このトピックでは、ガバナンス成熟度検出モデル 2.0 でサポートされているチェック項目について説明します。
セキュリティ
カテゴリ | チェック項目 | 説明 | 応急処置の説明 | 補助決定のサポート |
アカウント管理 | Alibaba Cloud アカウントで MFA が無効になっている | 多要素認証 (MFA) は、Alibaba Cloud アカウントに高度なセキュリティ保護を提供します。Alibaba Cloud アカウントで MFA が無効になっている場合、そのアカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
アカウント管理 | Alibaba Cloud アカウントで AccessKey ペアが有効になっている | Alibaba Cloud アカウントの AccessKey ペアは、アカウント内のすべてのリソースに対する完全な権限を付与します。ソース IP アドレスやアクセス時間などの制限は適用できません。AccessKey ペアが漏洩した場合、アカウントのリソースは高いセキュリティリスクにさらされます。AccessKey ペアが有効になっている Alibaba Cloud アカウントは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
アカウント管理 | 過去 90 日間に Alibaba Cloud アカウントを使用してコンソールにログインした | Alibaba Cloud アカウントは完全な権限を持ち、ソース IP アドレスやアクセス時間などの条件で制限することはできません。認証情報が漏洩した場合、アカウントのリソースは高いセキュリティリスクにさらされます。Alibaba Cloud アカウントが 90 日以内に 3 回以上コンソールへのログインに使用された場合、そのアカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ユーザー管理 | RAM SCIM を使用してユーザーを同期していない | System for Cross-domain Identity Management (SCIM) プロトコルを使用して、ユーザーを手動で作成することなく、企業から Alibaba Cloud にユーザー ID を同期できます。現在のアカウントで SCIM 同期が構成されていない場合、または同期されたユーザーが過去 60 日間にログインしていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ユーザー管理 | コンソールログインに RAM SSO を使用していない | シングルサインオン (SSO) は ID の一元管理に役立ち、管理効率を向上させ、リスクを軽減します。現在のアカウントで RAM SSO が構成されていない場合、または過去 30 日間に SSO ベースのログインがない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ユーザー管理 | RAM ユーザーがコンソールログインと AccessKey ペアの両方を有効にしている | すべてのシナリオで単一責任の原則に従ってください。RAM ユーザーが AccessKey ペアとコンソールログインの両方を有効にしている場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | はい |
ユーザー管理 | ID 管理に RAM を使用していない | Alibaba Cloud アカウントは完全な権限を持っています。認証情報が漏洩した場合、アカウントのリソースは高いセキュリティリスクにさらされます。RAM ID として日常業務を実行する必要があります。現在のアカウントに RAM ID が存在しない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
個人 ID 管理 | 完全なパスワード強度ポリシーが構成されていない | 強力なパスワードは、辞書攻撃やブルートフォース攻撃のリスクを軽減します。パスワードの強度、有効期間、過去のパスワードチェック、リトライ制限などを含む強力なパスワードポリシーを構成しない場合、アカウントは非準拠と見なされます。 | この修正は、Resource Access Management (RAM) の主要なパスワード強度設定を変更します。設定には、最小パスワード長 8 文字、少なくとも 3 種類の文字タイプ、90 日未満の有効期間、および 1 時間あたり最大 5 回のログインリトライが含まれます。これらの設定は、推奨されるベストプラクティスに基づいています。必要に応じて、より厳格なパスワード要件のためにパラメーターを変更できます。設定が適用されると、すべての RAM ユーザーに影響します。 | いいえ |
個人 ID 管理 | RAM ユーザーで MFA が無効になっている | MFA は RAM ユーザーに高度なセキュリティ保護を提供します。RAM ユーザーがコンソールログインを有効にしているが MFA が有効でない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | はい |
個人 ID 管理 | アイドル状態の RAM ユーザーが存在する | RAM ユーザーのコンソールログインを有効にすると、ログインパスワードが設定されます。パスワードの使用期間が長くなるほど、漏洩のリスクが高まります。RAM ユーザーが 90 日以上アイドル状態である場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | はい |
プログラムによる ID 管理 | ECS インスタンスがセキュリティ強化メタデータサービスを使用していない (モデル 2.0 で新規) | ECS インスタンスがメタデータサービスのセキュリティ強化モード (バージョン 2) を使用して、バージョン 1 からの潜在的なセキュリティトークンサービス (STS) トークンの漏洩を防ぐようにします。メタデータサービスのバージョン 1 を使用する ECS インスタンスは非準拠と見なされます。これを解決するには、メタデータサービスをバージョン 2 にアップグレードします。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | AccessKey ペアが定期的にローテーションされていない | AccessKey ペアを定期的にローテーションして、漏洩時間を短縮し、漏洩のリスクを低減します。RAM ユーザーの AccessKey ペアが 90 日以上使用されている場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | プログラムによるアクセスに AccessKey フリーのソリューションが使用されていない | ECS にインスタンスロールが構成されていない、ACK で RRSA プラグインが有効になっていない、または Function Compute でサービスロールが構成されていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | 漏洩した AccessKey ペアが処理されていない | AccessKey ペアが漏洩した後、攻撃者はそれを使用してリソースやデータにアクセスする可能性があり、セキュリティインシデントを引き起こす可能性があります。未処理の AccessKey ペア漏洩イベントがある場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | RAM ユーザーが 2 つの有効な AccessKey ペアを持っている | RAM ユーザーが 2 つの有効な AccessKey ペアを持っている場合、ユーザーはそれらをローテーションできず、セキュリティリスクをもたらします。RAM ユーザーが 2 つの有効な AccessKey ペアを持っている場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | RAM ユーザーがアイドル状態の AccessKey ペアを持っている | RAM ユーザーの AccessKey ペアは、Alibaba Cloud API 操作を呼び出すために使用できます。AccessKey ペアが公開される時間が長くなるほど、漏洩のリスクが高まります。RAM ユーザーの AccessKey ペアが 90 日以上使用されていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | はい |
詳細な権限付与を使用する | 操作の範囲が制限されている RAM ID がない | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。現在のアカウントの RAM ID にクラウドサービスの操作権限のサブセットのみが付与されている場合、要件は満たされます。 | 応急処置はサポートされていません。 | いいえ |
詳細な権限付与を使用する | OSS または SLS へのアクセスが制限されている RAM ID がない | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。OSS や SLS などのデータプロダクトへのアクセスには、詳細な権限付与を使用して、ID 漏洩によるデータ侵害のリスクを軽減します。現在のアカウントの RAM ID にデータ関連プロダクトの権限が付与されている場合は、詳細な権限付与を使用する必要があります。ワイルドカード文字 (*) を使用してバッチ権限付与を行わないでください。 | 応急処置はサポートされていません。 | いいえ |
詳細な権限付与を使用する | 詳細な権限付与を持つ RAM ID がない (モデル 2.0 で削除) | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。カスタムポリシーを使用して、RAM ID に詳細な権限を付与できます。カスタムポリシーにアタッチされた RAM ID がない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ログイン認証情報レポートを使用する | ID と権限のチェックレポートが定期的に取得されていない (モデル 2.0 で削除) | 過去 90 日間に現在のアカウントの ID と権限ガバナンスレポート、ユーザー認証情報レポート、またはクラウドガバナンス成熟度レポートを表示していない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ログイン認証情報レポートを使用する | 「AccessKey と権限ガバナンスのベストプラクティス」コンプライアンスパッケージが有効になっていない (モデル 2.0 で削除) | Cloud Config の「AccessKey と権限ガバナンスのベストプラクティス」コンプライアンスパッケージが有効になっていない場合、アカウントは非準拠と見なされます。 | この修正は、「AccessKey と権限ガバナンスのベストプラクティス」テンプレートに基づいて Cloud Config にコンプライアンスパッケージを作成します。その後、[Cloud Config] でチェック結果を表示できます。 | いいえ |
コントロールログのアーカイブ | ActionTrail ログが長期間保持されていない | トレイルが作成されていない場合、または作成されたトレイルがすべてのリージョンのイベントをアーカイブしていない、すべての読み取りおよび書き込みイベントをアーカイブしていない、またはアーカイブストレージ期間が 180 日未満である場合、アカウントは非準拠と見なされます。 | この修正は、現在のアカウントの既存のトレイル設定を改善します。これには、完全な管理の読み取りおよび書き込みイベントと、すべてのリージョンのイベントの有効化が含まれます。リストから少なくとも 1 つの既存のトレイルを選択して、その設定を改善できます。修正が適用された後、新しい読み取り、書き込み、および全リージョンのイベントがトレイルの宛先に配信されます。ストレージ内の履歴イベントは影響を受けません。 | いいえ |
構成変更の検出 | Cloud Config が有効になっていない | 現在のアカウントで Cloud Config が有効になっていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
構成変更の検出 | リソースの変更またはスナップショットの配信が構成されていない | Cloud Config でリソースの変更またはスナップショットの配信が構成されていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェックのカバー率 | Cloud Config コンプライアンスルールがすべてのクラウドリソースをカバーしていない | 評価は、ルールによってカバーされるリソースの割合に基づいています。カバー率が 100% 未満の場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェックのカバー率 | Cloud Config コンプライアンスルールが有効になっていない | 現在のアカウントで Cloud Config ルールが有効になっていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
非準拠アラートの応答 | コンプライアンスチェックデータが定期的に取得されていない | 非準拠イベントの配信が構成されていない場合、または Cloud Config でチェック結果が表示されていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
非準拠アラートの応答 | リスクのある操作イベントに対してアラートルールが構成されていない | ActionTrail イベントアラートでサポートされているアカウントセキュリティ関連のルールまたは ActionTrail 操作コンプライアンス関連のルールのいずれも有効になっていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
アラートイベントの処理 | クラウドリソースが非準拠である | 有効な Cloud Config ルールによってチェックされたリソースのコンプライアンス率が 100% 未満の場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
自動修復を有効にする | 非準拠項目に自動修復が使用されていない | どのルールでも自動修復が有効になっていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限の乱用を防止する | OSS および SLS に対して高リスクの権限が付与されている RAM ID が多すぎる | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。 | 応急処置はサポートされていません。 | いいえ |
権限の乱用を防止する | 管理者権限が付与されている RAM ID が多すぎる | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。管理者権限は、アカウント内の任意のリソースに対して任意の操作を許可します。ID 漏洩が発生した場合のビジネスへの影響を防ぐため、あまりにも多くの RAM ID に管理者権限を付与することは避けてください。現在のアカウントでは、3 つ以下の RAM ID が管理者権限を持っている場合に要件が満たされます。 | 応急処置はサポートされていません。 | いいえ |
