Paket kepatuhan ini membantu Anda mendeteksi dan mengelola risiko keamanan, stabilitas, serta kepatuhan potensial di Alibaba Cloud Model Studio, Platform for AI (PAI), dan dependensi intinya, yaitu ACS, Container Registry (ACR), OSS, NAS, Key Management Service (KMS), Simple Log Service (SLS), dan MaxCompute. Topik ini menjelaskan aturan default untuk praktik terbaik kepatuhan AI generatif.
Nama Aturan | Deskripsi Aturan |
Aktifkan pengaman serangan prompt untuk konten input di Model Studio | Mengaktifkan pengaman serangan prompt untuk konten input di Model Studio dianggap mematuhi. |
Mengaktifkan pengaman untuk konten input di Model Studio dan melakukan setidaknya satu panggilan dalam 7 hari dianggap mematuhi. | |
Aktifkan pengaman serangan prompt untuk konten output di Model Studio | Mengaktifkan pengaman serangan prompt untuk konten output di Model Studio dianggap mematuhi. |
Mengaktifkan pengaman untuk konten output di Model Studio dan melakukan setidaknya satu panggilan dalam 7 hari dianggap mematuhi. | |
Aktifkan pengaman URL berbahaya untuk konten output di Model Studio | Mengaktifkan pengaman URL berbahaya untuk konten output di Model Studio dianggap mematuhi. |
Mengatur setidaknya satu aturan peringatan untuk Elastic Algorithm Service (EAS) di CloudMonitor dianggap mematuhi. | |
Mengatur setidaknya satu aturan peringatan untuk Deep Learning Containers (DLC) di CloudMonitor dianggap mematuhi. | |
Menggunakan edisi Security Center yang lebih tinggi dari Edisi Dasar atau mengaktifkan edisi bayar sesuai penggunaan dianggap mematuhi. | |
Kluster ACK dianggap mematuhi jika tidak memiliki titik akhir publik yang dikonfigurasi, atau jika pendengar SLB terkait telah mengaktifkan daftar kontrol akses (ACL). | |
Instal agen CloudMonitor pada node yang berjalan di kluster ACK | Kluster ACK dianggap mematuhi jika agen CloudMonitor diinstal pada semua node yang berjalan dan status pemantauannya Normal. |
Menginstal komponen audit operasi kontainer internal pada kluster ACK dianggap mematuhi. Komponen ini membantu Anda mengaudit perintah yang dieksekusi oleh anggota organisasi atau aplikasi setelah mereka mengakses kontainer. | |
Mengaktifkan fitur auditing API Server untuk kluster ACK dianggap mematuhi. Fitur ini membantu administrator kluster mencatat atau melacak operasi harian pengguna yang berbeda. | |
Menggunakan kluster ACK regional dengan node yang tersebar di tiga zona atau lebih dianggap mematuhi. | |
Mengaktifkan fitur RRSA untuk kluster ACK dianggap mematuhi. Fitur RRSA menyediakan isolasi izin OpenAPI tingkat Pod dalam kluster, sehingga memungkinkan isolasi terperinci terhadap izin akses sumber daya cloud dan mengurangi risiko keamanan. | |
Mengonfigurasi enkripsi saat diam untuk Secrets di kluster ACK dianggap mematuhi. Aturan ini tidak berlaku untuk kluster dasar ACK. | |
Aktifkan dan konfigurasi kebijakan keamanan kontainer untuk kluster ACK | Mengaktifkan dan mengonfigurasi kebijakan keamanan kontainer untuk kluster ACK dianggap mematuhi. |
Aktifkan pengumpulan log untuk komponen lapisan kontrol di kluster ACK | Mengaktifkan pengumpulan log untuk komponen lapisan kontrol di kluster ACK yang dikelola dianggap mematuhi. Aturan ini tidak berlaku untuk kluster non-dikelola. |
Instans Container Registry tidak mengaktifkan akses jaringan publik | Instans Container Registry dianggap mematuhi jika akses jaringan publik tidak diaktifkan. Aturan ini berlaku untuk instans Edisi Perusahaan. |
Instans Container Registry dikaitkan dengan bucket OSS redundan zona | Instans Container Registry yang dikaitkan dengan bucket OSS redundan zona dianggap mematuhi. |
Mengatur versi gambar di Container Registry menjadi immutable dianggap mematuhi. | |
Disk data ECS dengan enkripsi yang diaktifkan dianggap mematuhi. | |
Disk ECS dengan kebijakan snapshot otomatis yang dikonfigurasi dianggap mematuhi. Aturan ini tidak berlaku untuk disk yang tidak digunakan, disk yang tidak mendukung kebijakan snapshot otomatis, atau disk yang dipasang ke kluster ACK untuk penggunaan non-persisten. Setelah Anda mengaktifkan kebijakan snapshot otomatis, Alibaba Cloud secara otomatis membuat snapshot untuk disk pada waktu dan interval tertentu, sehingga memungkinkan Anda memulihkan diri dengan cepat dari kejadian keamanan seperti serangan virus atau ransomware. | |
