan | Jendela pemeliharaan untuk sumber daya Redis tidak masuk akal | Konfigurasi dianggap tidak patuh jika waktu pencadangan otomatis instans Redis tidak berada dalam rentang waktu 04:00-05:00, 05:00-06:00, atau 12:00-13:00. |
Stabilitas | Manajemen perubahan | Jendela pemeliharaan untuk sumber daya PolarDB tidak masuk akal | Konfigurasi dianggap tidak patuh jika jendela pemeliharaan kluster PolarDB tidak berada dalam rentang waktu 02:00-04:00 atau 06:00-10:00. |
Stabilitas | Manajemen perubahan | Jendela pemeliharaan untuk sumber daya ADB tidak masuk akal | Konfigurasi dianggap tidak patuh jika jendela pemeliharaan kluster ADB tidak berada dalam rentang waktu 02:00-04:00, 06:00-08:00, atau 12:00-13:00. |
Stabilitas | Manajemen perubahan | Jendela pemeliharaan untuk sumber daya RDS tidak masuk akal | Konfigurasi dianggap tidak patuh jika jendela pemeliharaan instans RDS tidak berada dalam rentang waktu 02:00-06:00 atau 06:00-10:00. |
Stabilitas | Manajemen perubahan | Jendela pemeliharaan untuk sumber daya ECS tidak masuk akal | Membuat snapshot untuk instans ECS sementara mengurangi kinerja I/O Penyimpanan Blok Elastis. Konfigurasi dianggap tidak patuh jika waktu pembuatan snapshot yang ditentukan dalam kebijakan snapshot otomatis bukan 01:00 atau 02:00. |
Biaya | Optimalisasi biaya sumber daya | Paket kepatuhan "Praktik Terbaik untuk Deteksi Sumber Daya Tidak Aktif" tidak diaktifkan | Konfigurasi dianggap tidak patuh jika paket kepatuhan untuk deteksi sumber daya tidak aktif tidak diaktifkan di Konfigurasi Cloud. |
Efisiensi | Pengelompokan dan pemagaran sumber daya | Sumber daya dalam organisasi yang sama tidak dikelola menggunakan beberapa akun | Akun Alibaba Cloud memiliki beberapa arti. Setiap Akun Alibaba Cloud adalah penyewa yang sepenuhnya terisolasi. Secara default, akses sumber daya, penyebaran jaringan, dan izin identitas sepenuhnya independen dan terisolasi. Akun Alibaba Cloud juga terkait dengan tagihan. Anda dapat menerapkan layanan yang berbeda di Akun Alibaba Cloud yang berbeda untuk menerapkan akuntansi dan penagihan yang independen. Manajemen multi-akun memberikan manfaat bagi perusahaan dalam hal pemagaran lingkungan, kepatuhan keamanan, dan inovasi bisnis. Kondisi terpenuhi jika dua atau lebih Akun Alibaba Cloud ada di bawah entitas yang sama. |
Efisiensi | Kualitas otomatisasi | Kuota ECS berisiko habis | Kelainan dapat terjadi saat Anda membuat atau mengubah sumber daya produk atau menggunakan fitur produk. Ancaman ada jika item kuota sumber daya produk memiliki penggunaan tinggi dalam 7 hari terakhir dan kesalahan quota_exceed telah terjadi. |
Efisiensi | Kualitas otomatisasi | Kuota VPC berisiko habis | Kelainan dapat terjadi saat Anda membuat atau mengubah sumber daya produk atau menggunakan fitur produk. Ancaman ada jika item kuota sumber daya produk memiliki penggunaan tinggi dalam 7 hari terakhir dan kesalahan quota_exceed telah terjadi. |
Efisiensi | Kualitas otomatisasi | Kuota SLB berisiko habis | Kelainan dapat terjadi saat Anda membuat atau mengubah sumber daya produk atau menggunakan fitur produk. Ancaman ada jika item kuota sumber daya produk memiliki penggunaan tinggi dalam 7 hari terakhir dan kesalahan quota_exceed telah terjadi. |
Efisiensi | Kualitas otomatisasi | Kuota CEN berisiko habis | Kelainan dapat terjadi saat Anda membuat atau mengubah sumber daya produk atau menggunakan fitur produk. Ancaman ada jika item kuota sumber daya produk memiliki penggunaan tinggi dalam 7 hari terakhir dan kesalahan quota_exceed telah terjadi. |
Efisiensi | Kualitas otomatisasi | Kuota ACK berisiko habis | Kelainan dapat terjadi saat Anda membuat atau mengubah sumber daya produk atau menggunakan fitur produk. Ancaman ada jika item kuota sumber daya produk memiliki penggunaan tinggi dalam 7 hari terakhir dan kesalahan quota_exceed telah terjadi. |
Efisiensi | Kualitas otomatisasi | Kuota CDN berisiko habis | Kelainan dapat terjadi saat Anda membuat atau mengubah sumber daydaya produk atau menggunakan fitur produk. Ancaman ada jika item kuota sumber daya produk memiliki penggunaan tinggi dalam 7 hari terakhir dan kesalahan quota_exceed telah terjadi. |