権限の乱用を防止する | ユーザーセンターに対して高リスクの権限が付与されている RAM ID が多すぎる | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。課金およびユーザーセンタープロダクト (BSS) の書き込み権限を持つ RAM ID は、注文、請求書、契約、請求書などの情報を変更したり、トランザクションや引き出しなどの財務操作を実行したりできます。不適切な管理は資産の損失につながる可能性があります。現在のアカウントでは、3 つ以下の RAM ID が | 応急処置はサポートされていません。 | いいえ |
権限の乱用を防止する | RAM に対して高リスクの権限が付与されている RAM ID が多すぎる | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。RAM プロダクトの書き込み権限を持つ RAM ID は、新しい ID を作成したり、既存の ID の権限を変更したりできます。これにより、過剰な権限付与が発生し、アカウント内のリソースのセキュリティと機密性にリスクをもたらす可能性があります。現在のアカウントでは、3 つ以下の RAM ID が | 応急処置はサポートされていません。 | いいえ |
権限の乱用を防止する | すべての RAM ID に管理者権限が付与されている | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。ID 漏洩が発生した場合のビジネスへの影響を防ぐため、すべての RAM ID に管理者権限を付与することは避けてください。RAM ID に非管理者権限が付与されている場合、要件は満たされます。 | 応急処置はサポートされていません。 | いいえ |
権限付与の効率とコントロール | RAM ユーザーグループから権限付与を継承する RAM ユーザーがいない (モデル 2.0 で新規) | デフォルトでは、RAM ユーザー、グループ、およびロールはどのリソースにもアクセスできません。RAM ポリシーを使用して、ユーザー、グループ、またはロールに権限を付与できます。RAM ポリシーは、ユーザーではなく、グループとロールに直接適用する必要があります。グループまたはロールレベルで権限を割り当てると、ユーザー数が増加するにつれて管理の複雑さが軽減されます。また、RAM ユーザーの権限が意図せず拡大するリスクも軽減されます。RAM ユーザーが RAM ユーザーグループから権限付与を継承している場合、これはベストプラクティスと見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限付与の効率とコントロール | RAM ID に付与されたカスタムポリシーの範囲がリソースグループを指定していない (モデル 2.0 で新規) | デフォルトでは、RAM ID にカスタムポリシーを付与すると、ポリシーはアカウントレベルで有効になります。この場合、カスタムポリシーが指定されたリソースを明示的に制限したり、権限が有効になる条件を指定したりしない場合、RAM ID はアカウント内のすべてのリソースに対して指定された権限を持ちます。クラウドリソース管理のベストプラクティスとして、リソースグループごとにリソースをグループ化し、これらのグループに基づいて RAM ID に権限を付与できます。権限付与中に、範囲をリソースグループに制限すると、RAM ID の権限をより適切に制限し、詳細な権限付与を実現できます。RAM ID に付与されたカスタムポリシーの範囲がリソースグループに設定されている場合、またはポリシー条件でリソースグループが指定されている場合、これはベストプラクティスと見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限付与の効率とコントロール | 管理者権限を持つ RAM ID の権限付与がリソースグループに制限されていない | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。アプリケーションや環境などのディメンションに基づいてクラウドリソースをリソースグループに分割することで、リソースグループごとに権限を付与できます。これにより、権限の範囲がさらに狭まり、過剰な権限によるリスクを回避できます。現在のアカウントで、AdministratorAccess 権限を持つ RAM ID の権限付与範囲がリソースグループに設定されている場合、要件は満たされます。 | 応急処置はサポートされていません。 | いいえ |
権限付与の効率とコントロール | サービスレベルのシステムポリシーを持つ RAM ID の権限付与がリソースグループに制限されていない | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与します。アプリケーションや環境などのディメンションに基づいてクラウドリソースをリソースグループに分割することで、リソースグループごとに権限を付与できます。これにより、権限の範囲がさらに狭まり、過剰な権限によるリスクを回避できます。現在のアカウントで、AliyunECSFullAccess などのサービスレベルのシステムポリシーを持つ RAM ID の権限付与範囲がリソースグループに設定されている場合、要件は満たされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | OSS バケットで公開読み取りが無効になっていない (モデル 2.0 で新規) | OSS バケットのコンテンツが公開読み取り可能になるのを防ぎ、データの機密性とセキュリティを確保します。OSS バケットが公開読み取りに設定されている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | OSS バケットが匿名アカウントにアクセス権限を付与している (モデル 2.0 で新規) | 最小権限の原則を実装することは、セキュリティリスクを軽減し、エラーや悪意のあるアクションの影響を最小限に抑えるための基本です。OSS バケットポリシーが匿名アクセスを許可している場合、攻撃者はデータを抜き取ることができます。さらに、外部アカウントが悪意のある攻撃者によって制御されている場合、データが改ざんされたり削除されたりする可能性があります。これは、データの整合性と機密性を脅かすだけでなく、ビジネスの中断や法的な問題につながる可能性もあります。ベストプラクティスとして、ポリシーを使用して OSS バケットへの匿名アクセスを禁止する必要があります。バケットポリシーが匿名アクセスを許可している場合、つまり承認されたユーザーがすべてのアカウント (*) であり、効果が Allow である場合、ベストプラクティスを満たしていません。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | OSS バケットが公開書き込み用に構成されている (モデル 2.0 で新規) | OSS は、バケットポリシーとアクセス制御リスト (ACL) を介してパブリックアクセスをサポートしています。公開書き込みとは、特定の権限や認証なしに、任意の OSS リソースを変更したり、新しいファイルオブジェクトをバケットにアップロードしたりできることを意味します。公開書き込みにより、誰でも OSS バケットにデータをアップロードおよび変更できるようになり、データ侵害や悪意のあるアクセスによる高コストに簡単につながる可能性があります。ベストプラクティスとして、OSS バケットの公開書き込み権限を無効にし、署名付き URL または API 呼び出しを介してのみ OSS バケットのデータにアクセスする必要があります。OSS バケットポリシーまたは ACL に公開書き込みセマンティクスが含まれている場合、OSS バケットは公開書き込みのリスクにさらされる可能性があり、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データ転送には TLS を使用する必要がある | SLB で HTTPS リスナーが有効になっていない (モデル 2.0 で新規) | Server Load Balancer (SLB) で HTTPS リスナーが有効になっており、TLS プロトコルを使用して転送中にデータが暗号化されていることを確認します。SLB で HTTPS リスナーが有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | PolarDB インスタンスにパブリックエンドポイントが構成されている (モデル 2.0 で新規) | データベースをインターネットに公開すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者に見える可能性があります。さらに、適切なアクセス制御が実装されていない場合、データ侵害や損害が容易に発生する可能性があります。ベストプラクティスとして、データベースインスタンスへのアクセスを VPC 内からのみ許可し、適切な IP アドレスホワイトリストを設定し、データベースに複雑なアカウントとパスワードを構成する必要があります。クラスターにパブリックエンドポイントが有効になっている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データ転送には TLS を使用する必要がある | Elasticsearch インスタンスが転送に HTTPS プロトコルを使用していない (モデル 2.0 で新規) | HTTP 経由でのみサービスを提供する Elasticsearch インスタンスは、データセキュリティリスクをもたらす可能性があります。HTTP 通信はプレーンテキストで送信されるため、攻撃者はコンテンツを簡単に取得して表示し、機密情報を取得してデータ侵害につながる可能性があります。ベストプラクティスとして、アプリケーションまたはクライアント内で HTTPS を使用して Elasticsearch にアクセスし、転送中にデータが暗号化されるようにする必要があります。Elasticsearch インスタンスのクラスターネットワーク設定で HTTPS プロトコルスイッチが有効になっている場合、ベストプラクティスに準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | PolarDB インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている (モデル 2.0 で新規) | IP アドレスホワイトリストは、PolarDB クラスターへのアクセスが許可されている IP アドレスのリストです。IP アドレスホワイトリストが % または 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要でない限り、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、PolarDB クラスターに高レベルのアクセスセキュリティを提供する必要があります。クラスターの IP アドレスホワイトリストが 0.0.0.0/0 または % に設定されている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | Elasticsearch インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている (モデル 2.0 で新規) | インスタンスの IP アドレスホワイトリストは、Elasticsearch インスタンスへのアクセスが許可されている IP アドレスのリストです。IP アドレスホワイトリストが | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | Redis インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている (モデル 2.0 で新規) | IP アドレスホワイトリストは、Redis インスタンスへのアクセスが許可されている IP アドレスのリストです。IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要でない限り、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスに高レベルのアクセスセキュリティを提供する必要があります。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データ転送には TLS を使用する必要がある | SSL 証明書サービスの証明書が 30 日以内に有効期限切れになる (モデル 2.0 で新規) | SSL 証明書の有効期限が切れると、クライアントはサーバーの ID を検証できなくなります。これにより、ユーザーがサービスにアクセスできなくなったり、警告が表示されたりして、ユーザーエクスペリエンスに影響を与える可能性があります。証明書を迅速に更新しないと、サービスの可用性の低下、顧客の信頼の低下、さらにはデータ侵害につながる可能性があります。さらに、証明書の更新と更新には通常、一定の期間が必要です。サービスの中断を避けるために、証明書を更新するための十分な時間を確保する必要があります。証明書管理サービスのデジタル証明書の有効期限が 30 日以下の場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | セキュリティグループのインバウンドルールが 0.0.0.0/0 に設定され、任意のポートからのアクセスを許可している (モデル 2.0 で新規) | すべての IP アドレス (0.0.0.0/0) が任意のポートからアクセスできるセキュリティグループルールを禁止します。アクセスは特定の IP アドレス範囲とポートに制限する必要があります。セキュリティグループのインバウンドルールに 0.0.0.0/0 が含まれ、ポートが指定されていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | RDS インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている (モデル 2.0 で新規) | IP アドレスホワイトリストは、RDS インスタンスへのアクセスが許可されている IP アドレスのリストです。IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要でない限り、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスに高レベルのアクセスセキュリティを提供する必要があります。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | Elasticsearch インスタンスでパブリックアクセスが有効になっている (モデル 2.0 で新規) | Elasticsearch をインターネットに公開すると、セキュリティリスクが生じる可能性があります。インスタンスが公開されると、悪意のある攻撃者に見える可能性があります。