Aktifkan rotasi otomatis untuk kunci master di Key Management Service | Mengaktifkan rotasi otomatis untuk kunci master pelanggan (CMK) di Key Management Service (KMS) dianggap mematuhi. Aturan ini tidak berlaku untuk kunci layanan atau kunci yang Anda impor menggunakan Bring Your Own Key (BYOK). |
Mengaktifkan perlindungan penghapusan untuk kunci master KMS dianggap mematuhi. Aturan ini tidak berlaku untuk kunci yang dinonaktifkan atau kunci layanan, karena kunci layanan tidak dapat dihapus. | |
Aktifkan rotasi otomatis untuk kredensial di Key Management Service | Mengaktifkan rotasi otomatis untuk kredensial di Key Management Service dianggap mematuhi. Aturan ini tidak berlaku untuk rahasia generik. |
Gunakan arsitektur pemulihan bencana antar zona untuk proyek MaxCompute | Menggunakan arsitektur pemulihan bencana antar zona untuk proyek MaxCompute dianggap mematuhi. |
Mengaktifkan enkripsi untuk proyek MaxCompute dianggap mematuhi. Aturan ini tidak berlaku untuk proyek yang dibekukan. | |
Mengaktifkan daftar putih IP untuk proyek MaxCompute dianggap mematuhi. | |
Grup izin yang digunakan oleh sistem file NAS tidak terbuka untuk semua sumber | Sistem file NAS dianggap mematuhi jika grup izinnya tidak mengizinkan akses dari semua sumber. Aturan ini tidak berlaku jika sistem file tidak memiliki titik pemasangan atau jika grup izin terkait tidak memiliki aturan. |
Membuat rencana cadangan untuk sistem file NAS dianggap mematuhi. | |
Aktifkan kebijakan RAM untuk titik akses penyimpanan file NAS | Mengaktifkan kebijakan RAM untuk titik akses penyimpanan file NAS dianggap mematuhi. |
Mengonfigurasi enkripsi untuk sistem file NAS dianggap mematuhi. | |
Jangan memberikan izin baca-tulis publik ke bucket OSS menggunakan ACL | Bucket OSS dianggap mematuhi jika daftar kontrol akses (ACL)-nya tidak memberikan izin baca-tulis publik. Jika bucket OSS memiliki izin baca-tulis publik, pengunjung mana pun dapat menulis data ke dalamnya, sehingga bucket tersebut berisiko terhadap injeksi data berbahaya. |
Mengaktifkan penyimpanan redundan zona untuk bucket OSS dianggap mematuhi. Jika penyimpanan redundan zona tidak diaktifkan, OSS tidak dapat menjamin ketersediaan dan daya tahan ketika pusat data tidak tersedia, yang dapat memengaruhi tujuan pemulihan data Anda. | |
Mengaktifkan enkripsi sisi server KMS untuk bucket OSS dianggap mematuhi. | |
Bucket OSS dianggap mematuhi jika TLS diaktifkan dan versi TLS yang digunakan merupakan salah satu versi yang ditentukan dalam parameter. Versi TLS default adalah TLS 1.2 dan TLS 1.3. | |
Mengaktifkan replikasi lintas wilayah untuk bucket OSS dianggap mematuhi. Aturan ini bergantung pada hasil deteksi dari Backup Disaster Recovery (BDRC). Jika BDRC tidak diaktifkan atau tidak tersedia hasil deteksi, aturan ini tidak berlaku. | |
Bucket OSS dianggap mematuhi jika kebijakan izinnya menentukan bahwa operasi baca dan tulis harus menggunakan HTTPS, atau bahwa akses melalui HTTP ditolak. Aturan ini tidak berlaku untuk bucket OSS dengan kebijakan izin kosong. | |
Sebarkan instans PAI Elastic Algorithm Service di beberapa zona | Instans PAI Elastic Algorithm Service (EAS) dianggap mematuhi ketika disebar di beberapa zona. |
Aktifkan pemeriksaan kesehatan daya komputasi untuk pelatihan terdistribusi PAI | Mengaktifkan pemeriksaan kesehatan daya komputasi untuk PAI Deep Learning Containers (DLC) dianggap mematuhi. Aturan ini tidak berlaku ketika tidak ada tugas pelatihan yang sedang berjalan. |
Aktifkan pemantauan toleransi kesalahan berbasis AIMaster untuk pelatihan terdistribusi PAI | Mengaktifkan pemantauan toleransi kesalahan berbasis AIMaster untuk PAI Deep Learning Containers (DLC) dianggap mematuhi. Aturan ini tidak berlaku ketika tidak ada tugas pelatihan yang sedang berjalan. |
Mengonfigurasi beberapa zona untuk layanan titik akhir dianggap mematuhi. | |
Mengonfigurasi enkripsi data untuk Logstore Simple Log Service dianggap mematuhi. |