さらに、適切なアクセス制御が実装されていない場合、データ侵害や損害が容易に発生する可能性があります。ベストプラクティスとして、Elasticsearch インスタンスへのアクセスを VPC 内からのみ許可し、適切な IP アドレスホワイトリストを設定し、適切なアクセス制御を構成する必要があります。インスタンスにパブリックエンドポイントが有効になっている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データ転送には TLS を使用する必要がある | CDN ドメイン名が HTTP から HTTPS へのリダイレクトを強制するように構成されていない (モデル 2.0 で新規) | CDN を使用して HTTP 経由でのみ外部サービスを提供すると、データセキュリティリスクが生じる可能性があります。HTTP 通信はプレーンテキストで送信されるため、攻撃者はコンテンツを簡単に取得して表示し、ユーザー認証情報やプライベートデータなどの機密情報を取得して、データ侵害につながる可能性があります。ベストプラクティスとして、外部サービスを提供する CDN ドメイン名には HTTPS を使用し、HTTP リスナーへのリクエストを HTTPS リスナーにリダイレクトするように強制する必要があります。これにより、転送中にデータが暗号化されることが保証されます。CDN ドメイン名の HTTPS 構成の強制リダイレクトタイプが HTTPS に設定されていない場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | ECS インスタンスにパブリック IP アドレスが割り当てられることが禁止されていない (モデル 2.0 で新規) | 攻撃のリスクを軽減するため、ECS インスタンスがインターネットに直接公開されるのを防ぐ必要があります。NAT ゲートウェイまたは Server Load Balancer を介してインターネットにアクセスできます。ECS インスタンスにパブリック IP アドレスが割り当てられている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | Redis インスタンスにパブリックエンドポイントが構成されている (モデル 2.0 で新規) | データベースをインターネットに公開すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者に見える可能性があります。さらに、適切なアクセス制御が実装されていない場合、データ侵害や損害が容易に発生する可能性があります。ベストプラクティスとして、データベースインスタンスへのアクセスを VPC 内からのみ許可し、適切な IP アドレスホワイトリストを設定し、データベースに複雑なアカウントとパスワードを構成する必要があります。インスタンスにパブリックエンドポイントが有効になっている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データ転送には TLS を使用する必要がある | CDN ドメイン名が HTTPS で構成されていない (モデル 2.0 で新規) | CDN を使用して HTTP 経由でのみ外部サービスを提供すると、データセキュリティリスクが生じる可能性があります。HTTP 通信はプレーンテキストで送信されるため、攻撃者はコンテンツを簡単に取得して表示し、ユーザー認証情報やプライベートデータなどの機密情報を取得して、データ侵害につながる可能性があります。ベストプラクティスとして、外部サービスを提供する CDN ドメイン名には HTTPS を使用し、HTTP リスナーへのリクエストを HTTPS リスナーにリダイレクトするように強制する必要があります。これにより、転送中にデータが暗号化されることが保証されます。CDN ドメイン名で HTTPS セキュアアクセラレーションが有効になっていない場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | RDS インスタンスにパブリックエンドポイントが構成されている (モデル 2.0 で新規) | データベースをインターネットに公開すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者に見える可能性があります。さらに、適切なアクセス制御が実装されていない場合、データ侵害や損害が容易に発生する可能性があります。ベストプラクティスとして、データベースインスタンスへのアクセスを VPC 内からのみ許可し、適切な IP アドレスホワイトリストを設定し、データベースに複雑なアカウントとパスワードを構成する必要があります。インスタンスにパブリックエンドポイントが有効になっている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | Elasticsearch インスタンスの Kibana サービスでパブリックアクセスが有効になっている (モデル 2.0 で新規) | Kibana をインターネットに公開すると、セキュリティリスクが生じる可能性があります。インスタンスが公開されると、悪意のある攻撃者に見える可能性があります。さらに、適切なアクセス制御が実装されていない場合、データ侵害や損害が容易に発生する可能性があります。ベストプラクティスとして、Kibana インスタンスへのアクセスを VPC 内からのみ許可し、適切な IP アドレスホワイトリストを設定し、適切なアクセス制御を構成する必要があります。Elasticsearch インスタンスの Kibana サービスでパブリックアクセスが有効になっている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | Tablestore インスタンスにパブリックアクセスが構成されている (モデル 2.0 で新規) | デフォルトでは、Tablestore は各インスタンスにパブリックドメイン名、VPC ドメイン名、およびクラシックネットワークドメイン名を作成します。パブリックドメイン名はインターネット上で表示され、どのユーザーもそれを通じて Tablestore リソースにアクセスできます。クラシックネットワークドメイン名は同じリージョン内の ECS サーバーに表示され、同じリージョン内のクラシックネットワーク ECS サーバー上のアプリケーションはそれを通じてインスタンスにアクセスできます。ベストプラクティスとして、インスタンスへのアクセスをコンソールまたは VPC からのみ許可する必要があります。インターネットまたはクラシックネットワークからのアクセスを制限すると、ネットワークの分離が向上し、データセキュリティが強化されます。Tablestore インスタンスのネットワークタイプが「コンソールまたは VPC アクセスのみ」または「バインドされた VPC アクセスのみ」に設定されている場合、ベストプラクティスに準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
データ転送には TLS を使用する必要がある | API Gateway のパブリックアクセスを持つ API が HTTPS で構成されていない (モデル 2.0 で新規) | HTTP 経由でのみ外部 API を提供すると、データセキュリティリスクが生じる可能性があります。HTTP 通信はプレーンテキストで送信されるため、攻撃者はコンテンツを簡単に取得して表示し、ユーザー認証情報やプライベートデータなどの機密情報を取得して、データ侵害につながる可能性があります。ベストプラクティスとして、外部サービスを提供する API には HTTPS を使用し、HTTP リスナーへのリクエストを HTTPS リスナーにリダイレクトするように強制する必要があります。これにより、転送中にデータが暗号化されることが保証されます。API Gateway に関連付けられたドメイン名が HTTPS プロトコルで構成されていない場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | セキュリティグループがハイリスクポート (22、3389 など) をインターネットに公開している (モデル 2.0 で新規) | ネットワーク攻撃や不正アクセスを防ぐため、SSH (22) や RDP (3389) などのハイリスクポートへのインターネットアクセスを許可するセキュリティグループルールを禁止します。セキュリティグループが SSH (22) や RDP (3389) などのハイリスクポートをインターネットに公開している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | MongoDB インスタンスにパブリックエンドポイントが構成されている (モデル 2.0 で新規) | データベースをインターネットに公開すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者に見える可能性があります。さらに、適切なアクセス制御が実装されていない場合、データ侵害や損害が容易に発生する可能性があります。ベストプラクティスとして、データベースインスタンスへのアクセスを VPC 内からのみ許可し、適切な IP アドレスホワイトリストを設定し、データベースに複雑なアカウントとパスワードを構成する必要があります。インスタンスにパブリックエンドポイントが有効になっている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | MongoDB インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている (モデル 2.0 で新規) | IP アドレスホワイトリストは、MongoDB インスタンスへのアクセスが許可されている IP アドレスのリストです。IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要でない限り、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスに高レベルのアクセスセキュリティを提供する必要があります。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データ転送には TLS を使用する必要がある | SLB サーバー証明書が 30 日以内に有効期限切れになる (モデル 2.0 で新規) | SLB が使用するサーバー証明書が 30 日以内に有効期限切れにならないようにして、証明書の有効期限切れによる転送暗号化の失敗を回避します。SLB サーバー証明書の残りの有効期間が 30 日以下の場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データストレージインスタンスはパブリックアクセスを避けるべき | OSS バケットが組織外のアカウントからのアクセスを許可している (モデル 2.0 で新規) | OSS バケットが組織内のアカウントからのみアクセスできるようにして、データ侵害のリスクを防ぎます。OSS バケットが組織外のアカウントからのアクセスを許可している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | VPC アクセストラフィックが VPC ファイアウォールによって完全に保護されていない (モデル 2.0 で新規) | すべての VPC アクセストラフィックは、内部ネットワークトラフィックからのリスクを軽減するために、Cloud Firewall の VPC ファイアウォールによって保護される必要があります。Cloud Firewall を使用しているが、一部の VPC アクセストラフィックが VPC ファイアウォールによって保護されていない場合、チェック項目はネットワークセキュリティのベストプラクティスに準拠していないと見なされます。 | 応急処置はサポートされていません。 | いいえ |
ホストの脆弱性 | ウイルス対策機能が有効になっていない (モデル 2.0 で新規) | ウイルススキャンを有効にすると、サーバーからさまざまな悪意のある脅威を効果的に駆除できます。主要なランサムウェア、DDoS トロイの木馬、マイニングプログラム、トロイの木馬、悪意のあるプログラム、バックドア、ワームに対して効果的な保護を提供します。Security Center Anti-virus (Enterprise または Ultimate Edition) を購入したが、定期的なウイルススキャンポリシーを構成していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall IPS で仮想パッチが有効になっていない (モデル 2.0 で新規) | Cloud Firewall の侵入防止システム (IPS) モジュールでは、仮想パッチを有効にする必要があります。Cloud Firewall は、一般的な高リスクおよび緊急の脆弱性に対してリアルタイムの保護を提供できます。仮想パッチは、リモートで悪用可能な高リスクおよび緊急の脆弱性に対してネットワークレイヤーで修正プログラムを提供します。脆弱性攻撃をリアルタイムで傍受し、ホストの脆弱性を修正する際のビジネスの中断を回避します。Cloud Firewall を使用しているが、この機能を有効にしていない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall の利用可能な権限付与数が不足している (モデル 2.0 で新規) | このチェック項目は、Cloud Firewall の仕様が利用可能な権限付与の観点から妥当であることを保証します。Cloud Firewall を使用しているが、インターネットファイアウォール保護のないパブリックアセットの数が利用可能な保護権限付与の数を超えている場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
アラート処理 | 保留中の Security Center アラートがある (モデル 2.0 で新規) | セキュリティアラートイベントは、Security Center がサーバーまたはクラウドプロダクトで検出した脅威です。Web 改ざん防止、プロセス異常、Webshell、異常ログイン、悪意のあるプロセスなどのアラートタイプをカバーしています。アラートを迅速に処理することで、資産のセキュリティ体制を向上させることができます。未処理のアラート数が 0 より大きい場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | Web サイトの DDoS インテリジェント保護が厳格モードに設定されている (モデル 2.0 で新規) | インテリジェント保護は、Web サイトのセキュリティを強化することを目的としています。ただし、ポリシー構成で厳格モードを有効にすると、ビジネスにいくつかの誤検知が発生する可能性があります。したがって、厳格モードは、パフォーマンスが低いか、保護が不十分な Web サイトに適しています。Web サイトドメイン名サービスには、一般的なレイヤー 4 攻撃に対する固有の保護がすでに備わっています。ほとんどの Web サイトサービスでは、インテリジェント保護で厳格モードを有効にしないでください。デフォルトの通常モードを使用して、保護効果と業務継続性のバランスを取ります。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall の ACL ポリシーが作成されていない (モデル 2.0 で新規) | ファイアウォールを有効にした後、アクセス制御ポリシーを構成しない場合、Cloud Firewall はポリシーマッチング段階ですべてのトラフィックをデフォルトで許可します。必要に応じて、さまざまなファイアウォールに対してトラフィックのブロックおよび許可ポリシーを構成して、資産への不正アクセスをより適切に制御できます。Cloud Firewall を使用しているが、アクセス制御ポリシーを作成していない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | NAT ゲートウェイが NAT ファイアウォールによって完全に保護されていない (モデル 2.0 で新規) | プライベートネットワークがインターネットにアクセスするリスクを軽減するために、すべての NAT Gateway インスタンスは Cloud Firewall NAT ファイアウォールによって保護される必要があります。Cloud Firewall を使用しているが、保護が有効になっていない NAT ゲートウェイがある場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall IPS でブロックモードが有効になっていない (モデル 2.0 で新規) | Cloud Firewall の侵入防止システム (IPS) モジュールは、悪意のあるトラフィックを傍受し、侵入活動をブロックするためにブロックモードで構成する必要があります。Cloud Firewall を使用しているが、この機能を有効にしていない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall IPS で脅威インテリジェンスが有効になっていない (モデル 2.0 で新規) | Cloud Firewall の侵入防止システム (IPS) モジュールでは、偵察脅威をスキャンし、コマンドアンドコントロールインテリジェンスブロッキングを提供するために、脅威インテリジェンス機能を有効にする必要があります。Cloud Firewall を使用しているが、この機能を有効にしていない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
監視と監査 | Cloud Firewall のログが 180 日以上収集および保存されていない (モデル 2.0 で新規) | Cloud Firewall はすべてのトラフィックを自動的に記録し、攻撃イベント、トラフィックの詳細、操作ログを便利にクエリするための視覚的なログ監査ページを提供します。これにより、攻撃のソースを追跡し、トラフィックをレビューすることが容易になります。デフォルトでは、Cloud Firewall は基本的な監査および分析のニーズを満たすために監査ログを 7 日間保存します。ただし、コンプライアンス要件をよりよく満たし、セキュリティを向上させるために、ログの保存期間を 180 日以上に延長することをお勧めします。サブスクリプション版の Cloud Firewall を購入したが、そのログを 180 日以上収集および保存していない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ホストの脆弱性 | 修正すべき脆弱性がある (モデル 2.0 で新規) | 脆弱性管理は、システム、ネットワーク、およびエンタープライズアプリケーションをネットワーク攻撃やデータ侵害から保護するための継続的でプロアクティブなプロセスです。潜在的なセキュリティの弱点に迅速に対処することで、攻撃を防ぎ、攻撃が発生した場合の損害を最小限に抑えることができます。Alibaba Cloud アカウントに修正すべき脆弱性が 0 より多い場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ビジネスリスク管理 | Web 改ざん防止が有効になっていない (モデル 2.0 で新規) | Web 改ざん防止機能は、Web サイトのディレクトリやファイルをリアルタイムで監視します。Web サイトが悪意を持って改ざんされた場合、この機能は改ざんされたファイルやディレクトリをバックアップから復元できます。これにより、Web サイトに違法な情報が注入されるのを防ぎ、その正常な運用を保証します。改ざん防止機能を購入したが、それにサーバーをバインドしていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ホストの脆弱性 | 修正すべきホストベースラインがある (モデル 2.0 で新規) | ウイルスやハッカーは、サーバー構成のセキュリティ脆弱性を悪用してデータを盗んだり、バックドアを仕掛けたりします。ベースラインチェック機能は、オペレーティングシステム、データベース、ソフトウェア、コンテナーなど、サーバー構成のセキュリティを検査します。特定されたベースラインリスクをタイムリーに修正することで、システムのセキュリティを強化し、侵入リスクを軽減し、セキュリティコンプライアンス要件を満たすのに役立ちます。Alibaba Cloud アカウントに未修正のベースラインリスクが 1 つ以上ある場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall IPS で基本保護が有効になっていない (モデル 2.0 で新規) | Cloud Firewall の侵入防止システム (IPS) モジュールでは、基本保護を有効にする必要があります。基本保護は、ブルートフォース攻撃の傍受、コマンド実行脆弱性の傍受、感染後のコマンドアンドコントロール (C&C) サーバーへの接続の制御など、基本的な侵入防止機能を提供します。これにより、資産に基本的な保護が提供されます。Cloud Firewall を使用しているが、この機能を有効にしていない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall の保護帯域幅が不足している (モデル 2.0 で新規) | このチェック項目は、Cloud Firewall の仕様が保護帯域幅の観点から妥当であることを保証します。Cloud Firewall を使用しているが、過去 30 日間の実際のピーク帯域幅が購入した保護帯域幅を超えている場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall にデフォルトの拒否ポリシーが構成されていない (モデル 2.0 で新規) | ネットワークセキュリティを確保するため、Cloud Firewall にはデフォルトの拒否ポリシー (インバウンド/アウトバウンドアクセスのソースと宛先の両方が 0.0.0.0/0 で、アクションが拒否である IPv4 アドレスポリシー) を構成する必要があります。明示的に許可された信頼できるトラフィック以外のすべてのトラフィックは、デフォルトでブロックされる必要があります。Cloud Firewall を使用しているが、デフォルトの拒否ポリシーを構成していない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall がすべてのパブリックアセットを保護していない (モデル 2.0 で新規) | このチェック項目は、すべてのパブリックアセットが Cloud Firewall によって保護されていることを保証します。Cloud Firewall を使用しているが、インターネットファイアウォール保護が有効になっていないパブリックアセットがある場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | Anti-DDoS Origin に対応する保護対象オブジェクトが追加されていない (モデル 2.0 で新規) | Anti-DDoS Origin または Anti-DDoS インスタンスを購入した後、DDoS 緩和機能を提供するために、パブリックアセットを保護対象オブジェクトとして追加する必要があります。そうしないと、保護が有効にならず、コストの無駄になります。 | 応急処置はサポートされていません。 | いいえ |
コンテナーの脆弱性 | コンテナイメージスキャンが構成されていない (モデル 2.0 で新規) | イメージにシステムまたはアプリケーションの脆弱性がある場合、または悪意のあるイメージに置き換えられた場合、問題のあるイメージから作成されたサービスには脆弱性があります。イメージリポジトリ内のイメージをスキャンすることで、セキュリティ担当者はスキャン結果を開発者にプッシュしてイメージの問題を修正し、ビジネスのセキュリティを確保できます。コンテナイメージスキャンを購入したが、設定でスキャン範囲を構成していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
アプリケーションランタイムセキュリティ | アプリケーション保護構成が作成されていない (モデル 2.0 で新規) | ランタイムで攻撃を検出してアプリケーションを保護することで、Java アプリケーションを効果的に保護し、0-day 脆弱性攻撃を防ぎ、アプリケーションにセキュリティ防御を提供できます。アプリケーション保護を購入したが、アプリケーション構成を作成していない (グループ数が 0) 場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ホストの脆弱性 | ランサムウェア対策ポリシーが有効になっていない (モデル 2.0 で新規) | ランサムウェアの侵入は、顧客のビジネスデータを暗号化し、ビジネスの中断、データ侵害、データ損失につながり、深刻なビジネスリスクをもたらします。ランサムウェア対策ポリシーを迅速に構成することで、これらのリスクを効果的に軽減できます。ランサムウェア対策機能を購入したが、保護ポリシーを作成していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク境界保護 | Cloud Firewall を使用してネットワークトラフィックを保護していない (モデル 2.0 で新規) | Alibaba Cloud Firewall は、クラウドプラットフォーム上の SaaS ファイアウォールです。インターネット境界、VPC 境界、および内部境界でクラウドネットワーク資産に統一されたセキュリティ分離と制御を提供します。これは、クラウド上のビジネスの最初のネットワーク防御ラインです。Cloud Firewall を使用していない場合、ネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
一元化されたマルチアカウント管理 | マルチアカウント ID を一元管理する | CloudSSO を使用すると、Alibaba Cloud を使用するエンタープライズユーザーを一元管理し、エンタープライズ ID 管理システムと Alibaba Cloud 間のシングルサインオンを構成し、リソースディレクトリ内のメンバーアカウントへのすべてのユーザーのアクセス権限を一元的に構成できます。90 日以上 CloudSSO を使用してログインしていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
一元化されたマルチアカウント管理 | マルチアカウント操作ログを一元的に収集する | デフォルトでは、ActionTrail は各 Alibaba Cloud アカウントのイベントを過去 90 日間のみ記録します。トレイルを作成すると、企業は操作記録を永続的に保存して、内部および外部のコンプライアンス要件を満たすことができます。マルチアカウントトレイルは、企業の管理者が企業内の複数のアカウントからのログを一元的に追跡および監査するのに役立ちます。マルチアカウントトレイルが検出されない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
一元化されたマルチアカウント管理 | マルチアカウント境界保護にコントロールポリシーを使用する | リソースディレクトリのコントロールポリシーにより、組織はメンバーアカウントがアクセスできる Alibaba Cloud サービスと操作を制限できます。これにより、メンバーアカウントの権限境界が一元管理され、組織全体が統一されたセキュリティおよびコンプライアンス基準に準拠することが保証されます。アカウントがカスタムアクセス制御ポリシーを作成し、それをリソースディレクトリのフォルダまたはメンバーにアタッチしていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定性
カテゴリ | チェック項目 | 説明 | 応急処置の説明 | 補助決定のサポート |
インスタンスタイプ | ECS リソースが高可用性インスタンスタイプを使用していない | 共有または廃止された ECS インスタンスタイプを使用すると、安定したコンピューティングパフォーマンスを保証できません。廃止または共有の ECS インスタンスファミリーを使用している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | Elasticsearch リソースが高可用性インスタンスタイプを使用していない | 1 vCPU と 2 GB のメモリを持つ Elasticsearch インスタンスはテストにのみ適しており、本番環境には適していません。1 vCPU と 2 GB のメモリを持つ Elasticsearch インスタンスを使用している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | RDS リソースが高可用性インスタンスタイプを使用していない | RDS Basic Edition インスタンスにはデータベースノードが 1 つしかなく、ホットバックアップ用のセカンダリノードがありません。そのため、ノードが予期せず障害を起こした場合や、インスタンスの再起動、構成の変更、バージョンのアップグレードなどのタスクが実行された場合、サービスは長時間利用できなくなります。さらに、RDS の共有および汎用インスタンスファミリーは、同じ物理サーバー上の他のインスタンスとリソースを共有するため、安定性要件の低いアプリケーションシナリオにのみ適しています。ビジネスでデータベースに高い可用性要件がある場合は、プロダクトシリーズに高可用性またはクラスターシリーズを、インスタンスファミリーに専用タイプを使用します。RDS プロダクトシリーズが高可用性またはクラスターでない場合、または RDS インスタンスファミリーが専用でない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | ACK リソースが高可用性インスタンスタイプにデプロイされていない。 | 元のマネージド版と比較して、ACK Pro マネージドクラスターは信頼性、セキュリティ、およびスケジューリング機能が強化されており、本番環境での大規模なビジネスに適しています。マネージドクラスターに Professional Edition を使用していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | Redis リソースが高可用性インスタンスタイプを使用していない | Redis Enterprise Edition は、より強力なパフォーマンス、より多くのデータ構造、およびより柔軟なストレージ方法を提供します。Redis Enterprise Edition を使用していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | MongoDB リソースが高可用性インスタンスタイプを使用していない | MongoDB がシングルノードアーキテクチャを使用している場合、障害回復時間が長く、SLA 保証がありません。マルチゾーン MongoDB インスタンスを使用していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | ONS リソースが高可用性インスタンスタイプを使用していない | RocketMQ の Standard Edition は共有インスタンスを使用しており、本番環境には推奨されません。共有 RocketMQ インスタンスを使用している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定版 | PolarDB リソースが安定版を使用していない | PolarDB データベースのマイナーバージョンが安定していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定版 | Redis リソースが安定版を使用していない | Redis インスタンスが最新のマイナーバージョンにアップグレードされていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定版 | ACK リソースが安定版を使用していない | ACK クラスターが最新バージョンにアップグレードされていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定版 | MSE エンジンバージョンにリスクがある (モデル 2.0 で新規) | 最新の MSE エンジンバージョンを使用することは、MSE サービスの継続性を確保するための鍵です。古いエンジンバージョンは、GC 障害を引き起こすコードの欠陥、継続的なメモリ増加につながるメモリオーバーフロー、遅い起動速度、JSON シリアル化の欠陥などの問題につながる可能性があります。MSE-ZK または MSE-Ans エンジンバージョン、または MSE-Ans クライアントバージョンが低すぎる場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定版 | Elasticsearch リソースが安定版を使用していない | Elasticsearch インスタンスが推奨されていないバージョンを使用している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定版 | ECS リソースが安定版を使用していない | ECS インスタンスがサポートされなくなったオペレーティングシステムバージョンを使用している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定版 | MSE-Ingress ゲートウェイバージョンにセキュリティまたは安定性のリスクがある (モデル 2.0 で新規) | 最新バージョンの Ingress を使用することは、ゲートウェイサービスの継続性を確保するための鍵です。古いバージョンは、セキュリティまたは安定性のリスクをもたらし、Nacos サービスをサブスクライブする際に不正確なインスタンスリストを引き起こす可能性があります。MSE-Ingress バージョンが低すぎる場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
有効期限切れのリスク | DDoS リソースに有効期限切れのリスクがある | DDoS インスタンスが 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション DDoS インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | EIP リソースに有効期限切れのリスクがある | サブスクリプション EIP インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション EIP インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | CEN リソースに有効期限切れのリスクがある | Cloud Enterprise Network 帯域幅プランが 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション CEN インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | RDS リソースに有効期限切れのリスクがある | サブスクリプション RDS インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション RDS インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | ADB リソースに有効期限切れのリスクがある | AnalyticDB for MySQL Data Warehouse Edition インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション ADB インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | PolarDB リソースに有効期限切れのリスクがある | サブスクリプション PolarDB インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション PolarDB インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | Bastionhost リソースに有効期限切れのリスクがある | Bastionhost インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション Bastionhost インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | SLB リソースに有効期限切れのリスクがある | サブスクリプション SLB インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション SLB インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | Redis リソースに有効期限切れのリスクがある | サブスクリプション Redis インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション Redis インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | MongoDB リソースに有効期限切れのリスクがある | サブスクリプション MongoDB インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション MongoDB インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | DRDS リソースに有効期限切れのリスクがある | PolarDB-X 1.0 または PolarDB-X 2.0 インスタンスが 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
有効期限切れのリスク | CBWP リソースに有効期限切れのリスクがある | 共有帯域幅インスタンスが 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した CBWP リソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | ECS リソースに有効期限切れのリスクがある | サブスクリプション ECS インスタンスがチェック時から 30 日以内に有効期限切れになり、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション ECS インスタンスリソースの自動更新が有効になります。 | いいえ |
削除保護 | EIP リソースで削除保護が有効になっていない | EIP インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | PolarDB リソースでクラスターロックが有効になっていない | PolarDB インスタンスでクラスターロックが有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | MongoDB リソースで削除保護が有効になっていない | MongoDB インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
削除保護 | ALB リソースで削除保護が有効になっていない | ALB インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | ACK リソースで削除保護が有効になっていない | ACK クラスターで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | RDS リソースで削除保護が有効になっていない | RDS インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | SLB リソースで削除保護が有効になっていない | SLB インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | ECS リソースで削除保護が有効になっていない | ECS インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | Redis リソースで削除保護が有効になっていない | Redis インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインからリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
変更管理 | RDS リソースのメンテナンスウィンドウが不合理である | RDS インスタンスのメンテナンスウィンドウが 02:00-06:00 または 06:00-10:00 の範囲内にない場合、非準拠と見なされます。 | この修正は、選択したインスタンスのメンテナンスウィンドウを一様に変更します。ベストプラクティスに基づいて推奨されるメンテナンスウィンドウが提案されます。ビジネスニーズに基づいてこのパラメーターを変更できます。 | いいえ |
変更管理 | PolarDB リソースのメンテナンスウィンドウが不合理である | PolarDB クラスターのメンテナンスウィンドウが 02:00-04:00 または 06:00-10:00 の範囲内にない場合、非準拠と見なされます。 | この修正は、選択したインスタンスのメンテナンスウィンドウを一様に変更します。ベストプラクティスに基づいて推奨されるメンテナンスウィンドウが提案されます。ビジネスニーズに基づいてこのパラメーターを変更できます。 | いいえ |
変更管理 | ECS リソースのメンテナンスウィンドウが不合理である | ECS インスタンスのスナップショットを作成すると、そのブロックストレージの I/O パフォーマンスが一時的に低下します。自動スナップショットポリシーのスナップショット作成時間が 01:00 または 02:00 に設定されていない場合、インスタンスは非準拠と見なされます。 | この修正は、選択したスナップショットポリシーの自動作成時間を一様に変更して、スナップショット時間が妥当な範囲内にあり、ビジネスへの影響を回避するようにします。作成時間はベストプラクティスに基づいて推奨されます。ビジネスニーズに基づいてこのパラメーターを変更できます。 | いいえ |
変更管理 | Redis リソースのメンテナンスウィンドウが不合理である | Redis インスタンスの自動バックアップ時間帯が 04:00-05:00、05:00-06:00、または 12:00-13:00 の範囲内にない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
変更管理 | ADB リソースのメンテナンスウィンドウが不合理である | ADB クラスターのメンテナンスウィンドウが 02:00-04:00、06:00-08:00、または 12:00-13:00 の範囲内にない場合、非準拠と見なされます。 | この修正は、選択したインスタンスのメンテナンスウィンドウを一様に変更します。ベストプラクティスに基づいて推奨されるメンテナンスウィンドウが提案されます。ビジネスニーズに基づいてこのパラメーターを変更できます。 | いいえ |
データバックアップ | ECI リソースにデータバックアップが構成されていない | ECI コンテナグループにデータボリュームがマウントされていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データバックアップ | Redis リソースにデータバックアップが構成されていない | Tair タイプの Redis インスタンスで増分バックアップが有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データバックアップ | Elasticsearch リソースにデータバックアップが構成されていない | Elasticsearch インスタンスで自動バックアップが有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データバックアップ | MongoDB リソースでログバックアップが有効になっていない | MongoDB インスタンスでログバックアップが有効になっていない場合、非準拠と見なされます。 | この修正により、選択した MongoDB クラスターのログバックアップが有効になり、デフォルトの保存期間は 7 日間になります。 | いいえ |
データバックアップ | AnalyticDB for MySQL でログバックアップが有効になっていない | ADB クラスターでログバックアップが有効になっていない場合、非準拠と見なされます。 | この修正により、選択した AnalyticDB for MySQL クラスターのログバックアップが有効になり、デフォルトの保存期間は 7 日間になります。 | いいえ |
データバックアップ | RDS リソースでログバックアップが有効になっていない | RDS インスタンスでログバックアップが有効になっていない場合、非準拠と見なされます。 | この修正により、選択した RDS インスタンスのログバックアップが有効になり、デフォルトの保存期間は 7 日間になります。 | いいえ |
データバックアップ | OSS バケットでバージョン管理が有効になっていない | OSS インスタンスでバージョン管理が有効になっていない場合、データが上書きまたは削除されたときに回復できません。バージョン管理が有効になっていない OSS インスタンスは、非準拠と見なされます。 | この修正により、選択した OSS インスタンスのバージョン管理が有効になります。バージョン管理を有効にすると、バケット内のオブジェクトは上書きまたは削除されたときに以前のバージョンとして保存されます。誤ってオブジェクトを上書きまたは削除した場合、バケット内のオブジェクトを以前のバージョンのいずれかに復元できます。 | いいえ |
データバックアップ | PolarDB リソースにデータバックアップが構成されていない | PolarDB クラスターでレベル 2 バックアップが有効になっておらず、保持期間が 30 日以上でない場合、非準拠と見なされます。 | この修正は、選択した PolarDB クラスターのレベル 2 バックアップサイクルと保持期間 (デフォルトは 30 日) を設定します。現在レベル 2 バックアップが有効になっていない場合は、自動的に有効になります。 | いいえ |
ホストスナップショット | ECS リソースでホストスナップショットが有効になっていない | ECS ディスクに自動スナップショットポリシーが構成されていない場合、非準拠と見なされます。 | この修正により、選択した ECS ディスクインスタンスに指定されたスナップショットポリシーが有効になります。各リージョンのスナップショットポリシーは独立しているため、選択したディスクが配置されているリージョンに同じ名前のポリシーが存在する場合、既存のポリシーが使用されます。それ以外の場合は、新しいスナップショットポリシーが作成されます。 | いいえ |
マルチゾーンアーキテクチャ | Elasticsearch リソースがマルチゾーンアーキテクチャを使用していない | Elasticsearch インスタンスがマルチゾーンデプロイメントを使用していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Redis リソースがマルチゾーンアーキテクチャを使用していない | Redis インスタンスがマルチゾーンデプロイメントを使用していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | RDS リソースがマルチゾーンアーキテクチャを使用していない | RDS インスタンスがマルチゾーンデプロイメントを使用していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MSE 関連コンポーネントがシングルゾーンデプロイメントのリスクにさらされている (モデル 2.0 で新規) | 安定性を向上させるために、MSE 関連コンポーネントをマルチゾーンアーキテクチャにデプロイします。MSE 関連コンポーネントがシングルゾーンにデプロイされている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | OSS リソースがマルチゾーンアーキテクチャを使用していない | OSS バケットでゾーン冗長ストレージが有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MongoDB リソースがマルチゾーンアーキテクチャを使用していない | マルチゾーンデプロイメントを使用していない MongoDB インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MSE ゲートウェイがシングルゾーンアーキテクチャのためにリスクにさらされている (モデル 2.0 で新規) | 現在、ゲートウェイのすべてのインスタンスレプリカは同じゾーンにデプロイされています。このデプロイメントには高可用性がなく、極端な場合にはビジネスに影響が及ぶ可能性があります。ゲートウェイインスタンスを複数のゾーンに分散させるために、できるだけ早く新しいバージョンにアップグレードしてください。MSE Ingress ゲートウェイコンポーネントがシングルゾーンアーキテクチャである場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | SLB リソースがマルチゾーンアーキテクチャを使用していない | SLB インスタンスが単一ゾーンにある場合、または SLB インスタンスのリスナーが使用するサーバーグループに複数ゾーンのリソースが追加されていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | PolarDB リソースがマルチゾーンアーキテクチャを使用していない | PolarDB クラスターでストレージホットスタンバイクラスターが有効になっておらず、データが単一ゾーンに分散している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | CEN リソースがクラスターアーキテクチャを使用していない | CEN インスタンスに関連付けられた仮想ボーダールーター (VBR) にヘルスチェックが構成されていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | ACK クラスターが単一点デプロイメントのリスクにさらされている (モデル 2.0 で新規) | リージョンクラスターを使用すると、クロスリージョンディザスタリカバリを実現できます。ACK クラスターがリージョンクラスターでない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | PolarDB リソースがクラスターアーキテクチャを使用していない | 使用されている PolarDB プロダクトシリーズが Cluster Edition または Multi-master Cluster Edition でない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | MSE ゲートウェイが単一点デプロイメントのリスクにさらされている (モデル 2.0 で新規) | スタンドアロンインスタンスにはアーキテクチャ上のリスクがあります。単一障害点により、サービスが利用できなくなる可能性があります。2 つ以上のノードにスケールアウトする必要があります。MSE Ingress コンポーネントが単一ノードとしてデプロイされている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | MSE 関連リソースが単一点デプロイメントのリスクにさらされている (モデル 2.0 で新規) | MSE ZK コンポーネントについては、3 つ以上のノードにスケールアウトする必要があります。Nacos-Ans コンポーネントについては、3 つ以上のノードにスケールアウトする必要があります。MSE 関連コンポーネントが単一ノードとしてデプロイされている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
監視検出 | コアクラウドプロダクトリソースに監視アラートルールが構成されていない | 完全なリソース監視カバレッジを達成することは、業務継続性を確保するための基本です。クラウドプロダクトリソースにアラートルールを構成することは、それらを監視するために必要なステップです。クラウドプロダクトリソースがどのアラートルールにもカバーされていない場合、非準拠と見なされます。 | この修正は、CloudMonitor が構成されていないクラウドリソースタイプに対して、ベストプラクティスに基づいてアラートルールを自動的に有効にします。デフォルトでは、通知は「Alibaba Cloud アカウントアラート連絡先」タイプの受信者に送信されます。設定が正しいことを確認できます。ルールを有効にした後、CloudMonitor の ワンクリックアラート機能でステータスを表示したり、アラートパラメーターを更新したりできます。 | いいえ |
監視検出 | ACK クラスターに Prometheus モニタリングが構成されていない | ACK クラスターを監視に接続すると、開発者や O&M エンジニアが、インフラストラクチャ層やコンテナーパフォーマンス層を含むシステムの実行状態を表示するのに役立ちます。すべての ACK クラスターで、「Alibaba Cloud Prometheus モニタリングを有効にする」が構成されていない場合、クラスターは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
監視検出 | ACK クラスターにアプリケーション監視が構成されていない | 分散およびマイクロサービスアプリケーションの場合、Application Real-Time Monitoring Service (ARMS) に接続して、フルリンクトレーシングとコードレベルのリアルタイムパフォーマンス監視を行うことができます。これにより、O&M エンジニアはアプリケーションの正常性を常に把握できます。Container Service for Kubernetes または Elastic Compute Service にデプロイされたアプリケーションが ARMS に接続されていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
監視とアラート | アラートルールからの継続的なアラートが迅速に処理されていない | 継続的にアラート状態にあるアラートルールには、注意とガバナンスが必要です。通常、問題を迅速に解決して監視メトリックを通常のレベルに戻すか、実際の状況に基づいてアラートルールを調整する必要があります。これにより、多くのアラートやアラート疲労によって引き起こされる通常の監視および O&M 作業への干渉を回避できます。CloudMonitor で設定されたすべてのアラートルールについて、ルールが 24 時間以上アラート状態のままである場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
監視とアラート | 優先度の高いアラートルールが構成されていない | 効果的なアラートルールを構成すると、ビジネスシステムが運用上の期待を満たさない場合にタイムリーな通知が提供され、迅速な緊急対応が可能になります。ARMS でアプリケーション監視または Prometheus モニタリングの P1 レベルのアラートルールが構成されていない場合、または対応する通知ポリシーが構成されていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
監視とアラート | 優先度の高いアラートが指定された時間 (30 分) 内に処理されていない | MTTx (MTTR: 平均回復時間など、X までの平均時間) メトリックは、アラート処理効率の重要な指標です。優先度の高いアラートにタイムリーに対応することで、アラートや障害の回復効率を効果的に向上させ、ビジネスシステムのサービス品質を向上させることができます。アプリケーション監視または Prometheus モニタリングの P1 レベルのアラートルールが構成されていない場合、または ARMS で 30 分以内に解決されないアラート (保留中、進行中、または 30 分以上経過後に解決済み) がある場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
一元化されたマルチアカウント管理 | Alibaba Cloud アカウント間で ARMS リソースを一元的に監視する | グローバル集約インスタンスを作成して、アカウント間で統一された監視を実現します。現在のアカウントが ARMS を使用しているが、globalview インスタンスを作成していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
一元化されたマルチアカウント管理 | 複数のアカウントの統一されたリソース構成チェックを有効にする | 現在のアカウントは、次の 2 つの条件を満たさない場合、非準拠と見なされます: 1. アカウントグループが存在し、その下にルールが作成されている。2. 非準拠イベントが SLS に配信される。 | 応急処置はサポートされていません。 | いいえ |
インスタンス容量 | MSE 関連コンポーネントに容量リスクがある (モデル 2.0 で新規) | リソース容量が妥当な範囲内に収まるようにします。容量制限を超えると、安定性のリスクにつながる可能性があります。MSE に関連するメトリックが容量制限を超えている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
異常イベント監視 | 支払い遅延またはセキュリティブロックによりシャットダウンされた ECS インスタンスがある (モデル 2.0 で新規) | ECS インスタンスの受動的なシャットダウンは、サービスの中断、データ損失、およびデータの一貫性の欠如を引き起こし、システムのパフォーマンスに影響を与えたり、セキュリティの脆弱性を作成したりする可能性があります。現在のアカウントに、支払い遅延またはセキュリティブロックによりシャットダウンされた ECS インスタンスがある場合、リスクと見なされます。 | 応急処置はサポートされていません。 | いいえ |
異常イベント監視 | 保留中の O&M イベントがある ECS インスタンスがある (モデル 2.0 で新規) | ECS インスタンスのスケジュールされた O&M イベントにタイムリーに対応して処理しないと、ピークビジネス時間中にインスタンスが再起動し、その上のサービスの安定性に影響を与える可能性があります。現在のアカウントに保留中の ECS O&M イベント (照会中、スケジュール済み、または実行中のステータス) がある場合、リスクと見なされます。 | 応急処置はサポートされていません。 | いいえ |
コスト
カテゴリ | チェック項目 | 説明 | 応急処置の説明 | 補助決定のサポート |
リソースコストの最適化 | RDS インスタンスのリソース使用率が長期間低い (モデル 2.0 で新規) | RDS インスタンスのリソース使用率を妥当なレベルに維持することは、クラウドコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の RDS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、RDS インスタンスのコストをコントロールします。RDS インスタンスの CPU 使用率、メモリ使用量、およびディスク使用率が 30 日間継続して 3% 未満である場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | ECS インスタンスのリソース使用率が長期間低い (モデル 2.0 で新規) | ECS インスタンスのリソース使用率を妥当なレベルに維持することは、クラウドコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の ECS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、ECS インスタンスのコストをコントロールします。ECS インスタンスの CPU とメモリの両方の使用率が 30 日間継続して 3% 未満である場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | ECS ディスクのリソース使用率が長期間低い (モデル 2.0 で新規) | ECS インスタンスのリソース使用率を妥当なレベルに維持することは、クラウドコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の ECS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、ECS インスタンスのコストをコントロールします。ECS ディスクの使用率が 30 日間継続して 3% 未満である場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | RDS インスタンスディスクのリソース使用率が長期間低い (モデル 2.0 で新規) | RDS インスタンスのリソース使用率を妥当なレベルに維持することは、クラウドコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の RDS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、RDS インスタンスのコストをコントロールします。RDS ディスクの使用率が 30 日間継続して 3% 未満である場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | EIP リソースがアイドル状態である | EIP がリソースインスタンスにバインドされておらず、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | VPC NAT リソースがアイドル状態である | VPC NAT ゲートウェイが EIP にバインドされていない場合、またはバインドされた EIP に SNAT または DNAT エントリがなく、ゲートウェイが 7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | SLB リソースがアイドル状態である | SLB インスタンスに実行中のリスナーがなく、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | ECS インスタンスにサブスクリプションまたは節約プランを使用する (モデル 2.0 で新規) | 長期間安定して使用されるリソースには、サブスクリプションプランを使用します。通常、サブスクリプション ECS インスタンスのコストは、従量課金インスタンスのコストよりも低くなります。節約プランは、一定期間にわたる安定したリソース使用量のコミットメントと引き換えに、より低い従量課金レートを提供する割引プランです。ECS インスタンスが従量課金方式を使用し、節約プランに含まれていない場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | ECS リソースがアイドル状態である | ECS インスタンスが停止状態で、停止したインスタンスの節約モードが有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | CR リソースがアイドル状態である | コンテナイメージインスタンスが名前空間またはイメージリポジトリを作成しておらず、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | VPN リソースがアイドル状態である | VPN ゲートウェイが宛先ベースルートを構成していないか、ルート自動伝播を有効にしておらず、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | NAS リソースがアイドル状態である | NAS ファイルシステムにマウントポイントがなく、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | RDS インスタンスにサブスクリプションプランを使用する (モデル 2.0 で新規) | 長期間安定して使用されるリソースには、サブスクリプションプランを使用します。通常、サブスクリプション RDS インスタンスのコストは、従量課金インスタンスのコストよりも低くなります。RDS インスタンスが従量課金方式を使用している場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | ALB リソースがアイドル状態である | ALB インスタンスにバックエンドサーバーが追加されていないリスナーがあり、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | NAT リソースがアイドル状態である | NAT ゲートウェイが EIP にバインドされていない場合、またはバインドされた EIP に SNAT または DNAT エントリがなく、ゲートウェイが 7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | CBWP リソースがアイドル状態である | 共有帯域幅インスタンスがリソースにバインドされておらず、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | ECS ディスクがアイドル状態である | ディスクが使用されておらず、7 日以上前に作成された場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
リソースコストの最適化 | 「リソースアイドル検出のベストプラクティス」コンプライアンスパッケージが有効になっていない | Cloud Config でリソースアイドル検出コンプライアンスパッケージが有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コスト配分と分析 | ACK クラスターでコスト管理スイートが有効になっていない (モデル 2.0 で新規) | 従来の方法では、クラウドネイティブシナリオにおける効果的なコストの洞察と制御が欠けています。コスト管理スイートは、リソースの無駄のチェックやリソースコストの予測などの機能を提供します。ACK クラスターでコスト管理スイートが有効になっていない場合、ベストプラクティスに従っていません。 | 応急処置はサポートされていません。 | いいえ |
効率
カテゴリ | チェック項目 | 説明 | 応急処置の説明 | 補助決定のサポート |
自動化レベル | 非推奨の Redis API の呼び出し (2.0 モデルで追加) | 非推奨の Redis API はメンテナンスされなくなりました。これらは不安定であり、新しい特徴をサポートしていません。過去 30 日間に非推奨の Redis API を呼び出すことは、非準拠です。 | サポートされていません | いいえ |
自動化レベル | 非推奨の ECS API の呼び出し (モデル 2.0 で追加) | 非推奨の ECS API はメンテナンスされなくなりました。これにより、安定性のリスクが生じ、新機能を使用できなくなります。過去 30 日以内に非推奨の ECS API が呼び出された場合、非準拠と見なされます。 | 現在、応急処置は利用できません。 | いいえ |
自動化レベル | ユーザーが非推奨の CEN API を呼び出す (2.0 モデルで追加) | 非推奨の CEN API は、もはやメンテナンスされていません。これにより、安定性に関するリスクが生じ、新機能へのアクセスが妨げられます。過去 30 日以内に非推奨の CEN API を呼び出すと、コンプライアンス違反となります。 | クイックフィックスはサポートされていません。 | いいえ |
自動化レベル | ユーザーが非推奨の PolarDB API (2.0 モデルで追加) を呼び出す | 非推奨の PolarDB API はメンテナンスされなくなりました。これらは安定性のリスクをもたらし、新機能の使用を妨げます。過去 30 日間に非推奨の PolarDB API を呼び出すと、非準拠となります。 | 応急処置はサポートされていません。 | いいえ |
自動化レベル | 非推奨の VPC API の呼び出し (モデル 2.0 で追加) | 非推奨の VPC API はメンテナンスされなくなりました。安定性のリスクをもたらし、新しい特徴をサポートしません。過去 30 日以内の非推奨の VPC API の呼び出しは、非準拠と見なされます。 | 現在、応急処置はサポートされていません。 | いいえ |
自動化レベル | 非推奨の RocketMQ API の使用 (2.0 モデルで追加) | 非推奨の RocketMQ API はメンテナンスされなくなり、安定性のリスクをもたらし、新機能の使用を妨げます。過去 30 日以内に非推奨の RocketMQ API を呼び出すことは、非準拠です。 | 応急処置は利用できません。 | いいえ |
自動化レベル | 非推奨の NAS API の使用 (2.0 モデルで追加) | 非推奨の NAS API はメンテナンスされなくなりました。これにより、安定性の脅威が生じ、新しい特徴を使用できなくなります。過去 30 日以内に非推奨の NAS API が呼び出された場合、非準拠と見なされます。 | サポートされていません | いいえ |
自動化レベル | 非推奨の CDN API の呼び出し (2.0 モデルで追加) | 非推奨の CDN API はメンテナンスされなくなったため、安定性のリスクをもたらし、新機能の使用を妨げます。過去 30 日以内の非推奨の CDN API の呼び出しは、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
自動化レベル | ユーザーが非推奨の RDS API を呼び出します (モデル 2.0 で追加) | 非推奨の RDS API はメンテナンスされなくなりました。これにより、安定性のリスクが生じ、新機能を使用できなくなります。過去 30 日以内に行われた非推奨の RDS API の呼び出しは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
自動化レベル | 非推奨の ACK API の使用 (Model 2.0 の新機能) | 非推奨の ACK API はメンテナンスされなくなりました。これにより、安定性のリスクが生じ、新機能を使用できなくなります。過去 30 日以内に非推奨の ACK API を呼び出すと、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
自動化レベル | 非推奨の SLB API の使用 (モデル 2.0 の新機能) | 非推奨の SLB API はメンテナンスされなくなり、安定性のリスクをもたらし、新機能の使用を妨げます。過去 30 日間に非推奨の SLB API の呼び出しがあった場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
自動化レベル | ユーザーが非推奨の ALB API を呼び出す (2.0 モデルで追加) | 非推奨の ALB API はメンテナンスされなくなり、安定性のリスクをもたらし、新しい機能の使用を妨げます。過去 30 日間に非推奨の ALB API の呼び出しがあった場合、非準拠と見なされます。 | 非対応 | いいえ |
自動化レベル | 自動化されたメソッドを使用してリソースをコントロールします。 | 過去 30 日間にわたって、SDK、Terraform、Cloud Control API、CADT、ROS、Service Catalog などの自動化ツールを使用して行われた OpenAPI 呼び出しが 100% 未満の場合、構成は非準拠と見なされます。 | 応急処置は利用できません。 | いいえ |
自動化レベル | 日常的なリソースのプロビジョニングに自動化されたメソッドを使用します。 | 過去 1 年間にコンソールの外部で OpenAPI を呼び出して作成されたリソースの割合が 100% 未満の場合、構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
自動化レベル | 継続的なリソース管理には、自動化された方法を使用します。 | 過去 30 日間に、継続的なリソース管理のためにコンソール外で行われた OpenAPI 呼び出しの割合が 100% 未満の場合、リソースは非準拠となります。 | クイック修正はサポートされていません。 | いいえ |
自動化品質 | RDS OpenAPI 呼び出しはスロットルされるリスクがあります (2.0 モデルで追加) | スロットルされた API 呼び出しは失敗し、ビジネスの安定性に影響を与える可能性があります。API 呼び出しは、過去 7 日以内にスロットルされた場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
自動化の品質 | NAS OpenAPI 呼び出しのスロットルのリスク (モデル 2.0 で新規) | スロットルは API 呼び出しの失敗を引き起こし、ビジネスの安定性に影響を与える可能性があります。過去 7 日以内に異常なスロットルが発生した場合、その API 呼び出しは非準拠と見なされます。 | 応急処置は利用できません。 | いいえ |
自動化の品質 | ECS OpenAPI 呼び出しのスロットルのリスク (モデル 2.0 の新機能) | スロットルは API 呼び出しの失敗を引き起こし、ビジネスの安定性に影響を与える可能性があります。過去 7 日以内にスロットルされた API 呼び出しは、非準拠と見なされます。 | 応急処置は利用できません。 | いいえ |
自動化の品質 | VPC OpenAPI 呼び出しがスロットルされるリスクがあります (モデル 2.0 の新機能) | スロットルにより API 呼び出しが失敗する可能性があります。呼び出しが失敗すると、ビジネスの安定性に影響を与える可能性があります。過去 7 日間にスロットルの例外が発生した API 呼び出しは、非準拠と見なされます。 | 応急処置は利用できません。 | いいえ |
自動化の品質 | Redis OpenAPI 呼び出しはスロットルされるリスクがあります (モデル 2.0 の新機能) | スロットリングされた API 呼び出しは失敗する可能性があり、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、そのリソースは準拠していないと見なされます。 | 応急処置は利用できません。 | いいえ |
自動化の品質 | ALB OpenAPI 呼び出しはスロットルされるリスクがあります (2.0 モデルで追加) | スロットリングされた API 呼び出しは失敗する可能性があり、ビジネスの安定性に影響を与える可能性があります。過去 7 日以内に API 呼び出しで異常なスロットリングが発生した場合、構成は非準拠と見なされます。 | サポートされていません | いいえ |
自動化品質 | SLB OpenAPI 呼び出しはスロットルされるリスクがあります (モデル 2.0 で新規) | API 呼び出しをスロットルすると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、その項目は非準拠と見なされます。 | 現在、応急処置は利用できません。 | いいえ |
自動化品質 | CEN OpenAPI 呼び出しはスロットルされるリスクがあります (モデル 2.0 の新機能) | API 呼び出しがスロットルされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
自動化の品質 | RocketMQ OpenAPI 呼び出しはスロットルされるリスクがあります (モデル 2.0 で新規) | スロットリングにより、API 呼び出しが失敗する可能性があります。これはビジネスの安定性に影響を与える可能性があります。過去 7 日間に異常なスロットリングが発生した場合、その API 呼び出しは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
自動化品質 | ACK OpenAPI 呼び出しはスロットルされるリスクがあります (2.0 モデルで追加) | スロットリングにより API 呼び出しが失敗し、ビジネスの安定性に影響が及ぶ可能性があります。過去 7 日間に API 呼び出しがスロットリングされた場合、このチェックは非準拠と見なされます。 | 応急処置は利用できません。 | いいえ |
自動化の品質 | PolarDB OpenAPI 呼び出しは、スロットルされるリスクがあります (2.0 モデルで追加) | スロットリングにより API 呼び出しが失敗し、ビジネスの安定性に影響が及ぶ可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、サービスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
自動化の品質 | CDN API トラフィックは正常範囲内です (2.0 モデルで新規) | API 呼び出しをスロットリングすると、呼び出しが失敗し、ビジネスの安定性に影響する可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、これは非準拠と見なされます。 | 応急処置は利用できません。 | いいえ |
自動化の品質 | ACK クォータ飽和のリスク (モデル 2.0 の新機能) | リソースの作成または変更、あるいはプロダクトの機能の使用は、エラーの原因となることがあります。リソースクォータ項目が高い使用率を示し、過去 7 日以内に quota_exceed エラーをトリガーした場合、リスクとしてフラグが立てられます。 | 応急処置は利用できません。 | いいえ |
自動化の品質 | CDN クォータ飽和のリスク (モデル 2.0 で追加) | プロダクトリソースの作成または変更、あるいはプロダクト機能の使用によって、エラーが発生する可能性があります。プロダクトに高い使用率のリソースクォータがあり、かつ過去 7 日以内に quota_exceed エラーを受信した場合、脅威が存在します。 | クイック修正はサポートされていません。 | いいえ |
自動化品質 | ECS クォータ逼迫のリスク (モデル 2.0 の新機能) | プロダクトリソースの作成または変更時、あるいはプロダクトの機能を使用する際にエラーが発生することがあります。過去 7 日以内にプロダクトでリソースクォータの高い使用率と `quota_exceed` エラーの両方が発生した場合、脅威が存在すると見なされます。 | サポートされていません | いいえ |
自動化の品質 | VPC クォータに飽和リスクがあります (モデル 2.0 で追加) | リソースを作成または変更したり、プロダクトの機能を使用したりすると、エラーが発生することがあります。リソースクォータの使用率が高く、過去 7 日以内に quota_exceed エラーを受信した場合、脅威が存在します。 | サポートされていません | いいえ |
自動化の品質 | SLB クォータ飽和のリスク (モデル 2.0 で追加) | プロダクトリソースを作成または変更したり、プロダクトの機能を使用したりすると、エラーが発生する可能性があります。リソースクォータ項目の使用率が高く、過去 7 日以内に `quota_exceed` エラーをトリガーした場合、脅威が存在します。 | サポートされていません | いいえ |
自動化の品質 | CEN クォータ飽和の脅威 (モデル 2.0 で追加) | プロダクトリソースを作成または変更したり、プロダクトの特徴を使用したりすると、エラーが発生することがあります。プロダクトに、使用率の高いリソースクォータがあり、過去 7 日間に quota_exceed エラーがトリガーされている場合、そのプロダクトはリスクがあると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
自動化品質 | リソース変更 API 呼び出しの成功率が 100% に達していません。 | 過去 30 日間における自動インフラストラクチャ変更の成功率が 100 % 未満の場合、コンプライアンス違反となります。これらの変更には、OpenAPI、Cloud Control API、SDK、Terraform などのツールが使用されます。 | サポートされていません | いいえ |
自動化の品質 | リソース作成 API 呼び出しの成功率が 100% 未満 | 過去 30 日間で、自動化 (OpenAPI、Cloud Control API、SDK、Terraform など) を使用したインフラストラクチャリソースの作成成功率が 100% 未満の場合は、非準拠と見なされます。 | サポートされていません | いいえ |
自動化の品質 | 診断ツールを使用してエラーを監視および診断しない (2.0 モデルで削除) | 過去 1 年間、OpenAPI Portal で Request ID を使用してコアプロダクトのエラーを自己診断していない場合、非準拠と見なされます。 | サポートされていません | いいえ |
自動化の品質 | Quota Platform を使用してクォータが表示または調整されませんでした (2.0 モデルで削除) | 過去 1 年以内に quota プラットフォームでコアプロダクトのクォータを表示していない、またはセルフサービスリクエスト機能を使用していない場合、アカウントは非準拠と見なされます。 | サポートされていません | いいえ |
自動化の品質 | API 呼び出しはスロットリング例外のリスクがあります (モデル 2.0 で削除) | 過去 7 日間に API 呼び出しがスロットルされた場合、この項目は非準拠です。 | サポートされていません | いいえ |
自動化の品質 | クラウドプロダクトのリソースクォータには飽和リスクがあります (2.0 モデルで削除済み) | プロダクトのリソースクォータの使用率が高く、かつ過去 7 日以内に quota_exceed エラーが発生した場合、脅威が特定されます。 | サポートされていません | いいえ |
統一コントロール | アカウントはリソースディレクトリによって管理されていません。 | 複数のアカウントの一元管理により、権限、セキュリティ、およびコストが向上します。現在のアカウントがリソースディレクトリに属していない場合、非準拠と見なされます。 | サポートされていません | いいえ |
統合コントロール | リソースグループまたはタグは、コストセンターの割り当てには使用されません (2.0 モデルで削除済み) | コスト配分は、企業の財務におけるコストの可視化、予算編成、およびコストの最適化の基盤です。リソースグループまたはタグに関連付けられていないコストセンターは、非準拠です。 | サポートされていません | いいえ |
リソースのグループ化と隔離 | リンクされたインスタンスは、異なるリソースグループに分割されます (モデル 2.0 の新機能)。 | 関連付けられたリソースが同じリソースグループに配置されていない場合、そのグループに基づく権限、財務、および O&M の管理では、すべてのターゲットリソースをカバーできません。同じカスタムリソースグループにない関連付けられたリソースは、準拠していないと見なされます。 | サポートされていません | いいえ |
リソースのグループ化と隔離 | 組織は、複数のアカウントを使用してリソースを管理しません。 | Alibaba Cloud アカウントは、いくつかの主要な機能を果たします。各アカウントは、完全に隔離されたテナントです。デフォルトでは、そのリソースアクセス、ネットワークデプロイメント、および ID 権限は、他のアカウントから完全に分離されています。アカウントは課金にも関連付けられています。これにより、さまざまなビジネスワークロードを別々のアカウントにデプロイして、独立した会計と課金を行うことができます。マルチアカウント管理は、環境の隔離、セキュリティコンプライアンス、およびビジネスイノベーションを提供することで、企業にメリットをもたらします。あるエンティティが 2 つ以上の Alibaba Cloud アカウントを所有している場合、この条件が満たされます。 | クイック修正はサポートされていません。 | いいえ |
リソースのグループ化と隔離 | リソースはカスタムリソースグループにグループ化されていません。 | カスタムリソースグループは、リソースのアクセスと使用をより柔軟に制御できます。カスタムリソースグループ内のリソースが総リソースの 75% 未満を占める場合、その設定は非準拠となります。 | サポートされていません | いいえ |
リソースのグループ化と隔離 | 作成者タグは有効になっていません | 企業のクラウドリソースが拡大するにつれて、複数の担当者がそれらを管理することが多くなります。コスト管理やセキュリティなどのシナリオでは、各リソースの作成者を特定することが不可欠です。このプラクティスにより、コストの割り当て、セキュリティのトレーサビリティの提供、管理効率の向上が可能になります。作成者タグが有効になっていない場合、リソースは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのグループ化と隔離 | カスタムタグはリソースに適用されません。 | カスタムタグを使用すると、ユーザーはさまざまなリソースを柔軟に識別、ソート、整理できます。全リソースの 75 % 未満にカスタムタグが付いている場合、非準拠と見なされます。 | サポートされていません | なし |
リソースのグループ化と隔離 | 事前定義されたタグは使用されていません | 事前定義タグは事前に作成され、すべてのリージョンに適用されます。これらは実装フェーズにおけるクラウドリソースのアタッチと管理を簡素化します。事前定義タグとカスタムタグの比率が 80% 未満の場合、構成は非準拠となります。 | 非対応 | いいえ |
複数のアカウントの集中管理 | 複数アカウントのログの一元収集を有効にする | SLS ログ監査信頼サービスが有効になっていない場合、ステータスは非準拠です。 | サポートされていません | いいえ |
一元的なマルチアカウント管理 | アカウントのリソースディレクトリにデリゲート管理者アカウントを設定します。 | 委任管理者アカウントは、組織管理タスクとビジネス管理タスクを分離します。管理アカウントはリソースディレクトリの組織管理タスクを実行し、委任管理者アカウントは信頼済みサービスのビジネス管理タスクを実行します。リソースディレクトリの管理アカウント (MA) によって有効化された信頼済みサービスに委任管理者アカウントが設定されていない場合、その構成は非準拠です。 | サポートされていません | いいえ |
複数のアカウントの集中管理 | マルチアカウントリソース検索を有効にする | リソースディレクトリを使用して複数の Alibaba Cloud アカウントを管理する場合、管理アカウントまたはデリゲート管理者アカウントは、リソースディレクトリ内のすべてのメンバーのクラウドリソースを表示および検索できます。アカウント間のリソース検索が無効になっている場合、構成は準拠していません。 | 非対応 | いいえ |
複数アカウントの集中管理 | マルチアカウントのメッセージ連絡先の一元管理 | リソースディレクトリの連絡先管理機能は、複数のアカウントにわたる連絡先を一元管理します。リソースディレクトリで連絡先が検出されない場合、または連絡先がリソースディレクトリ、フォルダ、またはメンバーにアタッチされていない場合、チェック結果は Non-compliant です。 | サポートされていません | いいえ |
パフォーマンス
カテゴリ | チェック項目 | 説明 | クイック修復の説明 | 意思決定支援 |
パフォーマンス異常検出 | 高いディスク領域使用量による EBS ディスクのパフォーマンスリスク (モデル 2.0 の新機能) | 高いディスク領域使用量は、データ損失のリスクを高める可能性があります。このチェックは、潜在的なパフォーマンスボトルネックを早期に特定し、パフォーマンスの低下を防ぐのに役立ちます。EBS ディスクは、そのディスク領域使用量が 80% を超えると非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
パフォーマンス異常検出 | 高いメモリ使用量による ECS リソースのパフォーマンスリスク (モデル 2.0 の新機能) | このチェックにより、コア ECS インスタンスのメモリ使用量が健全なレベルに維持され、メモリ不足の問題によるパフォーマンスの低下やサービスの中断を防ぐことができます。ECS インスタンスは、過去 24 時間にメモリ使用量が合計 9 時間以上 85% を超えた場合、非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
パフォーマンス異常検出 | 高いスループットによる EBS ディスクのパフォーマンスリスク (モデル 2.0 の新機能) | このチェックは、パフォーマンスボトルネックを防ぎ、ストレージリソースの割り当てが妥当であるかを評価し、業務継続性を確保するためのスケールアウトを決定するのに役立ちます。EBS ディスクは、過去 24 時間の 1 秒あたりの入出力操作 (IOPS) または 1 秒あたりのバイト数 (BPS) の使用量が、そのディスクタイプの最大 IOPS または BPS の 90% を超えた場合、非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
パフォーマンス異常検出 | 高い CPU 使用率による ECS リソースのパフォーマンスリスク (モデル 2.0 の新機能) | コア ECS インスタンスの CPU 使用率を健全なレベルに保つことは、安定したビジネス運用の基本です。高負荷はアプリケーションの応答を遅くし、システムの再起動やサービスの低下などの自動保護メカニズムをトリガーする可能性があります。ECS インスタンスは、過去 24 時間に CPU 使用率が合計 8 時間以上 85% を超えた場合、非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
パフォーマンス異常検出 | ECS リソースを自動的にスケーリングできないリスク (モデル 2.0 の新機能) | ECS などのコアクラウドプロダクトは、パフォーマンスの負荷に基づいてリソースを自動的に追加または削除し、ビジネスの安定性を確保する必要があります。ECS インスタンスは、Auto Scaling が有効になっていない場合、または Auto Scaling は有効になっているが Auto Scaling グループの成功率が過去 24 時間で 90% 未満だった場合に非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |