このトピックでは、ガバナンス成熟度評価 3.0 モデルでサポートされるチェック項目について説明します。
セキュリティ
カテゴリ | チェック項目 | 説明 | 応急処置の説明 | 意思決定支援 |
担当者の ID 管理 | Alibaba Cloud アカウントで MFA が有効になっていません。 | より高いレベルのセキュリティを実現するために、Alibaba Cloud アカウントで多要素認証 (MFA) を有効にすることを推奨します。MFA が有効になっていない Alibaba Cloud アカウントは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
担当者の ID 管理 | 過去 90 日間に Alibaba Cloud アカウントを使用してコンソールにログインしました。 | Alibaba Cloud アカウントは高い権限を持ち、ソース IP アドレスやアクセス時間などの条件で制限することはできません。このアカウントが侵害された場合、セキュリティリスクは高くなります。過去 90 日以内にコンソールへのログインに使用された Alibaba Cloud アカウントは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
担当者の ID 管理 | 複数のアカウントの ID 管理を統一することを推奨します。 | CloudSSO を使用して、企業内の Alibaba Cloud のユーザーを一元管理し、企業の ID プロバイダー (IdP) と Alibaba Cloud の間でシングルサインオン (SSO) を設定し、リソースディレクトリ内のメンバーアカウントへのすべてのユーザーのアクセス権限を一元的に設定できます。CloudSSO が 90 日を超えてログインに使用されていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
担当者の ID 管理 | RAM は ID の管理に使用されません。 | Alibaba Cloud アカウントは高い権限を持っています。このアカウントが侵害された場合、セキュリティリスクは高くなります。日常の操作には RAM ID を使用することを推奨します。RAM ID が存在しない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
担当者の ID 管理 | RAM ユーザーベース SSO はコンソールログインで有効になっていません。 | SSO を使用して担当者の ID を一元管理すると、管理効率が向上し、リスクが軽減されます。現在のアカウントで RAM ユーザーベース SSO が設定されていない場合、または 30 日以内に SSO なしのログインが発生した場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
担当者の ID 管理 | RAM SCIM はユーザーを同期するために有効になっていません。 | クロスドメイン ID 管理システム (SCIM) プロトコルを使用すると、手動でユーザーを作成することなく、自社から Alibaba Cloud へ人員の ID を簡単に同期できます。現在のアカウントに SCIM 同期が構成されていない場合、または同期されたユーザーが 2 ヶ月間ログオンしていない場合、構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
担当者の ID 管理 | MFA が有効になっていない RAM ユーザーが存在します。 | MFA は RAM ユーザーに高いレベルのセキュリティを提供します。コンソールログインが有効になっているが MFA が設定されていない RAM ユーザーは、非準拠と見なされます。 | 応急処置はサポートされていません。 | はい |
担当者の ID 管理 | アイドル状態の RAM ユーザーが存在します。 | RAM ユーザーのコンソールログインを有効にすると、ログインパスワードが設定されます。パスワードが存在する期間が長いほど、漏洩のリスクが高くなります。90 日以上ログインしていないアイドル状態の RAM ユーザーは、非準拠と見なされます。 | この修正により、選択した RAM ユーザーのコンソールログインが無効になります。修正を適用すると、RAM ユーザーはコンソールにログインできなくなります。選択した RAM ユーザーがログインする必要がなくなったことを確認してください。 | はい |
担当者の ID 管理 | RAM ユーザーに完全なパスワード強度ポリシーが設定されていません。 | パスワードの強度を高めると、辞書攻撃やブルートフォース攻撃のリスクを効果的に軽減できます。強力なパスワードポリシー、パスワード有効期限ポリシー、パスワード履歴チェックポリシー、およびパスワード再試行制限が設定されていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
担当者の ID 管理 | コンソールログインと AccessKey の両方が有効になっている RAM ユーザーが存在します。 | すべてのシナリオで単一責任の原則を推奨します。現在のアカウントにおいて、AccessKey とコンソールのログインが有効になっている RAM ユーザーは、非準拠と見なされます。現在のアカウントでユーザーベース SSO が有効になっている場合、コンソールのログイン構成は無視されます。ユーザーが過去 7 日間にログインしており、かつ AccessKey を持っている場合、そのユーザーは非準拠と見なされます。 | この修正により、選択した RAM ユーザーのコンソールログインが無効になります。修正を適用すると、RAM ユーザーはコンソールにログインできなくなります。選択した RAM ユーザーがログインする必要がなくなったことを確認してください。 | はい |
プログラムによる ID 管理 | Alibaba Cloud アカウントに有効な AccessKey があります。 | Alibaba Cloud アカウントの AccessKey は、Alibaba Cloud アカウントと同じ権限を持ち、ソース IP アドレスやアクセス時間などの条件で制限することはできません。AccessKey が漏洩した場合、セキュリティリスクは高くなります。Alibaba Cloud アカウントの AccessKey が存在する場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | はい |
プログラムによる ID 管理 | プログラムによるアクセスに AccessKey フリーのソリューションが使用されていません。 | 現在のアカウントで ECS インスタンスにインスタンスロールが設定されておらず、ACK で RAM Roles for Service Accounts (RRSA) プラグインが有効になっていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | ECS インスタンスは Metadata Service の強化モードを使用していません。 | V1 で発生する可能性のある潜在的なセキュリティトークンサービス (STS) トークンの漏洩を防ぐために、ECS インスタンスが Metadata Service の強化モード (V2) を使用していることを確認してください。V1 の Metadata Service を使用する ECS インスタンスは非準拠と見なされます。準拠するには、Metadata Service を V2 にアップグレードする必要があります。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | アイドル状態の AccessKey が存在します。 | RAM ユーザーの AccessKey を使用して Alibaba Cloud API にアクセスできます。AccessKey が外部に公開される時間が長いほど、漏洩のリスクが高くなります。365 日以上使用されていない RAM ユーザーの AccessKey は、非準拠と見なされます。 | この修正により、選択した AccessKey が無効になります。AccessKey が無効になると、使用できなくなります。選択した AccessKey がプログラムやアプリケーションで使用されていないことを確認してください。 | はい |
プログラムによる ID 管理 | 定期的にローテーションされない AccessKey が存在します。 | 定期的なローテーションにより、AccessKey の公開期間が短縮され、漏洩のリスクが軽減されます。365 日以上使用されている RAM ユーザーの AccessKey は、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | 2 つの有効な AccessKey を持つ RAM ユーザーが存在します。 | RAM ユーザーが 2 つの有効な AccessKey を持っている場合、ユーザーはそれらをローテーションする機能を失い、より大きなリスクをもたらします。2 つの AccessKey を持つ単一の RAM ユーザーは、非準拠と見なされます。 | この修正により、選択した AccessKey が無効になります。AccessKey が無効になると、使用できなくなります。選択した AccessKey がプログラムやアプリケーションで使用されていないことを確認してください。 | はい |
プログラムによる ID 管理 | 漏洩して未処理の AccessKey が存在します。 | AccessKey が漏洩した後、攻撃者はそれを使用してリソースやデータにアクセスし、セキュリティインシデントを引き起こす可能性があります。未処理の AccessKey 漏洩イベントは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | Redis インスタンスでパスワード認証が有効になっていません (3.0 モデルで新規追加)。 | 仮想プライベートクラウド (VPC) 内の Redis インスタンスでパスワード認証が有効になっていないか、不適切に設定されている場合、データ侵害、不正な悪意のある操作、ネットワークセキュリティの脆弱性、サービスの中断などのリスクにつながる可能性があります。VPC 内の Redis インスタンスでパスワード認証が無効になっている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
プログラムによる ID 管理 | KMS キーが削除待ちです (3.0 モデルで新規追加)。 | 使用中のマスターキーが誤操作によって削除され、ビジネス運用に影響を与えないように、削除がスケジュールされていないことを確認してください。削除がスケジュールされている KMS マスターキーは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | 管理者以外の RAM ID が多すぎて、ユーザーセンターでリスクの高い権限を持っています。 | RAM ID の権限管理には、最小権限の原則に従うことを推奨します。必要な権限のみを付与してください。請求およびユーザーセンター (BSS) に対する書き込み権限を持つ RAM ID は、注文、請求書、契約、請求書などの情報を変更したり、トランザクションや引き出しなどの財務操作を実行したりできます。管理が不十分だと、資産の損失につながる可能性があります。現在の Alibaba Cloud アカウントで、bss:*、bssapi:*、bss:PayOrder、bss:Modify*、bss:Create*、bss:*Order*、bss:Delete* などの書き込み権限を持つ RAM ID が 3 つ以下の場合、設定は準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | すべての RAM ID に管理者権限が付与されています。 | RAM ID の権限管理には、最小権限の原則に従い、必要な権限のみを付与することを推奨します。ID が侵害された場合のビジネスへの影響を防ぐため、すべての RAM ID に管理者権限を付与することは避けてください。RAM ID に管理者以外の権限が付与されている場合、設定は準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | 管理者権限を付与された RAM ID が多すぎます。 | RAM ID の権限管理には、最小権限の原則に従い、必要な権限のみを付与することを推奨します。管理者権限により、アカウント配下のリソースに対してあらゆる操作を実行できます。ID が侵害された場合のビジネスへの影響を防ぐため、あまりにも多くの RAM ID に管理者権限を付与することは避けてください。現在の Alibaba Cloud アカウントで管理者権限を持つ RAM ID が 3 つ以下の場合、設定は準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | 管理者以外の RAM ID が多すぎて、リスクの高い権限が付与されています。 | RAM ID の権限管理には、最小権限の原則に従い、必要な権限のみを付与することを推奨します。RAM に対する書き込み権限を持つ RAM ID は、新しい ID を作成したり、既存の ID の権限を変更したりできるため、過剰な権限付与につながり、アカウント内のリソースのセキュリティと機密性にリスクをもたらします。現在の Alibaba Cloud アカウントで、ram:*、ram:Create*、ram:Update*、ram:Delete* などの書き込み権限を持つ RAM ID が 3 つ以下の場合、設定は準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | 管理者以外の RAM ID に、すべての KMS キーに対する復号権限が付与されています。 | KMS を使用すると、誰が KMS キーを使用し、暗号化されたデータにアクセスできるかを制御できます。RAM ポリシーは、ID (ユーザー、グループ、またはロール) がどのリソースに対してどの操作を実行できるかを定義します。セキュリティのベストプラクティスとして、最小権限の原則に従うことを推奨します。これは、ID に必要な権限のみを付与し、ID が必要なキーのみを使用することを承認する必要があることを意味します。そうしないと、不正なデータアクセスが発生する可能性があります。ユーザーにすべてのキーに対するアクセス権限を付与しないでください。代わりに、ユーザーが暗号化されたデータにアクセスするために必要なキーの最小セットを決定し、これらのキーに対してのみユーザーにアクセスポリシーを付与します。たとえば、すべての KMS キーに対して `kms:Decrypt` 権限を許可しないでください。代わりに、アカウントの特定のリージョンにある特定のキーに対してのみこの権限を許可します。最小権限の原則を採用することで、偶発的なデータ侵害のリスクを軽減できます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | RAM ID にはアイドル状態のプロダクトレベルの権限があります。 | RAM ID にアクセスポリシーが付与された後、ポリシーで定義された権限が指定された期間内に使用されない場合、その権限はアイドル状態と見なされます。これは、RAM ID の機能が変更されたか、以前に定義された権限範囲が広すぎたために発生する可能性があります。ベストプラクティスとして、詳細な権限付与を実現するために、アイドル状態の権限を定期的に取り消すことを推奨します。RAM ID に 180 日間使用されていないプロダクトレベルの権限がある場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | RAM ID にはアイドル状態のリスクの高い操作権限があります。 | RAM ID にアクセスポリシーが付与された後、ポリシーで定義された操作 (アクション) が指定された期間内に使用されない場合、その操作権限はアイドル状態と見なされます。これは、RAM ID の機能が変更されたか、以前に定義された権限範囲が広すぎたために発生する可能性があります。ベストプラクティスとして、きめ細かな権限付与を実現するために、アイドル状態の権限を定期的に取り消すことを推奨します。一部の高リスク操作 (RAM でのユーザー作成など) については、セキュリティインシデントを防ぐために、アイドル状態の権限をタイムリーに取り消す必要があります。RAM ID が 180 日間使用されていない高リスク操作権限を持っている場合、それはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | RAM ユーザーはユーザーグループから権限を継承しません。 | デフォルトでは、RAM ユーザー、グループ、およびロールはどのリソースにもアクセスできません。RAM ポリシーを使用して、ユーザー、グループ、またはロールに権限を付与できます。RAM ポリシーをユーザーではなく、グループやロールに直接適用することを推奨します。グループまたはロールレベルで権限を割り当てると、ユーザー数の増加に伴う管理の複雑さが軽減され、RAM ユーザーの権限が意図せず拡大するリスクが軽減されます。RAM ユーザーが RAM ユーザーグループから権限を継承する場合、設定はベストプラクティスに準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | マルチアカウントの境界保護には制御ポリシーを使用することを推奨します。 | リソースディレクトリの制御ポリシーにより、組織はメンバーアカウントがアクセスできる Alibaba Cloud サービスと実行できる操作を制限できます。これにより、メンバーアカウントの権限境界を一元管理し、組織全体が統一されたセキュリティおよびコンプライアンス基準に準拠することが保証されます。現在のアカウントのリソースディレクトリで、カスタムアクセスコントロールポリシーが作成されてフォルダまたはメンバーにアタッチされていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
権限管理 | Access Analyzer は権限管理に使用されません (3.0 モデルで新規追加)。 | Access Analyzer は、現在のアカウントまたはリソースディレクトリ内で外部アカウントと共有されているリソースを特定するのに役立ちます。これにより、予期しないリソース共有を特定し、企業のセキュリティリスクを軽減できます。また、リソースディレクトリまたは現在のアカウントで過剰に権限が付与された ID を特定して表示し、これらの ID に対応する分析結果を生成するのにも役立ちます。 | 応急処置はサポートされていません。 | いいえ |
ログの収集とアーカイブ | ActionTrail ログが長期間保持されていません。 | トレイルが作成されていない場合、または既存のトレイルがすべてのリージョンからのイベントをアーカイブせず、すべての読み取りおよび書き込みイベントをアーカイブせず、ストレージ期間が 180 日未満の場合、設定は非準拠と見なされます。 | この修正により、管理関連の完全な読み取りおよび書き込みイベントとすべてのリージョンからのイベントの有効化を含め、現在のアカウントの既存のトレイルの設定が改善されます。リストから少なくとも 1 つの既存のトレイルを選択して、その設定を改善します。修正後、新しく生成された読み取り、書き込み、および全リージョンのイベントは、トレイルの宛先ストレージに配信されます。ストレージ内の履歴イベントは影響を受けません。 | いいえ |
ログの収集とアーカイブ | マルチアカウント環境では、操作ログが一元的に収集されません。 | ActionTrail は、デフォルトで過去 90 日間の各 Alibaba Cloud アカウントのイベントを記録します。トレイルを作成すると、企業が操作記録を永続的に保存して、内部および外部のコンプライアンス要件を満たすのに役立ちます。マルチアカウントトレイルは、企業の管理者が企業内の複数のアカウントのログを一元的に追跡および監査するのに役立ちます。マルチアカウントトレイルが検出されない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ログの収集とアーカイブ | Cloud Firewall ログは 180 日以上収集および保存されません。 | Cloud Firewall はすべてのトラフィックを自動的に記録し、視覚的なログ監査ページを通じて攻撃イベント、トラフィックの詳細、操作ログの便利なクエリ機能を提供し、攻撃の発生源の追跡とトラフィックのレビューを簡単かつ迅速に行えるようにします。Cloud Firewall は、基本的な監査および分析のニーズを満たすために、デフォルトで 7 日間監査ログを保存します。ただし、コンプライアンス要件をよりよく満たし、セキュリティパフォーマンスを向上させるために、ログの保存期間を 180 日以上に延長することを推奨します。Cloud Firewall のサブスクリプション版を購入しているにもかかわらず、そのログを 180 日以上収集および保存していない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ログの収集とアーカイブ | ESA サイトにログ配信タスクが設定されていません。 | このチェック項目は、サイトに少なくとも 1 種類のログが設定されていることを確認し、ユーザーが ESA リソースへのアクセスに関する詳細なリアルタイムログ情報を取得して、コンテンツ配信パフォーマンスの監視、分析、最適化を行えるようにします。設定されていない場合、監視と監査のベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ログの収集とアーカイブ | マルチアカウント環境で集中ログ収集が有効になっていません。 | Simple Log Service (SLS) ログ監査の信頼できるサービスが有効になっていないことがシステムによって検出された場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ログの収集とアーカイブ | OSS バケットでログストレージが有効になっていません (3.0 モデルで新規追加)。 | OSS にアクセスすると、多くのアクセスログが生成されます。ログストレージ機能を使用して、固定の命名規則に従ってこれらのログのログファイルを 1 時間ごとに生成し、指定されたバケットに書き込むことができます。保存されたログについては、Alibaba Cloud Simple Log Service を使用するか、Spark クラスターを構築して分析できます。OSS バケットのログ管理でログストレージが有効になっている場合、設定は準拠していると見なされます。 | 応急処置はサポートされていません。 | いいえ |
ログの収集とアーカイブ | EDAS のログ収集が設定されていません (3.0 モデルで新規追加)。 | Alibaba Cloud Enterprise Distributed Application Service (EDAS) は、Simple Log Service と連携して、Container Service for Kubernetes (ACK) クラスターにデプロイされたアプリケーションのビジネスファイルログとコンテナ標準出力ログを Simple Log Service に配信してクエリと分析をサポートするログ機能を開始しました。EDAS のログ収集が設定されていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ログの収集とアーカイブ | OSS でリアルタイムログクエリが有効になっていません (3.0 モデルで新規追加)。 | OSS バケットのリアルタイムログ機能により、ユーザーは指定されたバケットのリアルタイムロギングを有効にして、バケットへのアクセス動作をログの形式で記録できます。これらのログは、監査、監視、分析に使用できます。Object Storage Service でリアルタイムログクエリが有効になっていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェック | リソースの変更またはスナップショットの配信が設定されていません。 | Cloud Config でリソースの変更またはスナップショットの配信が設定されていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェック | コンプライアンスチェックデータが定期的に取得されていません。 | Cloud Config で非準拠イベントの配信が設定されていない場合、またはチェック結果が 7 日間表示されていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェック | クラウドリソースが非準拠です。 | Cloud Config で有効になっているルールによってチェックされたリソースのコンプライアンス率が 100% 未満の場合、リソースは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェック | マルチアカウント環境で統一されたリソース設定チェックが有効になっていません。 | 現在のアカウントが次の 2 つの条件を満たしていない場合、非準拠と見なされます。
| 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェック | Cloud Config が有効になっていません。 | 現在のアカウントで Cloud Config が有効になっていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェック | Cloud Config コンプライアンスルールが有効になっていません。 | 現在のアカウントで Cloud Config ルールが有効になっていない場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンプライアンスチェック | Cloud Config コンプライアンスルールはすべてのクラウドリソースをカバーしていません。 | 評価は、ルールによってカバーされるリソースの比率に基づいています。リソースタイプのカバー率が 100% 未満の場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンピューティングリソースの保護 | 脆弱性の修正が必要です。 | 脆弱性管理は、システム、ネットワーク、およびエンタープライズアプリケーションをサイバー攻撃やデータ侵害から保護するための継続的かつ積極的なプロセスです。潜在的なセキュリティの弱点に迅速に対処することで、攻撃を防ぎ、攻撃が発生した場合の損害を最小限に抑えることができます。修正が必要な脆弱性の数が 0 より大きい場合、アカウントは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンピューティングリソースの保護 | ホストのベースラインリスクの修正が必要です。 | ウイルスやハッカーは、セキュリティ設定の脆弱性を悪用してサーバーを侵害し、データを盗んだり、バックドアを仕掛けたりします。ベースラインチェック機能は、サーバーのオペレーティングシステム、データベース、ソフトウェア、コンテナの設定に対してセキュリティチェックを実行します。ベースラインリスクを迅速に修正することで、システムのセキュリティが強化され、侵入のリスクが軽減され、セキュリティコンプライアンス要件を満たすのに役立ちます。未修正のベースラインリスクが 1 つ以上ある Alibaba Cloud アカウントは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンピューティングリソースの保護 | ウイルス対策機能が有効になっていません。 | ウイルススキャン機能を有効にすると、サーバーからさまざまな悪意のある脅威を効果的に除去し、主流のランサムウェア、DDoS トロイの木馬、マイニングプログラム、トロイの木馬プログラム、悪意のあるプログラム、バックドアプログラム、ワームなどの脅威に対して効果的な保護を提供できます。Security Center のウイルス対策、Enterprise、または Ultimate Edition を購入し、定期的なウイルススキャンポリシーを設定していない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンピューティングリソースの保護 | ランサムウェア対策ポリシーが有効になっていません。 | ランサムウェアの侵入は、身代金目的で顧客のビジネスデータを暗号化し、业务の中断、データ侵害、データ損失につながり、深刻なビジネスリスクをもたらします。ランサムウェア対策ポリシーをタイムリーに設定することで、このようなリスクを効果的に軽減できます。ランサムウェア対策機能を購入しているにもかかわらず、保護ポリシーを作成していない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
コンピューティングリソースの保護 | コンテナイメージスキャンが設定されていません。 | イメージ自体にシステムやアプリケーションの脆弱性がある場合、または悪意のあるサンプルを含むウイルスに感染したイメージに置き換えられた場合、「問題のあるイメージ」に基づいて作成されたサービスには脆弱性が存在します。イメージリポジトリ内のイメージに対してセキュリティスキャンを実行することで、セキュリティ担当者はスキャン結果を開発者にプッシュしてイメージの問題を修正し、ビジネスのセキュリティを確保できます。コンテナイメージスキャン機能を購入しているにもかかわらず、スキャン設定でスキャン範囲を設定していない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
アプリケーションランタイム保護 | ESA サイトに WAF マネージドルールが設定されていません。 | このチェック項目は、Web および API アプリケーションの脆弱性に対する保護を強化するために、サイトにマネージドルールが設定されていることを確認します。設定されていない場合、Web アプリケーション保護のベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
アプリケーションランタイム保護 | ESA サイトに WAF カスタムルールが設定されていません。 | このチェック項目は、サイトへの悪意のあるリクエストを検出して軽減するために、サイトに WAF カスタムルールが設定されていることを確認します。設定されていない場合、Web アプリケーション保護のベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
アプリケーションランタイム保護 | Web 改ざん防止が有効になっていません。 | Web 改ざん防止機能は、Web サイトのディレクトリやファイルをリアルタイムで監視し、Web サイトが悪意を持って改ざんされた場合に、バックアップデータで改ざんされたファイルやディレクトリを復元できます。これにより、Web サイトに違法な情報が埋め込まれるのを防ぎ、正常な運用を保証します。改ざん防止機能を購入しているにもかかわらず、バインドされているサーバーの数が 0 の場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
アプリケーションランタイム保護 | アプリケーション保護設定が作成されていません。 | ランタイム時に攻撃を検出してアプリケーションを保護することで、Java アプリケーションを効果的に保護し、0-day 脆弱性攻撃を防ぎ、アプリケーションにセキュリティ防御を提供できます。アプリケーション保護を購入した顧客がアプリケーション設定を作成していない場合 (グループ数が 0)、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | Anti-DDoS Origin に保護対象オブジェクトが追加されていません。 | Anti-DDoS Origin または Anti-DDoS Pro または Anti-DDoS Premium インスタンスを購入した後、DDoS が DDoS 緩和機能を提供できるように、保護対象オブジェクトとしてパブリック IP 資産を追加する必要があります。そうしないと、保護が有効にならず、コストの無駄になります。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | Web サイト向けの DDoS AI インテリジェント保護が厳格モードに設定されています。 | AI インテリジェント保護は、Web サイトのセキュリティパフォーマンスを向上させるように設計されています。ただし、ポリシー設定で厳格モードを有効にすると、ビジネスでいくつかの誤検知が発生する可能性があることに注意してください。したがって、厳格モードは、パフォーマンスが低い、または保護効果が不十分な Web サイトに適しています。Web サイトのドメイン名サービスには、一般的なレイヤー 4 攻撃に対する自然な保護機能があることに注意してください。したがって、ほとんどの Web サイトサービスでは、AI インテリジェント保護で厳格モードを有効にせず、デフォルトの通常モードを使用して保護効果と业务継続性のバランスを取ることを推奨します。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | EIP への DDoS 攻撃が防御しきい値を超えています (3.0 モデルで新規追加)。 | EIP が大容量トラフィックの DDoS 攻撃を受け、攻撃トラフィックのピーク帯域幅 (bps) がその DDoS 緩和能力を超えると、Alibaba Cloud ブラックホールフィルタリングポリシーは、DDoS 攻撃による Alibaba Cloud プロダクトへのさらなる損害を回避し、単一のクラウドプロダクトが DDoS 攻撃を受けて他の資産の正常な運用に影響を与えるのを防ぐために、Alibaba Cloud プロダクトとインターネット間のトラフィックを一時的にブロックします。これにより、通常のネットワーク通信に影響が出ます。DDoS 保護ステータスが「ブラックホール作動中」の場合、EIP は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | SLB インスタンスへの DDoS 攻撃が防御しきい値を超えています (3.0 モデルで新規追加)。 | SLB インスタンスが大容量トラフィックの DDoS 攻撃を受け、攻撃トラフィックのピーク帯域幅 (bps) がその DDoS 緩和能力を超えると、Alibaba Cloud ブラックホールフィルタリングポリシーは、DDoS 攻撃による Alibaba Cloud プロダクトへのさらなる損害を回避し、単一のクラウドプロダクトが DDoS 攻撃を受けて他の資産の正常な運用に影響を与えるのを防ぐために、Alibaba Cloud プロダクトとインターネット間のトラフィックを一時的にブロックします。これにより、通常のネットワーク通信に影響が出ます。DDoS 保護ステータスが「ブラックホール作動中」の場合、SLB インスタンスは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | Anti-DDoS Pro または Anti-DDoS Premium インスタンスへの攻撃が防御しきい値を超えています (3.0 モデルで新規追加)。 | Anti-DDoS Pro および Anti-DDoS Premium に接続されているサービスの場合、攻撃トラフィックが Anti-DDoS Pro または Anti-DDoS Premium インスタンスの保護帯域幅を超えると、インスタンスはブラックホールに入り、インスタンスを介して転送されるすべてのサービストラフィックがブロックされ、サービスにアクセスできなくなります。Anti-DDoS IP のステータスが「ブラックホール作動中」の場合、Anti-DDoS Pro または Anti-DDoS Premium インスタンスは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | ECS インスタンスへの DDoS 攻撃が防御しきい値を超えています (3.0 モデルで新規追加)。 | ECS インスタンスが大容量トラフィックの DDoS 攻撃を受け、攻撃トラフィックのピーク帯域幅 (bps) がその DDoS 緩和能力を超えると、Alibaba Cloud ブラックホールフィルタリングポリシーは、DDoS 攻撃による Alibaba Cloud プロダクトへのさらなる損害を回避し、単一のクラウドプロダクトが DDoS 攻撃を受けて他の資産の正常な運用に影響を与えるのを防ぐために、Alibaba Cloud プロダクトとインターネット間のトラフィックを一時的にブロックします。これにより、通常のネットワーク通信に影響が出ます。パブリック IP アドレスが開いている ECS インスタンスは、DDoS 保護ステータスが「ブラックホール作動中」の場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データアクセスの制御 | OSS バケットには、組織外のアカウントに対するアクセスルールがあります。 | データ侵害のリスクを防ぐために、OSS バケットが組織内のアカウントのみにアクセス可能であることを確認してください。組織外のアカウントからのアクセスを許可する OSS バケットは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データアクセスの制御 | OSS バケットで公開読み取りが有効になっています。 | データの機密性とセキュリティを確保するために、OSS バケットのコンテンツが公開読み取り可能にならないようにします。公開読み取りに設定された OSS バケットは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データアクセスの制御 | OSS バケットで公開書き込みが有効になっています。 | OSS は、バケットポリシーと ACL を設定することで公開アクセスをサポートします。公開書き込みとは、特定の権限や認証なしに、任何の OSS リソースを変更したり、新しいファイルオブジェクトをバケットにアップロードしたりできることを意味します。公開書き込みとは、誰でも OSS バケットにデータをアップロードして変更できることを意味し、データ侵害や悪意のあるアクセスによる多額のコストが発生するリスクに容易につながります。ベストプラクティスとして、OSS バケットの公開書き込み権限を無効にし、URL 署名または API を介してのみ OSS バケットのデータにアクセスすることを推奨します。OSS バケットポリシーまたは ACL のいずれかに公開書き込みセマンティクスが含まれている場合、OSS バケットには公開書き込みされるセキュリティリスクがある可能性があり、これはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
データアクセスの制御 | OSS バケットには匿名アカウントのアクセスルールがあります。 | 最小権限の原則を実装することは、セキュリティリスクを軽減し、エラーや悪意のある動作の影響を最小限に抑えるための基本です。OSS バケットポリシーが匿名アクセスを許可している場合、攻撃者によるデータ漏洩につながる可能性があります。さらに、外部アカウントが悪意のある攻撃者によって制御されている場合、データが改ざんまたは削除される可能性があります。これは、データの完全性と機密性を脅かすだけでなく、業務の中断や法的な問題につながる可能性もあります。ベストプラクティスとして、ポリシーを通じて OSS バケットへの匿名アクセスを禁止することを推奨します。バケットポリシーに匿名アクセスを許可するポリシー、つまり、承認されたユーザーがすべてのアカウント (*) であり、効果が許可であるポリシーが含まれている場合、そのバケットポリシーはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | SLB で HTTPS リスナーが有効になっていません。 | TLS プロトコルを使用して転送中のデータを暗号化するために、Server Load Balancer (SLB) で HTTPS リスナーが有効になっていることを確認してください。HTTPS リスナーが有効になっていない SLB インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | SLB サーバー証明書は 15 日以内に有効期限が切れます。 | 証明書の有効期限切れによる伝送暗号化の失敗を避けるために、SLB インスタンスで使用されるサーバー証明書が 15 日以内に有効期限が切れないことを確認してください。SLB サーバー証明書の残りの有効期間が 15 日以下の場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | SSL 証明書サービスの証明書は 15 日で有効期限が切れます。 | SSL 証明書の有効期限が切れると、クライアントはサーバーの ID を検証できなくなり、ユーザーがサービスにアクセスできなくなったり、警告が表示されたりして、ユーザーエクスペリエンスに影響を与える可能性があります。証明書を timely に更新しないと、サービスの可用性が低下したり、顧客の信頼が低下したり、データ侵害につながる可能性があります。さらに、証明書の更新には一定の時間がかかることがよくあります。サービスの中断を避けるために、証明書を更新するための十分な時間を確保することを推奨します。デジタル証明書管理サービスの証明書の有効期限が 15 日以下の場合、ベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | API Gateway の独立ドメイン名に HTTPS 強制リダイレクトが設定されていません。 | HTTP プロトコルのみを使用して外部 API を提供すると、データセキュリティのリスクが生じる可能性があります。HTTP プロトコルの通信内容は平文で送信されるため、攻撃者は通信内容を簡単に取得して表示し、ユーザー認証情報や個人データなどの機密情報を取得して、データ侵害につながる可能性があります。ベストプラクティスとして、外部に提供される API には HTTPS プロトコルを使用し、HTTP リスナーへのリクエストを HTTPS リスナーに強制的にリダイレクトして、転送中にデータが暗号化されるようにすることを推奨します。API Gateway に関連付けられた独立ドメイン名に HTTPS 強制リダイレクトが設定されていない場合、設定はベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | CDN ドメイン名に HTTPS が設定されていません。 | CDN に HTTP プロトコルのみを使用して外部サービスを提供すると、データセキュリティのリスクが生じる可能性があります。HTTP プロトコルの通信内容は平文で送信されるため、攻撃者は通信内容を簡単に取得して表示し、ユーザー認証情報や個人データなどの機密情報を取得して、データ侵害につながる可能性があります。ベストプラクティスとして、外部に提供される CDN ドメイン名には HTTPS プロトコルを使用し、HTTP リスナーへのリクエストを HTTPS リスナーに強制的にリダイレクトして、転送中にデータが暗号化されるようにすることを推奨します。CDN ドメイン名で HTTPS セキュアアクセラレーション機能が有効になっていない場合、設定はベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | CDN ドメイン名に HTTP から HTTPS への強制リダイレクトが設定されていません。 | CDN に HTTP プロトコルのみを使用して外部サービスを提供すると、データセキュリティのリスクが生じる可能性があります。HTTP プロトコルの通信内容は平文で送信されるため、攻撃者は通信内容を簡単に取得して表示し、ユーザー認証情報や個人データなどの機密情報を取得して、データ侵害につながる可能性があります。ベストプラクティスとして、外部に提供される CDN ドメイン名には HTTPS プロトコルを使用し、HTTP リスナーへのリクエストを HTTPS リスナーに強制的にリダイレクトして、転送中にデータが暗号化されるようにすることを推奨します。CDN ドメイン名の HTTPS 設定で強制リダイレクトタイプが HTTPS -> HTTP に設定されていない場合、設定はベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | Elasticsearch インスタンスは HTTPS 伝送プロトコルを使用していません。 | Elasticsearch インスタンスに HTTP プロトコルのみを使用してサービスを提供すると、データセキュリティのリスクが生じる可能性があります。HTTP プロトコルの通信内容は平文で送信されるため、攻撃者は通信内容を簡単に取得して表示し、機密情報を取得して、データ侵害につながる可能性があります。ベストプラクティスとして、アプリケーションまたはクライアント内で Elasticsearch にアクセスするには HTTPS プロトコルを使用して、転送中にデータが暗号化されるようにすることを推奨します。Elasticsearch インスタンスのクラスターネットワーク設定で HTTPS プロトコルを使用するスイッチがオンになっている場合、設定はベストプラクティスに準拠しています。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | ESA サイトで TLS v1.2 が有効になっていません。 | このチェック項目は、サイトで TLS v1.2 が有効になっており、新しいプロトコルバージョンを使用して Web サイトのセキュリティレベルを向上させていることを確認します。有効になっていない場合、データ伝送セキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | ESA サイトで HSTS が有効になっていません。 | このチェック項目は、サイトで HTTP Strict Transport Security (HSTS) が有効になっており、初回訪問時にハイジャックされるリスクを軽減していることを確認します。有効になっていない場合、データ伝送セキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | ESA サイトで強制 HTTPS が有効になっていません。 | このチェック項目は、サイトで強制 HTTPS が有効になっており、クライアントから ESA エッジノードへの HTTP リクエストが強制的に HTTPS にリダイレクトされることを確認します。有効になっていない場合、データ伝送セキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
転送中のデータ保護 | CDN で使用されている SSL 証明書の有効期限が近づいています (3.0 モデルで新規追加)。 | ドメイン名にバインドされている SSL/TLS 証明書が有効期間内であることを確認し、証明書の有効期限切れによるセキュリティリスクや業務の中断を回避します。CDN 証明書の有効期限が切れるまでの残りの日数がパラメーターで指定された日数 (デフォルトは 15 日) 未満の場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
保存データの暗号化 | PolarDB で TDE が有効になっていません (3.0 モデルで新規追加)。 | TDE (透過的データ暗号化) は、データファイルに対してリアルタイムの I/O 暗号化と復号を実行します。データはディスクに書き込まれる前に暗号化され、ディスクからメモリに読み込まれるときに復号されます。PolarDB で TDE 機能を有効にしないと、データ侵害、不正アクセス、または改ざんのリスクにつながる可能性があります。TDE が有効になっていない PolarDB クラスターは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
保存データの暗号化 | RDS で TDE が有効になっていません (3.0 モデルで新規追加)。 | セキュリティコンプライアンスや保存データの暗号化などのシナリオでは、TDE (透過的データ暗号化) 機能を使用してデータファイルに対してリアルタイムの I/O 暗号化と復号を実行することを推奨します。データベース層で保存データを暗号化することで、攻撃者がデータベースをバイパスしてストレージから機密情報を直接読み取るのを効果的に防ぎ、データベース内の機密データのセキュリティを効果的に向上させることができます。TDE が有効になっていない RDS インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
データマスキング | Data Security Center で機密データ検出が有効になっていません (3.0 モデルで新規追加)。 | 機密データには、主に顧客情報、技術データ、個人情報などの価値の高いデータが含まれ、Alibaba Cloud ユーザーの資産にさまざまな形式で存在します。機密データの漏洩は、企業に深刻な経済的およびブランド上の損失をもたらす可能性があります。Data Security Center は、MaxCompute、OSS、Alibaba Cloud データベースサービス (RDS、PolarDB-X、PolarDB、OceanBase、Tablestore)、自己管理データベースなどのデータベース内のデータを、事前に定義された機密データキーフィールドに基づいてスキャンし、機密データルールでのヒット数に基づいて機密データかどうかを判断できます。Data Security Center で機密データ検出が有効になっていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
セキュリティイベントへの対応と回復 | Security Center はセキュリティ保護に使用されていません (3.0 モデルで新規追加)。 | クラウド資産は、ウイルス感染、サイバー攻撃、ランサムウェア暗号化、脆弱性悪用など、多くのセキュリティ脅威に直面しています。Security Center は、資産管理、設定チェック、アクティブ防御などのセキュリティ機能を提供します。適切なセキュリティ保護サービスを購入することで、クラウド資産のセキュリティ防御システムを構築できます。使用されている Security Center のバージョンが Basic Edition より高くない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
セキュリティイベントへの対応と回復 | Security Center に処理が必要なアラートが存在します。 | セキュリティアラートイベントは、Security Center がサーバーまたはクラウドプロダクトで検出した脅威であり、Web 改ざん防止、プロセス異常、Webshell、異常なログイン、悪意のあるプロセスなどのセキュリティアラートタイプをカバーしています。アラートをタイムリーに処理することで、資産のセキュリティ体制を向上させることができます。未処理のアラート数が 0 より大きい場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | ECS 起動テンプレートのネットワークタイプがクラシックネットワークに設定されています (3.0 モデルで新規追加)。 | クラシックネットワークのユーザーはネットワークレベルの分離を実現できず、複数のテナントが同じ IP プールに存在します。また、ユーザーはカスタムネットワークトポロジと IP アドレスを実装できません。クラシックネットワークで公開されているアプリケーションに脆弱性がある場合、クラウド上の他のテナントから攻撃される可能性があります。仮想プライベートクラウド (VPC) は、複数のレベルでより高いレベルのセキュリティ対策を提供します。データセキュリティを重視する企業や組織にとって、VPC を使用することは間違いなくより良い選択です。ECS 起動テンプレート設定のネットワークタイプがクラシックネットワークに設定されている場合、設定は非準拠です。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | Auto Scaling スケーリンググループに関連付けられているセキュリティグループのインバウンドルールが 0.0.0.0/0 および任意のポートに設定されています (3.0 モデルで新規追加)。 | スケールアウトアクティビティがトリガーされると、Auto Scaling はスケーリング設定に基づいて ECS インスタンスを自動的に作成します。Auto Scaling スケーリンググループ設定に関連付けられているセキュリティグループルールが任意のポートですべての IP アドレス (0.0.0.0/0) からのアクセスを許可する場合、作成された ECS インスタンスにはセキュリティリスクがあります。Auto Scaling スケーリンググループ設定に関連付けられているセキュリティグループのインバウンドルールに 0.0.0.0/0 が含まれ、特定のポートが指定されていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | ACK クラスターの API サーバーでパブリックエンドポイントが有効になっています (3.0 モデルで新規追加)。 | ACK クラスターにパブリックエンドポイントを設定すると、インターネット上でさまざまなリソースオブジェクト (Pod、Service、ReplicaController など) が攻撃されるリスクが高まります。パブリックエンドポイントを設定することは推奨されません。パブリックエンドpoint が設定されている ACK クラスターは非準拠です。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | EMR クラスターのマスターノードでパブリックエンドポイントが有効になっています (3.0 モデルで新規追加)。 | EMR クラスターのマスターノードにパブリック IP アドレスが割り当てられている場合、パブリックネットワーク環境で攻撃されるリスクが大幅に高まります。攻撃者は、公開されたパブリック IP を介してマスターノードをスキャン、侵入、またはその他の悪意のある動作を実行し、クラスター全体のセキュリティを脅かす可能性があります。パブリック接続が設定されている EMR クラスターは非準拠です。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | ECS インスタンスへのパブリックアドレスのバインドは禁止されていません。 | 攻撃されるリスクを軽減するために、ECS インスタンスがインターネットに直接公開されないようにし、NAT Gateway または Server Load Balancer を介してインターネットにアクセスすることを推奨します。パブリックアドレスにバインドされた ECS インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | セキュリティグループのインバウンドルールが 0.0.0.0/0 および任意のポートに設定されています。 | セキュリティグループルールが任意のポートですべての IP アドレス (0.0.0.0/0) からのアクセスを許可することを禁止します。アクセスは特定の IP 範囲とポートに制限する必要があります。インバウンドルールに 0.0.0.0/0 が含まれ、特定のポートが指定されていない場合、セキュリティグループは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | セキュリティグループは、脆弱なポート (22/3389/...) をインターネットに公開します。 | ネットワーク攻撃や不正アクセスを防ぐために、セキュリティグループルールが SSH (22) や RDP (3389) などの脆弱なポートへのパブリックアクセスを許可することを禁止します。SSH (22) や RDP (3389) などの脆弱なポートをインターネットに公開する場合、セキュリティグループは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | MaxCompute プロジェクトにホワイトリストが設定されていません (3.0 モデルで新規追加)。 | MaxCompute プロジェクトでホワイトリスト機能が有効になると、ホワイトリスト内のデバイスのみがプロジェクトスペースにアクセスできるようになります。MaxCompute プロジェクトでホワイトリスト機能が有効になっていない場合、パブリックエンドポイントを使用するすべての IP が MaxCompute プロジェクトにアクセスでき、インターネット公開のリスクが生じます。MaxCompute プロジェクトが外部ネットワークアクセス用に設定されており、IP ホワイトリスト機能が有効になっていない場合、MaxCompute プロジェクトは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | Tablestore インスタンスでパブリックアクセスとクラシックネットワークアクセスが有効になっています。 | Tablestore は、デフォルトで各インスタンスにパブリックドメイン名、VPC ドメイン名、クラシックネットワークドメイン名を作成します。パブリックドメイン名はインターネットに公開されており、任何のユーザーがインターネット上のパブリックドメイン名を介して Tablestore リソースにアクセスできます。クラシックネットワークドメイン名は同じリージョン内の ECS サーバーに公開されており、アプリケーションは同じリージョン内のクラシックネットワーク ECS サーバーからクラシックネットワークドメイン名を介してインスタンスにアクセスできます。 ベストプラクティスとして、インスタンスがコンソールまたは VPC からのみアクセスできるようにすることを推奨します。インスタンスへのインターネットまたはクラシックネットワークからのアクセスを制限すると、ネットワーク分離が向上し、データセキュリティが向上します。Tablestore インスタンスのネットワークタイプが「コンソールまたは VPC アクセスのみ」または「バインドされた VPC アクセスのみ」に設定されている場合、Tablestore インスタンスはベストプラクティスに準拠しています。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | PolarDB インスタンスでパブリックエンドポイントが有効になっており、ホワイトリストが設定されていません。 | データベースのパブリックアクセスを開放すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者にさらされる可能性があります。さらに、パブリック公開に加えて適切なアクセス制御が行われていない場合、データ侵害や損害に容易につながる可能性があります。ベストプラクティスとして、データベースインスタンスが VPC 内からのみアクセスできるようにし、適切な IP ホワイトリストを設定し、データベースに複雑なアカウントとパスワードを設定することを推奨します。パブリックエンドポイントが有効になっており、ホワイトリストが 0.0.0.0/0 に設定されている場合、クラスターはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | Redis インスタンスでパブリックエンドポイントが有効になっており、ホワイトリストが設定されていません。 | データベースのパブリックアクセスを開放すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者にさらされる可能性があります。さらに、パブリック公開に加えて適切なアクセス制御が行われていない場合、データ侵害や損害に容易につながる可能性があります。ベストプラクティスとして、データベースインスタンスが VPC 内からのみアクセスできるようにし、適切な IP ホワイトリストを設定し、データベースに複雑なアカウントとパスワードを設定することを推奨します。パブリックエンドポイントが有効になっており、ホワイトリストが 0.0.0.0/0 に設定されている場合、インスタンスはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | MongoDB インスタンスでパブリックエンドポイントが有効になっており、ホワイトリストが設定されていません。 | データベースのパブリックアクセスを開放すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者にさらされる可能性があります。さらに、パブリック公開に加えて適切なアクセス制御が行われていない場合、データ侵害や損害に容易につながる可能性があります。ベストプラクティスとして、データベースインスタンスが VPC 内からのみアクセスできるようにし、適切な IP ホワイトリストを設定し、データベースに複雑なアカウントとパスワードを設定することを推奨します。パブリックエンドポイントが有効になっており、ホワイトリストが 0.0.0.0/0 に設定されている場合、インスタンスはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | RDS インスタンスでパブリックエンドポイントが有効になっており、ホワイトリストが設定されていません。 | データベースのパブリックアクセスを開放すると、セキュリティリスクが生じる可能性があります。データベースが公開されると、悪意のある攻撃者にさらされる可能性があります。さらに、パブリック公開に加えて適切なアクセス制御が行われていない場合、データ侵害や損害に容易につながる可能性があります。ベストプラクティスとして、データベースインスタンスが VPC 内からのみアクセスできるようにし、適切な IP ホワイトリストを設定し、データベースに複雑なアカウントとパスワードを設定することを推奨します。パブリックエンドポイントが有効になっており、ホワイトリストが 0.0.0.0/0 に設定されている場合、インスタンスはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | Elasticsearch インスタンスでパブリックエンドポイントが有効になっており、ホワイトリストが設定されていません。 | Elasticsearch のパブリックアクセスを開放すると、セキュリティリスクが生じる可能性があります。インスタンスが公開されると、悪意のある攻撃者にさらされる可能性があります。さらに、パブリック公開に加えて適切なアクセス制御が行われていない場合、データ侵害や損害に容易につながる可能性があります。ベストプラクティスとして、Elasticsearch インスタンスが VPC 内からのみアクセスできるようにし、適切な IP ホワイトリストを設定し、適切なアクセス制御を設定することを推奨します。パブリックエンドポイントが有効になっており、ホワイトリストが 0.0.0.0/0 に設定されている場合、インスタンスはベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワークアクセスの制御 | Elasticsearch インスタンスの Kibana サービスでパブリックエンドポイントが有効になっています。 | Kibana のパブリックアクセスを開放すると、セキュリティリスクが生じる可能性があります。インスタンスが公開されると、悪意のある攻撃者にさらされる可能性があります。さらに、パブリック公開に加えて適切なアクセス制御が行われていない場合、データ侵害や損害に容易につながる可能性があります。ベストプラクティスとして、Kibana インスタンスが VPC 内からのみアクセスできるようにし、適切な IP ホワイトリストを設定し、適切なアクセス制御を設定することを推奨します。Elasticsearch インスタンスの Kibana サービスでパブリックアクセスが有効になっている場合、設定はベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall はすべてのパブリック資産を保護していません。 | このチェック項目は、すべてのパブリック資産が Cloud Firewall によって保護されていることを確認します。Cloud Firewall を使用しているにもかかわらず、インターネットファイアウォール保護が有効になっていないパブリック IP アドレスが割り当てられている資産がある場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall に ACL ポリシーが作成されていません。 | ファイアウォールスイッチをオンにした後、アクセスコントロール (ACL) ポリシーを設定しない場合、Cloud Firewall はアクセスコントロールポリシーのマッチングプロセスですべてのトラフィックをデフォルトで許可します。ビジネスニーズに基づいてさまざまなファイアウォールのトラフィックブロッキングおよび許可ポリシーを設定して、資産への不正アクセスをより適切に制御できます。Cloud Firewall を使用しているにもかかわらず、アクセスコントロールポリシーを作成していない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall の保護帯域幅仕様が不十分です。 | このチェック項目は、Cloud Firewall の仕様が保護帯域幅の点で合理的であることを確認します。Cloud Firewall を使用しているにもかかわらず、過去 30 日間の実際のピーク帯域幅が購入した保護帯域幅を超えている場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall はネットワークトラフィックの保護に使用されていません。 | Alibaba Cloud Firewall は、クラウドプラットフォーム上の SaaS ファイアウォールであり、クラウドネットワーク資産のインターネット境界、VPC 境界、ホスト境界に対して統一されたセキュリティ分離と制御を実現できます。これは、クラウド上のビジネスにとって最初のネットワーク防御ラインです。Cloud Firewall を使用していない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall の利用可能な権限付与数が不十分です。 | このチェック項目は、Cloud Firewall の仕様が利用可能な権限付与数の点で合理的であることを確認します。Cloud Firewall を使用しているにもかかわらず、インターネットファイアウォール保護が有効になっていないパブリック IP アドレスが割り当てられている資産の数が、利用可能な保護権限付与数を超えている場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall IPS で基本防御が有効になっていません。 | Cloud Firewall の侵入防止システム (IPS) モジュールで基本防御機能を有効にする必要があります。基本防御は、ブルートフォース攻撃の遮断、コマンド実行の脆弱性の遮断、感染後の C&C (コマンドアンドコントロール) サーバーへの接続の制御など、基本的な侵入防止機能を提供し、資産に基本的な保護を提供します。Cloud Firewall を使用しているにもかかわらず、この機能を有効にしていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall IPS で仮想パッチが有効になっていません。 | Cloud Firewall の侵入防止システム (IPS) モジュールで仮想パッチ機能を有効にする必要があります。Cloud Firewall は、一般的な高リスクの脆弱性や緊急の脆弱性に対してリアルタイムで保護を提供できます。仮想パッチは、リモートで悪用される可能性のある高リスクおよび緊急の脆弱性に対してネットワーク層でホットパッチを提供し、脆弱性攻撃の動作をリアルタイムで遮断し、ホストの脆弱性を修正する際の业务の中断を回避します。Cloud Firewall を使用しているにもかかわらず、この機能を有効にしていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall IPS で脅威インテリジェンスが有効になっていません。 | Cloud Firewall の侵入防止システム (IPS) モジュールで脅威インテリジェンス機能を有効にして、脅威インテリジェンスをスキャンして検出し、中央制御インテリジェンスブロッキングを提供する必要があります。Cloud Firewall を使用しているにもかかわらず、この機能を有効にしていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | VPC アクセストラフィックが VPC ファイアウォールによって完全に保護されていません。 | このチェック項目では、内部プライベートネットワークトラフィックのリスクを軽減するために、すべての VPC アクセストラフィックが Cloud Firewall の仮想プライベートクラウド (VPC) ファイアウォールによって保護されている必要があります。Cloud Firewall を使用しているにもかかわらず、VPC ファイアウォールが有効になっていない VPC アクセストラフィックがある場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall にデフォルトの拒否ポリシーが設定されていません。 | ネットワークセキュリティを確保するために、Cloud Firewall にはデフォルトの拒否ポリシー (つまり、インバウンド/アウトバウンドアクセスのソースと宛先が両方とも 0.0.0.0/0 で、アクションが拒否である IPv4 アドレスバージョンポリシー) を設定する必要があります。明示的に許可された信頼できるトラフィックを除き、他のすべてのトラフィックはデフォルトでブロックする必要があります。Cloud Firewall を使用しているにもかかわらず、デフォルトの拒否ポリシーを設定していない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall IPS でブロックモードが有効になっていません。 | Cloud Firewall の侵入防止システム (IPS) モジュールは、悪意のあるトラフィックを遮断し、侵入活動をブロックするためにブロックモードで設定する必要があります。Cloud Firewall を使用しているにもかかわらず、この機能を有効にしていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
ネットワーク保護 | NAT ゲートウェイが NAT ファイアウォールによって完全に保護されていません。 | プライベートネットワークのインターネットへのアクセスリスクを軽減するために、すべての NAT Gateway インスタンスを Cloud Firewall NAT ファイアウォールに接続して保護する必要があります。Cloud Firewall を使用しているにもかかわらず、保護が有効になっていない NAT ゲートウェイがある場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | 応急処置はサポートされていません。 | いいえ |
安定性
カテゴリ | チェック項目 | 説明 | 応急処置の説明 | 意思決定支援 |
インスタンスタイプ | ECS インスタンスは、共有または廃止されたインスタンスタイプを使用しています。 | ECS インスタンスに共有または廃止されたインスタンスタイプを使用すると、安定したコンピューティングパフォーマンスを保証できません。廃止された、または共有のインスタンスファミリーの ECS インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | Elasticsearch インスタンスは、開発およびテスト用のインスタンスタイプを使用しています。 | 1 コア 2 GB 仕様の Elasticsearch インスタンスは、テストシナリオにのみ適しており、本番環境には適していません。1 コア 2 GB 仕様の Elasticsearch インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | RDS インスタンスは Basic Edition インスタンスタイプを使用しています。 | RDS Basic Edition インスタンスにはデータベースノードが 1 つしかなく、ホットバックアップ用のセカンダリノードがありません。そのため、ノードが予期せず故障した場合や、インスタンスの再起動、設定変更、バージョンアップなどのタスクを実行した場合、長時間利用できなくなります。同時に、RDS インスタンスファミリーの共有および汎用仕様は、同じ物理マシン上の他のインスタンスとリソースを共有し、安定性要件の低いアプリケーションシナリオにのみ適用されます。データベースの可用性要件が高い場合は、プロダクトシリーズに高可用性/クラスター版、インスタンスファミリーに専用タイプを使用することを推奨します。RDS プロダクトシリーズが高可用性/クラスター版を使用していない場合、または RDS インスタンスファミリーが専用仕様を使用していない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | ACK は Basic Edition のマネージドクラスターを使用しています。 | ACK Pro マネージド版は、元のマネージド版と比較して、クラスターの信頼性、セキュリティ、スケジューリングをさらに強化し、本番環境での大規模なビジネスに適しています。非プロフェッショナル版のマネージドクラスターは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | Redis インスタンスはオープンソース版のインスタンスタイプを使用しています。 | Redis Enterprise Edition は、より強力なパフォーマンス、より多くのデータ構造、より柔軟なストレージ方法を提供します。Enterprise Edition ではない Redis インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | MongoDB インスタンスはスタンドアロンインスタンスタイプを使用しています。 | MongoDB がシングルノードアーキテクチャを採用している場合、障害回復時間が長く、SLA 保証がありません。マルチゾーンではない MongoDB インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
インスタンスタイプ | ApsaraMQ for RocketMQ インスタンスは Standard Edition インスタンスタイプを使用しています。 | ApsaraMQ for RocketMQ の Standard Edition は共有インスタンスを使用しており、本番環境での使用は推奨されません。ApsaraMQ for RocketMQ インスタンスの共有版は、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | ECS インスタンスは期限切れの OS バージョンを使用しています。 | サポートされていない OS バージョンを使用する ECS インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | Elasticsearch インスタンスは非推奨のバージョンを使用しています。 | Elasticsearch インスタンスのバージョンが非推奨のバージョン範囲内にある場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | PolarDB データベースは安定したマイナーバージョンを使用していません。 | PolarDB データベースのマイナーバージョンのステータスが安定していない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | Redis インスタンスが最新のマイナーバージョンにアップグレードされていません。 | Redis インスタンスが最新のマイナーバージョンにアップグレードされていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | MSE エンジンのバージョンが低すぎます。 | 最新の MSE エンジンバージョンを使用することは、MSE サービスの継続性を確保するための鍵です。エンジンバージョンが低すぎると、コードの欠陥により GC が回収できなくなり、メモリオーバーフローによりメモリが増加し続け、起動速度が遅くなり、Json シリアル化の欠陥などの問題が発生する可能性があります。MSE-ZK または MSE-Ans エンジンのバージョン、または MSE-Ans クライアントのバージョンが低すぎる場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | MSE-Ingress ゲートウェイのバージョンが低すぎます。 | 最新バージョンの Ingress を使用することは、ゲートウェイサービスの継続性を確保するための鍵です。バージョンが低すぎると、セキュリティまたは安定性のリスク、およびサブスクライブされた Nacos サービスのインスタンスリストが不正確になるなどの問題が発生する可能性があります。MSE-Ingress のバージョンが低すぎる場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | メンテナンスされていない ACK バージョンが使用されています。 | Kubernetes コミュニティは、約 4 か月ごとにマイナーバージョンをリリースします。メンテナンスされているバージョンを使用することを推奨します。期限切れのバージョンクラスターには、セキュリティリスクと安定性リスクがあります。クラスターバージョンが期限切れになると、新しい Kubernetes バージョンでサポートされている機能やバグ修正を利用できなくなり、タイムリーで効果的な技術サポートを受けられなくなり、セキュリティ脆弱性を修正できないリスクに直面します。使用されている ACK クラスターバージョンがメンテナンスを停止していない場合、設定は「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | RDS インスタンスでマイナーエンジンバージョンの自動アップグレードが有効になっていません (3.0 モデルで新規追加)。 | ApsaraDB RDS は、マイナーエンジンバージョンの自動または手動アップグレードをサポートしています。マイナーエンジンバージョンが最新のマイナーエンジンバージョンより低い場合、システムは定期的にアクティブな O&M タスクを発行してマイナーエンジンバージョンをアップグレードします。インスタンスは、パフォーマンスの向上、新機能のサポート、セキュリティ問題の解決を含む最新バージョンを受け取り、データベースサービスの継続的な最適化とセキュリティを確保できます。マイナーエンジンバージョンの自動アップグレードが有効になっていない場合、RDS インスタンスは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | RDS インスタンスの MySQL データベースのメジャーバージョンが低すぎます (3.0 モデルで新規追加)。 | ライフサイクルが停止しているか、停止しようとしている MySQL バージョンを使用すると、システムはセキュリティリスク、パフォーマンスのボトルネック、互換性の問題、技術サポートの欠如に直面します。サポートされている MySQL バージョンにタイムリーにアップグレードすることで、最新のセキュリティパッチ、パフォーマンスの向上、機能の強化を取得し、O&M リスクを軽減し、システム全体の信頼性を向上させることができます。現在の RDS インスタンスがバージョン 5.5 または 5.6 を使用している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | Function Compute FC 2.0 関数は非推奨のランタイムを使用しています (3.0 モデルで新規追加)。 | ランタイムバージョンの反復に伴い、Function Compute は一部のランタイムのメンテナンスを停止し、それらに対する技術サポートとセキュリティ更新プログラムの提供を停止します。技術サポートとセキュリティ更新プログラムを取得するには、関数を最新のサポートされているランタイムに移行することを推奨します。FC 2.0 関数が nodejs12、nodejs10、nodejs8、dotnetcore2.1、python2.7、nodejs6、または nodejs4.4 のいずれかのランタイムを使用している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
安定したバージョン | ACK クラスターノードの Kubelet コンポーネントのバージョンがコントロールプレーンより遅れています (3.0 モデルで新規追加)。 | ACK クラスターノードの Kubelet コンポーネントのバージョンがコントロールプレーンより遅れている場合、互換性の問題が発生する可能性があります。コントロールプレーン (API Server など) は、新機能やプロトコルのアップグレードにより、古いバージョンの Kubelet と正常に通信できなくなり、ノードの状態が異常になったり、Pod のスケジューリングに失敗したり、ノードが利用不可とマークされたりする可能性があります。さらに、古いバージョンの Kubelet には既知のセキュリティ脆弱性が修正されていない可能性があり、ノードが攻撃されるリスクが高まり、同時にクラスターバージョンの全体的なアップグレード能力が妨げられます。長期的には、機能の欠陥やメンテナンスの困難につながる可能性があります。通信の安定性を回復し、セキュリティリスクを排除するには、Kubelet を互換性のあるバージョンにすぐにアップグレードする必要があります。Kubelet コンポーネントのバージョンがコントロールプレーンより遅れている場合、ACK クラスターノードは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
有効期限切れのリスク | Internet Shared Bandwidth インスタンスには有効期限切れのリスクがあります。 | Internet Shared Bandwidth インスタンスは、有効期限が現在時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した CBWP リソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | ECS インスタンスには有効期限切れのリスクがあります。 | サブスクリプション ECS インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション ECS インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | RDS インスタンスには有効期限切れのリスクがあります。 | サブスクリプション RDS インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション RDS インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | Bastionhost インスタンスには有効期限切れのリスクがあります。 | Bastionhost インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション Bastionhost インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | SLB インスタンスには有効期限切れのリスクがあります。 | サブスクリプション SLB インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション SLB インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | EIP インスタンスには有効期限切れのリスクがあります。 | サブスクリプション EIP インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション EIP インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | AnalyticDB for MySQL Data Warehouse Edition インスタンスには有効期限切れのリスクがあります。 | AnalyticDB for MySQL Data Warehouse Edition インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション AnalyticDB for MySQL Data Warehouse Edition インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | PolarDB インスタンスには有効期限切れのリスクがあります。 | サブスクリプション PolarDB インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション PolarDB インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | Cloud Enterprise Network (CEN) 帯域幅プランには有効期限切れのリスクがあります。 | CEN 帯域幅プランは、有効期限が現在時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション CEN インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | DRDS インスタンスには有効期限切れのリスクがあります。 | PolarDB-X 1.0 または PolarDB-X 2.0 インスタンスは、有効期限が現在時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
有効期限切れのリスク | Anti-DDoS Pro または Anti-DDoS Premium インスタンスには有効期限切れのリスクがあります。 | DDoS インスタンスは、有効期限が現在時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション DDoSCOO インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | Redis インスタンスには有効期限切れのリスクがあります。 | サブスクリプション Redis インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション Redis インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | MongoDB インスタンスには有効期限切れのリスクがあります。 | サブスクリプション MongoDB インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したサブスクリプション MongoDB インスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限切れのリスク | VPN Gateway インスタンスには有効期限切れのリスクがあります (3.0 モデルで新規追加)。 | 有効期限切れによる业务の中断を避けるために、サブスクリプション VPN Gateway インスタンスを timely に更新してください。サブスクリプション VPN Gateway インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
有効期限切れのリスク | KMS インスタンスには有効期限切れのリスクがあります (3.0 モデルで新規追加)。 | 有効期限切れによる业务の中断を避けるために、サブスクリプション KMS インスタンスを timely に更新してください。サブスクリプション KMS インスタンスは、有効期限がチェック時刻から 7 日未満で、自動更新が有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
削除保護 | ALB インスタンスで削除保護が有効になっていません。 | ALB インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護機能が有効になり、コンソール、API、またはコマンドラインを介してリリースされるのを防ぎます。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | RDS インスタンスで削除保護が有効になっていません。 | RDS インスタンスでリリース保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護機能が有効になり、コンソール、API、またはコマンドラインを介してリリースされるのを防ぎます。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | SLB インスタンスで削除保護が有効になっていません。 | SLB インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護機能が有効になり、コンソール、API、またはコマンドラインを介してリリースされるのを防ぎます。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | EIP インスタンスで削除保護が有効になっていません。 | EIP インスタンスで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護機能が有効になり、コンソール、API、またはコマンドラインを介してリリースされるのを防ぎます。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | PolarDB クラスターでクラスターロックが有効になっていません。 | PolarDB インスタンスでクラスターロックが有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護機能が有効になり、コンソール、API、またはコマンドラインを介してリリースされるのを防ぎます。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | ACK クラスターでクラスターロックが有効になっていません。 | ACK クラスターで削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護機能が有効になり、コンソール、API、またはコマンドラインを介してリリースされるのを防ぎます。インスタンスをリリースするには、まずインスタンスの詳細ページで削除保護を無効にする必要があります。 | いいえ |
削除保護 | MongoDB インスタンスでリリース保護が有効になっていません。 | MongoDB インスタンスでリリース保護が有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Elasticsearch インスタンスがシングルゾーンにデプロイされています。 | 複数のゾーンにデプロイされていない Elasticsearch インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | RDS インスタンスがシングルゾーンにデプロイされています。 | 複数のゾーンにデプロイされていない RDS インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | SLB インスタンスとそのサーバーグループがシングルゾーンにデプロイされています。 | SLB インスタンスがシングルゾーンにある場合、または SLB インスタンス配下のリスナーが使用するサーバーグループに複数のゾーンからのリソースが追加されていない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | PolarDB クラスターでストレージホットスタンバイクラスターが有効になっていません。 | PolarDB クラスターでストレージホットスタンバイクラスターが有効になっておらず、データがシングルゾーンに分散している場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Redis インスタンスがシングルゾーンにデプロイされています。 | 複数のゾーンにデプロイされていない Redis インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | OSS バケットでゾーン冗長ストレージが有効になっていません。 | OSS バケットでゾーン冗長ストレージが有効になっていない場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MongoDB インスタンスがシングルゾーンにデプロイされています。 | 複数のゾーンにデプロイされていない MongoDB インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | 関連する MSE コンポーネントがシングルゾーンにデプロイされています。 | 関連する MSE コンポーネントの安定性を向上させるために、マルチゾーンデプロイメントアーキテクチャを採用することを推奨します。関連する MSE コンポーネントがシングルゾーンにデプロイされている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MSE ゲートウェイがシングルゾーンにデプロイされています。 | 現在のゲートウェイのすべてのインスタンスレプリカは同じゾーン (AZ) にデプロイされています。このデプロイメント形式には高可用性機能がなく、極端な場合にはビジネスが損なわれる可能性があります。ゲートウェイインスタンスを複数のゾーンに分散させるために、できるだけ早く新しいバージョンにアップグレードしてください。MSE Ingress ゲートウェイコンポーネントがシングルゾーンアーキテクチャである場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Bastionhost がシングルゾーンにデプロイされています。 | マルチゾーンディザスタリカバリ機能を満たすために、Enterprise Dual-Engine または National Secret Edition Bastionhost を使用することを推奨します。Basic Edition Bastionhost を使用することは「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | VPN インスタンスがシングルゾーンにデプロイされています。 | 既存のシングル-トンネルインスタンスについては、コンソールで AZ 高可用性を有効にし、デュアルトンネルを設定してピアとの接続を確立することを強く推奨します。VPN にシングル-トンネルインスタンスを使用することは「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | トランジットルーターがシングルゾーンにデプロイされています。 | 既存のトランジットルーターについては、マルチゾーンディザスタリカバリを満たすために複数のゾーンを設定することを強く推奨します。トランジットルーターの VPC 接続に 1 つのゾーンで vSwitch を設定することは「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | NLB インスタンスがシングルゾーンにデプロイされています。 | Network Load Balancer インスタンスについては、マルチゾーンディザスタリカバリを満たすために複数のゾーンを設定することを強く推奨します。シングルゾーンの Network Load Balancer インスタンスを使用することは「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | AnalyticDB for PostgreSQL インスタンスがシングルゾーンにデプロイされています。 | AnalyticDB for PostgreSQL インスタンスのクロスゾーンディザスタリカバリを有効にすることを推奨します。プライマリゾーンに障害が発生した場合、セカンダリゾーンノードが自動的にプライマリノードに切り替わり、サービスを提供し続け、业务継続性を確保します。クロスゾーンディザスタリカバリが有効になっていない AnalyticDB for PostgreSQL インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Lindorm インスタンスがシングルゾーンにデプロイされています。 | Lindorm インスタンスを複数のゾーンにデプロイすることを推奨します。マルチゾーンインスタンスは、より高いディザスタリカバリ機能を備えています。同時に、Lindorm インスタンスは複数のゾーン間でデータの強力な整合性を実現でき、最終的なデータ整合性の下でリクエストを発行して最速の結果を返すこともでき、オンラインビジネスのサービス品質を向上させます。マルチゾーンデプロイメントを採用していない Lindorm インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | HBase インスタンスがシングルゾーンにデプロイされています。 | より高いディザスタリカバリ機能を備えたマルチゾーンデプロイメントアーキテクチャを採用することを推奨します。マルチゾーンデプロイメントを採用していない HBase インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Tablestore インスタンスがシングルゾーンにデプロイされています。 | 現在のリージョンの OTS インスタンスは、マルチゾーンディザスタリカバリ機能をサポートしていません。マルチゾーンデプロイメントを採用していない OTS インスタンスは、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACR に関連付けられている OSS バケットでゾーン冗長ストレージが有効になっていません。 | Enterprise Edition ACR インスタンスを使用し、ゾーン冗長 OSS ストレージを使用することを推奨します。ローカル冗長 OSS バケットに関連付けられている ACR は、「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ApsaraMQ for RocketMQ インスタンスは高可用性クラスター版を使用していません。 | マルチゾーンディザスタリカバリ機能を備えた高可用性クラスター版を使用することを推奨します。マルチゾーンではない ApsaraMQ for RocketMQ 5.0 インスタンスを使用することは、「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | GWLB インスタンスがシングルゾーンにデプロイされています。 | GWLB インスタンスに複数のゾーンを有効にして、マルチゾーンディザスタリカバリ機能を持たせることを推奨します。マルチゾーンではない Gateway Load Balancer インスタンスを使用することは、「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Flink はクロスゾーン CU タイプを使用していません。 | Flink の CU にクロスゾーンを有効にして、マルチゾーンディザスタリカバリ機能を持たせることを推奨します。マルチゾーン CU を使用しない Flink インスタンスは、「非準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACK クラスターがシングルゾーンにデプロイされています。 | リージョナルクラスターを使用すると、クロスリージョンディザスタリカバリ機能を実現できます。3 つ以上のゾーンにノードが分散されたリージョナル ACK クラスターを使用することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | VPN Gateway はデュアルトンネルモードを使用していません。 | デュアルトンネル IPsec 接続にはプライマリトンネルとセカンダリトンネルがあります。プライマリトンネルに障害が発生した場合、トラフィックはセカンダリトンネルを介して送信でき、IPsec 接続の高可用性が向上します。プライマリトンネルとセカンダリトンネルの両方がピアに接続されたデュアルトンネル VPN ゲートウェイを使用することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | SLS プロジェクトはゾーン冗長ストレージを使用していません。 | Simple Log Service は、ローカル冗長ストレージとゾーン冗長ストレージの 2 つのストレージ冗長タイプを提供し、シングルゾーンからマルチゾーンまでのデータ冗長化メカニズムをカバーして、データの耐久性と可用性を確保します。ゾーン冗長ストレージを備えたログプロジェクトを使用することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Privatelink エンドポイントサービスがシングルゾーンにデプロイされています。 | エンドポイントサービスに複数のゾーンを設定すると、サービス中断のリスクを大幅に軽減し、トラフィックをより均等に分散させ、単一ゾーンの過負荷を回避し、近接アクセスを提供することで、ネットワーク遅延を短縮し、アクセス速度を向上させることができます。エンドポイントサービスに複数のゾーンを設定することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | PolarDB-X2 インスタンスがシングルゾーンにデプロイされています。 | マルチゾーンディザスタリカバリ機能を備えたマルチゾーン PolarDB-X2 インスタンスを使用することを推奨します。マルチゾーンアーキテクチャの PolarDB-X 2.0 インスタンスを使用することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | NLB サーバーグループにマウントされているリソースはすべてシングルゾーンにあります。 | Network Load Balancer サーバーグループに複数のゾーンからのリソースを追加して、マルチゾーンディザスタリカバリ機能を持たせることを推奨します。Network Load Balancer サーバーグループ内のリソースが複数のゾーンに分散している場合、設定は「準拠」と見なされます。サーバーグループにリソースがない場合、またはリソースタイプが IP の場合、このルールは「適用外」です。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ALB インスタンスがシングルゾーンにデプロイされています。 | 1 つのゾーンのみを選択した場合、このゾーンに障害が発生すると ALB インスタンスが影響を受け、ビジネスの安定性に影響します。マルチゾーンインスタンスである ALB インスタンスは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Message Queue for Apache Kafka インスタンスがシングルゾーンにデプロイされています。 | Professional Edition インスタンスを使用し、デプロイメントに 1 つのゾーンのみを選択した場合、セカンダリゾーンを編集してクラスターをマルチゾーンアーキテクチャデプロイメントにアップグレードし、クラスターのディザスタリカバリ機能を強化できます。マルチゾーン Message Queue for Apache Kafka インスタンスを使用することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ApsaraDB for ClickHouse クラスターがシングルゾーンにデプロイされています。 | マルチゾーンディザスタリカバリ機能を備えたマルチゾーン ApsaraDB for ClickHouse クラスターインスタンスを使用することを推奨します。マルチゾーン ApsaraDB for ClickHouse クラスターインスタンスを使用することは、「準拠」と見なされます。現在、コミュニティ版のみがマルチゾーンアーキテクチャであるかどうかがチェックされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ALB サーバーグループにマウントされているリソースはすべてシングルゾーンにあります。 | ALB サーバーグループに複数のゾーンからのリソースを追加すると、1 つのゾーンに障害が発生しても、アプリケーションが他のゾーンで実行し続けることができ、より優れたフォールトトレランスが提供されます。ALB サーバーグループにマウントされているリソースが複数のゾーンに分散している場合、設定は「準拠」と見なされます。ALB サーバーグループにマウントされているリソースがない場合、またはサーバーグループタイプが IP または Function Compute の場合、このルールは適用されません。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACS クラスターがシングルゾーンにデプロイされています。 | マルチゾーンディザスタリカバリ機能を備えたリージョナルマルチゾーン ACS クラスターを使用することを推奨します。3 つ以上のゾーンにノードが分散されたリージョナル ACS クラスターを使用することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | API Gateway インスタンスがシングルゾーンにデプロイされています。 | マルチゾーンディザスタリカバリ機能を備えたマルチゾーンゲートウェイインスタンスを使用することを推奨します。マルチゾーンゲートウェイインスタンスを使用することは、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | リージョン内のゾーン間での ECS インスタンスの分散が不均一です (3.0 モデルで新規追加)。 | すべての ECS インスタンスを同じゾーンにデプロイすると、単一障害点のリスクが生じます。ゾーンに障害が発生した場合 (ハードウェアの損傷やネットワークの中断など)、リージョン内のすべての ECS インスタンスが同時に利用できなくなり、業務の中断につながります。同じリージョン内のすべての ECS インスタンスが同じゾーンにデプロイされている場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | GWLB サーバーグループにマウントされているリソースはすべてシングルゾーンにあります (3.0 モデルで新規追加)。 | マルチゾーンサーバーグループにリソースをマウントすると、システムのディザスタリカバリ機能が向上し、业务中断のリスクが軽減されます。GWLB インスタンスがシングルゾーンにある場合、または GWLB インスタンス配下のリスナーが使用するサーバーグループに複数のゾーンからのリソースが追加されていない場合、設定は非準拠と見なされます。サーバーグループにリソースがない場合、またはリソースタイプが IP の場合、このルールは適用されません。 | 応急処置はサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACK クラスター検査 CoreDNS にはレプリカが 1 つしかありません (3.0 モデルで新規追加)。 | ACK クラスター CoreDNS にレプリカが 1 つしか設定されていない場合、高可用性が失われます。Pod に障害が発生すると、DNS サービスが完全に中断され、クラスター内のサービスのドメイン名解決に失敗し、アプリケーション間の通信がブロックされます。シングルポイントアーキテクチャは、ノードの障害やメンテナンス操作に耐えられません。アップグレード中または再起動中にサービスの中断が発生する可能性があります。長期間の運用によりリスクは増大します。サービスの冗長性と安定性を確保するには、レプリカ数をすぐにスケールアウトする必要があります。CoreDNS にレプリカが 1 つしかない場合、ACK クラスターは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | Auto Scaling スケーリンググループは 1 つの vSwitch にのみ関連付けられています。 | 複数の vSwitch に関連付けることで、スケーリンググループはアプリケーション全体の堅牢性、信頼性、パフォーマンスを向上させ、ビジネス要件をよりよく満たすことができます。ネットワークの問題やその他の条件により vSwitch にアクセスできない場合でも、ユーザートラフィックは他の vSwitch を介してアプリケーションにアクセスできます。スケーリンググループが少なくとも 2 つの vSwitch に関連付けられている場合、「準拠」と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | PolarDB インスタンスが単一点としてデプロイされています。 | 使用されている PolarDB プロダクトシリーズが Cluster Edition または Multi-master Cluster Edition ではない場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | 関連する MSE コンポーネントが単一点としてデプロイされています。 | MSE ZK コンポーネントについては、3 つ以上のノードにスケールアウトすることを推奨します。Nacos-Ans コンポーネントについては、3 つ以上のノードにスケールアウトすることを推奨します。関連する MSE コンポーネントが単一ノードにデプロイされている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | MSE ゲートウェイが単一点としてデプロイされています。 | 単一ノードインスタンスにはアーキテクチャ上のリスクがあります。単一障害点によりサービスが利用できなくなります。2 つ以上のノードにスケールアウトすることを推奨します。MSE Ingress コンポーネントが単一ノードにデプロイされている場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | RDS クラスターのプライマリノードとセカンダリノードのインスタンスタイプが異なります (3.0 モデルで新規追加)。 | RDS クラスターのプライマリノードとセカンダリノードが同じインスタンスタイプで設定されていない場合、プライマリノードに障害が発生したときにセカンダリノードがスムーズに引き継ぐことができず、パフォーマンスのボトルネックやサービスの中断が発生する可能性があります。さらに、インスタンスの仕様が異なるとリソースの不一致が生じ、データ同期効率と回復速度に影響を与え、システムの高可用性とディザスタリカバリ機能が低下する可能性があります。プライマリノードとセカンダリノードのインスタンスタイプが一致していることを検出して確認することは、システムの安定性を向上させ、フェールオーバー機能を強化し、业务継続性を確保するのに役立ち、顧客により高い信頼性と O&M の制御性をもたらします。プライマリノードとセカンダリノードが異なるインスタンスタイプで設定されている場合、RDS クラスターは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | RDS クラスターのプライマリノードとセカンダリノードのインスタンスサイズが異なります (3.0 モデルで新規追加)。 | RDS クラスターのプライマリノードとセカンダリノードが同じインスタンスサイズで設定されていない場合、プライマリノードに障害が発生したときにセカンダリノードがスムーズに引き継ぐことができず、パフォーマンスのボトルネックやサービスの中断が発生する可能性があります。さらに、インスタンスの仕様が異なるとリソースの不一致が生じ、データ同期効率と回復速度に影響を与え、システムの高可用性とディザスタリカバリ機能が低下する可能性があります。プライマリノードとセカンダリノードのインスタンスサイズが一致していることを検出して確認することは、システムの安定性を向上させ、フェールオーバー機能を強化し、业务継続性を確保するのに役立ち、顧客により高い信頼性と O&M の制御性をもたらします。プライマリノードとセカンダリノードが異なるインスタンスサイズで設定されている場合、RDS クラスターは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | RDS インスタンスで自動プライマリ/セカンダリフェールオーバーが有効になっていません (3.0 モデルで新規追加)。 | インスタンスのプライマリノードが異常で使用できない場合、またはインスタンスに潜在的なリスクがあり、セカンダリノードで緊急修復が実行された場合、RDS は自動的にプライマリ/セカンダリフェールオーバーをトリガーし、プライマリノードとセカンダリノードを交換します。フェールオーバー後、インスタンスのエンドポイントは変更されず、アプリケーションは自動的に新しいプライマリノード (元のセカンダリノード) に接続し、インスタンスの高可用性を確保します。自動プライマリ/セカンダリフェールオーバー機能が有効になっていない場合、RDS インスタンスは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クラスターアーキテクチャ | Express Connect で高信頼性モードが使用されていません (3.0 モデルで新規追加)。 | Express Connect の高信頼性モードを使用して、同じリージョンに 2 つのアクセスポイントを作成し、ネットワーク冗長性を実現し、データ伝送の安定性と信頼性を確保し、コンプライアンス要件を満たします。同じリージョンで Express Connect に要求されたアクセスポイントが 2 つ未満の場合、設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
モニタリング管理 | ACK クラスターに Prometheus モニタリングが設定されていません。 | ACK クラスターをモニタリングに接続すると、開発および O&M 担当者がインフラストラクチャ層、コンテナパフォーマンス層など、システムの実行状態を表示するのに役立ちます。「Alibaba Cloud Prometheus モニタリングを有効にする」が設定されていない場合、すべての ACK クラスターの設定は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
モニタリング管理 | クラウドリソースにモニタリングアラートルールが設定されていません。 | リソースモニタリングの完全なカバレッジを実現することは、业务継続性を確保するための基礎であり、鍵です。クラウドリソースにアラートルールを設定することは、クラウドリソースモニタリングを実現するために必要な手段です。アラートルールでカバーされていないクラウドリソースがある場合、設定は非準拠と見なされます。 | この修正により、CloudMonitor が設定されていないクラウドリソースタイプに対して、ベストプラクティスに基づいてアラートルールが自動的に有効になります。デフォルトでは、「Alibaba Cloud アカウントアラート連絡先」タイプのメッセージ受信者に通知が送信されます。設定が正しいことを確認してください。この修正を有効にした後、CloudMonitor の ワンクリックアラート 機能でステータスを表示したり、アラートパラメーターを更新したりできます。 | いいえ |
モニタリング管理 | ACK クラスターにアプリケーションモニタリングが設定されていません | 分散アプリケーションおよびマイクロサービスアプリケーションの場合、Application Real-Time Monitoring Service (ARMS) に接続して、トレース分析とリアルタイムのコードレベルのパフォーマンスモニタリングを実装できます。これにより、O&M エンジニアはアプリケーションのヘルスステータスを常に把握できます。Container Service for Kubernetes または Elastic Compute Service (ECS) にデプロイされたアプリケーションは、Application Real-Time Monitoring Service (ARMS) に接続されていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
モニタリング管理 | アラートルールに未処理の永続的なアラートがあります | 長期間アラート状態のままのアラートルールは、注意と管理が必要な問題です。通常、できるだけ早く問題をトラブルシューティングして、メトリックを通常のレベルに復元する必要があります。または、実際の状況に基づいてアラートルールを調整し、大量のアラート通知やアラート疲れが、通常のモニタリングおよび O&M タスクの妨げになるのを防ぐことができます。CloudMonitor で設定されたアラートルールは、アラート状態が 24 時間を超えて続いた場合、非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
モニタリング管理 | ARMS に優先度の高いアラートルールが構成されていません | 有効なアラートルールを構成すると、業務システムが期待どおりに動作しない場合にタイムリーな通知を受け取り、迅速な緊急対応を行うことができます。ARMS に Application Monitoring または Prometheus モニタリングの P1 アラートルール、または対応する通知ポリシーが構成されていない場合、この構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
モニタリング管理 | ARMS の優先度の高いアラートがタイムリーに処理されない | 平均回復時間 (MTTR) などの平均 X 時間 (MTTx) メトリックは、アラート処理の効率を測定するための重要なメトリックです。優先度の高いアラートにタイムリーに応答することで、アラートやエラーの回復効率を効果的に向上させ、業務システムのサービス品質を向上させることができます。アプリケーションモニタリングまたは Prometheus モニタリングに P1 アラートルールが構成されていない場合、または Alibaba Cloud ARMS に保留中、処理中、または解決に 30 分以上かかるアラートがある場合、構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
モニタリング管理 | ARMS リソースは、Alibaba Cloud アカウント間で一元的にモニタリングされていません。 | グローバル集約インスタンスを作成して、アカウント間で一元的なモニタリングを実装できます。システムが、現在のアカウントが ARMS を使用していないか、globalview インスタンスを作成していないことを検出した場合、その構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威の検出 | 支払い遅延またはセキュリティ関連の停止により、ECS インスタンスがシャットダウンされました。 | ECS インスタンスの予期しないシャットダウンは、サービス中断、データ損失、またはデータ不整合を引き起こし、システムパフォーマンスに影響を与えたり、セキュリティ上の脅威を引き起こしたりする可能性があります。現在のアカウントの ECS インスタンスが支払い遅延またはセキュリティ関連の停止によってシャットダウンされた場合、脅威が特定されます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威の検査 | ECS インスタンスに保留中の O&M イベントがあります。 | ECS インスタンスのスケジュールされた O&M イベントがタイムリーに処理されない場合、ECS インスタンスはピーク時に再起動する可能性があり、インスタンスのビジネスの安定性に影響します。現在のアカウントに、ステータスが問い合わせ中、スケジュール済み、または実行中の保留中の ECS O&M イベントがある場合、脅威が特定されます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | CEN リソースの VBR にヘルスチェックが構成されていません。 | Cloud Enterprise Network (CEN) のヘルスチェック機能は、VBR インスタンスに関連付けられている Express Connect 回線の接続性を検出します。CEN とデータセンター間に冗長ルートが存在するシナリオでは、ヘルスチェックで Express Connect 回線の障害が検出された場合、アクティブなルートへの自動スイッチオーバーが実行され、トラフィック伝送が中断されないようにします。CEN インスタンスに関連付けられている VBR にヘルスチェックが構成されていない場合、その構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | RDS 読み取り専用インスタンスとそのプライマリインスタンス間の過度のレプリケーション遅延 (3.0 モデルで新規) | RDS 読み取り専用インスタンスは、ネイティブの MySQL ログベースのレプリケーション技術 (非同期レプリケーションまたは準同期レプリケーション) を使用しており、これにより必然的に同期遅延が発生します。遅延により、読み取り専用インスタンスとプライマリインスタンス間でデータ不整合が発生し、ビジネス上の問題を引き起こす可能性があります。さらに、遅延はログの蓄積を引き起こす可能性もあり、これにより読み取り専用インスタンスのストレージ領域が急速に消費されます。RDS 読み取り専用インスタンスとそのプライマリインスタンス間の最大遅延が、指定された期間 (時間単位) 内に 60 秒を超えた場合、そのインスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威の検査 | VPC 内の利用可能な IP アドレス数が不十分 (3.0 モデルで新規追加) | 各 vSwitch に十分な数の利用可能な IP アドレスがあることを確認して、リソース不足によるビジネス拡張の失敗を防ぎます。利用可能な IPv4 アドレスの数が指定された値以下の場合、vSwitch は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | CDN ドメイン名に設定された OSS オリジンドメイン名の構成が異常です (3.0 モデルで新規) | CDN ドメイン名に設定されたオリジンドメイン名が存在しない場合、リソースリクエストは失敗し、ビジネス機能に影響が出ます。さらに、オリジンフェッチの失敗により、CDN はリクエストを繰り返しリトライするため、不要なネットワークオーバーヘッドが増加します。CDN ドメイン名は、オリジンとして OSS ドメイン名を使用し、対応する OSS Bucket リソースがアクティブでない場合、非準拠と見なされます。オリジン情報として OSS ドメイン名を使用しない CDN ドメイン名は、検出範囲に含まれません。 | クイックフィックスはサポートされていません。 | いいえ |
脅威の検査 | ESS Auto Scaling グループに関連付けられた異常な Server Load Balancer (3.0 モデルで新規) | スケーリンググループが SLB インスタンスに関連付けられると、インスタンスがスケーリンググループによって自動的に作成されたか、手動でスケーリンググループに追加されたかに関係なく、インスタンスは自動的にバックエンドサーバーとして SLB インスタンスに追加されます。Server Load Balancer またはそのサーバーグループが存在しない場合、スケーリンググループのスケーリングアクティビティは失敗します。Auto Scaling グループに関連付けられている Classic Load Balancer または Application Load Balancer がアクティブなリソースでない場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
脅威の検査 | ECS 起動テンプレートに設定されたカスタムイメージが異常です (3.0 モデルで新規) | 起動テンプレートは、インスタンスを迅速に作成するために使用できるツールです。これにより、効率とユーザーエクスペリエンスが向上します。起動テンプレートに設定されているカスタムイメージが存在しない場合、起動テンプレートの実行は失敗します。ECS 起動テンプレートに関連付けられているカスタムイメージが保持されているリソースでない場合、そのカスタムイメージは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | ドメイン名のメールボックスの DNS 解析における SPF レコードの異常 (3.0 モデルで新規) | SPF は、ドメイン名に代わってメールを送信することを許可されているメールサーバー (IP アドレスまたはドメイン名) を定義する DNS ベースのメール認証プロトコルです。メールサーバーがメールを受信すると、送信者の IP アドレスを SPF レコードと照合して認証し、メールが有効かどうかを判断します。合理的で有効な SPF 値を設定すると、メールのなりすましを防ぎ、迷惑メールの脅威を軽減し、メールの配信性を向上させることができます。DNS ドメイン名の各 MX レコードについて、システムは、「v=spf1」で始まる有効な SPF 値を持つ TXT レコードが少なくとも 1 つ含まれているかどうかをチェックします。上記の条件を満たさない DNS ドメイン名は、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | DNS の CNAME レコードに設定されている OSS ドメイン名が異常 (3.0 モデルで新規) | DNS の名前解決のための CNAME レコードに不正な OSS ドメイン名が設定されている場合、ドメイン名を使用してリソースにアクセスすると、リソースの読み込みに失敗します。これにより、通常のビジネス機能に影響が出ます。DNS の CNAME レコードに OSS ドメイン名が設定されているにもかかわらず、対応する OSS バケットが保持されていない場合、その設定は非準拠と見なされます。CNAME レコードが OSS ドメイン名を使用しない DNS ドメイン名は、検出範囲に含まれません。 | クイック修復はサポートされていません。 | いいえ |
脅威の検出 | RDS PostgreSQL インスタンスのデータレプリケーションが同期モードまたは半同期モードではない (3.0 モデルで新規)。 | RDS PostgreSQL は、非同期、同期、半同期の 3 つのデータレプリケーションモードをサポートしています。非同期モードは最速の応答を提供しますが、高いデータ耐久性を必要としないシナリオにのみ適しています。データベースがクラッシュした場合、データが失われる可能性があり、耐久性の脅威となります。RDS PostgreSQL インスタンスは、非同期レプリケーションモードを使用している場合 (synchronous_commit パラメーターが off に設定されている場合)、非準拠と見なされます。 | 迅速な修復はサポートされていません。 | いいえ |
脅威検出 | ALB 接続失敗率が高い (3.0 モデルで新規) | Application Load Balancer (ALB) の接続失敗率が高い場合は、バックエンドサービスが異常であるか、ネットワークが不安定であるか、構成が正しくないことを示している可能性があります。これにより、ユーザーアクセスの失敗、ビジネスの中断、ユーザーエクスペリエンスの低下につながる可能性があります。ALB 接続失敗率メトリックを検査することで、問題の根本原因を迅速に検出し、特定できます。これにより、システムの可用性と安定性が向上し、トラフィックの再ルーティング効率が最適化され、業務継続性とサービス品質が確保され、より信頼性の高いクラウドアプリケーション配信機能をお客様に提供します。ALB インスタンスは、過去の期間内に接続失敗率が 8 時間以上 80% 以上である場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ALB 4xx エラーの高い割合 (3.0 モデルで新規) | ALB インスタンスの 4xx エラーの割合が、指定されたしきい値を一定期間継続して超える場合、通常はクライアントリクエストに多くの例外が存在することを示します。たとえば、無効なリクエスト、パラメーターエラー、ID 検証の失敗、または過度に高いアクセス周波数 (DDoS 攻撃など) が挙げられます。これは、通常のユーザーのユーザーエクスペリエンスに影響を与えるだけでなく、システムインターフェイスの設計上のバグやセキュリティリスクを露呈させる可能性もあります。過去の一定期間内に少なくとも 8 時間、4xx エラーの割合が 80% 以上である場合、ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | ALB 5xx エラー率が高すぎる (3.0 モデルで新規追加) | ALB インスタンスの 5xx エラー率が指定されたしきい値を継続的に超える場合、バックエンドサービスで内部エラーが頻繁に発生していることを示します。これらのエラーは、アプリケーションの異常、リソース不足、構成エラー、または依存サービスのエラーが原因である可能性があります。これは、ユーザーエクスペリエンスの低下、ビジネス中断の脅威の増大に直接つながり、システムの安定性と可用性に影響を与えます。過去の期間内に、5xx エラー率が 8 時間以上にわたって 80% 以上である場合、ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | 高い ALB TLS ハンドシェイク失敗率 (3.0 モデルで新規) | 高い ALB TLS ハンドシェイク失敗率は、不正な証明書構成、互換性のないプロトコルバージョン、不一致のキー スイート、クライアントによるサポートされていない暗号化アルゴリズムの使用など、クライアントとサーバー間の暗号化通信に問題があることを示している可能性があります。これにより、ユーザーアクセスが失敗してサービスの可用性に影響を与えるだけでなく、セキュリティの脆弱性が公開され、中間者攻撃の脅威が増大する可能性があります。ALB インスタンスは、特定の時間範囲内で TLS ハンドシェイク失敗率が 8 時間以上 80% 以上である場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | Redis インスタンスの高い接続使用率 (3.0 モデルで新規) | Redis インスタンスの接続使用率が一定期間、指定されたしきい値を継続的に超える場合、現在の接続リソースが上限に近づいているか、上限に達したことを示します。これにより、新しいクライアントが接続を確立できなくなったり、リクエストが拒否されたり、応答レイテンシが増加したりする可能性があり、その結果、ビジネスのパフォーマンスと安定性に影響が及びます。この状況は、接続リーク、不適切な接続プール構成、バーストトラフィックプレッシャーなどの問題を示している可能性もあります。Redis インスタンスは、過去の一定期間内に平均接続使用率が 8 時間以上にわたって 50% 以上である場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | ACK クラスター内の CoreDNS サービスのバックエンドサーバーの数が 0 (3.0 モデルで新規) | ACK クラスター内の CoreDNS のバックエンドサーバーの数が 0 の場合、サービスディスカバリーは完全に失敗します。サービス呼び出しやデータベースアクセスなど、クラスター内のサービス間通信が切断されます。アプリケーションはサービス名を使用してアドレスを解決できません。これはビジネスの可用性に直接影響し、クラスターの安定性に対する脅威を引き起こします。ACK クラスターは、その CoreDNS サービスのバックエンドサーバーの数が 0 の場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | ACK クラスター内の API サーバー CLB インスタンスのバックエンドステータスの異常 (3.0 モデルで新規) | ACK クラスター内の API サーバー CLB インスタンスのバックエンドステータスが異常になると、コントロールプレーンの通信が中断され、クラスター管理が完全に失敗します。kubectl などのクライアントは API サーバーにアクセスできなくなり、アプリケーションのデプロイやステータスの表示などの操作ができなくなります。さらに、kubelet やコントローラーなどのコンポーネントが API サーバーから切断されます。これにより、ノードステータスの異常、Pod のスケジューリングの失敗、自動回復メカニズムの障害がトリガーされます。その結果、API サーバーに到達できないため、クラスターが不安定になり、ビジネスサービスが中断されます。Prometheus などの監視ツールはメトリックデータを収集できなくなり、異常に対するタイムリーなアラートやトラブルシューティングができなくなります。さらに深刻なことに、API サーバーが長期間利用できないと、クラスターのステータスと etcd に保存されているデータとの間に不整合が生じ、データ損失や異常な操作につながる可能性があります。トラフィックが適切に分散されるようにし、クラスターの完全なクラッシュを防ぐために、直ちに CLB の構成、バックエンドノードのヘルスステータス、およびネットワーク接続を確認する必要があります。API サーバー CLB インスタンスのバックエンドが異常な状態にある場合、ACK クラスターは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
脅威検査 | ACK クラスターの APIServer にバインドされている CLB ポートのリスナー構成の異常 (3.0 モデルで新規) | ACK クラスターの APIServer にバインドされている CLB ポートのリスナー構成が異常な場合、API サービスへのアクセスが中断される可能性があります。これにより、kubectl などのクライアントがクラスターに接続できなくなり、O&M 操作が完全に失敗します。さらに、kubelet やコントローラーなどのクラスター内のコンポーネントは、APIServer と通信できなくなります。これにより、ノードステータスの異常、Pod スケジューリングの失敗、サービスの利用不可が発生します。リスナープロトコルが正しくないか、セキュリティグループの制限がない場合、不正アクセスやトラフィックハイジャックの脅威が発生する可能性があります。クラスターの障害やデータ侵害を防ぐために、リスナーポートの構成を直ちに修正し、プロトコルタイプを確認し、セキュリティポリシーをチェックする必要があります。ACK クラスターの APIServer にバインドされている CLB ポートのリスナー構成が異常な場合、その構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの API サーバーにアタッチされている SLB インスタンスが存在しません (3.0 モデルで新規) | ACK クラスターの API サーバーが SLB インスタンスにアタッチされていない場合、API サービスにはトラフィックのエントリーポイントがありません。 kubectl などの外部クライアントは、ロードバランシングを介して API サーバーにアクセスできず、クラスター管理は完全に中断されます。 kubelet やコントローラーなどのクラスター内コンポーネントが安定した通信を確立できないため、ノードステータスの異常、Pod スケジューリングの失敗、サービスの利用不可が発生する可能性があります。 さらに、API サーバーノードは IP アドレスを直接公開するため、トラフィック分散機能とフェールオーバー機能が失われます。 これにより、単一障害点のリスクが生じ、不正アクセスや DDoS 攻撃の脅威が増大します。 高可用性と安全なアクセスを復元するには、直ちに SLB インスタンスを作成してアタッチする必要があります。 API サーバーにアタッチされている SLB インスタンスが存在しない場合、ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威検査 | ACK クラスターの API サーバーにアタッチされた CLB インスタンスが異常な状態です (3.0 モデルで新規) | ACK クラスターの API サーバーにアタッチされた CLB インスタンスのステータスが異常な場合、API サービスのトラフィック転送が失敗します。その結果、kubectl などのクライアントは安定した接続を確立できず、クラスター管理は完全にブロックされます。通信の中断により、kubelet や VPC コントローラーなどの内部コンポーネントが、ノードステータスの異常、Pod スケジューリングの停滞、およびサービスの利用不可を引き起こします。さらに、CLB のヘルスチェックが失敗すると、トラフィックが障害のあるノードに集中し、単一障害点のリスクが高まる可能性があります。異常なステータスに、暗号化されていないトラフィックや公開ポートなどのセキュリティ構成のエラーが伴う場合、不正アクセスや中間者攻撃が発生する可能性があります。クラスターの麻痺やデータ侵害を防ぐために、CLB インスタンスのヘルスステータスを直ちに復元し、セキュリティポリシーを検証する必要があります。ACK クラスターの API サーバーにアタッチされた CLB インスタンスが異常な状態である場合、その構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リスク検査 | ACK クラスターのノードプールのスケーリング設定が利用できません (3.0 モデルで新規追加) | ACK クラスターのノードプールのスケーリング設定が利用できない場合、クラスターはノード数を自動的に調整できません。高負荷の期間中、クラスターはスケールアウトできません。これにより、リソースの枯渇、Pod のスケジューリング失敗、またはサービスの中断が発生します。低負荷の期間中、クラスターはスケールインできません。これにより、リソースの浪費とコストの急増が発生します。さらに、ノードに障害が発生した場合、自動置き換えメカニズムが無効になります。これにより、ノードが長期間利用できなくなる可能性があり、クラスターの高可用性 (HA) が低下します。長期的には、これにより HPA などの自動ポリシーが失敗し、クラスターの状態が不均衡になり、O&M コストが増加します。弾力性のある機能を復元するために、スケーリング設定を直ちに修復する必要があります。ACK クラスターのノードプールのスケーリング設定が利用できない場合、この構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リスク検査 | ACK クラスターのノードプールのスケーリンググループが利用不可 (3.0 モデルで新規) | ACK クラスターのノードプールのスケーリンググループが利用できない場合、クラスターは自動スケーリング機能を完全に失います。高ペイロード期間中、クラスターを動的にスケールアウトすることはできません。これにより、ノードリソースの枯渇、Pod のスケジューリング失敗、またはサービス応答の遅延が発生する可能性があります。低ペイロード期間中、クラスターをスケールインできず、リソースのアイドル化とコストの無駄遣いにつながります。ノードに障害が発生すると、自動置き換えメカニズムは効果がなくなります。これにより、ノードが長期間オフラインになり、クラスターの単一障害点のリスクが高まる可能性があります。さらに、異常なスケーリンググループは、クラスターがバーストトラフィックやメンテナンス要件に弾力的に応答することを妨げます。長期的には、これはサービスの安定性の低下と O&M 効率の低下につながります。クラスターの弾力性のある機能を復元するには、スケーリンググループの状態を直ちに修復する必要があります。ACK クラスターのノードプールのスケーリンググループが利用できない場合、そのクラスターは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
脅威検査 | ACK クラスターのノードプールのセキュリティグループが利用できません (3.0 モデルで新規追加) | ACK クラスターのノードプールのセキュリティグループが利用できない場合、ネットワークアクセスルールが無効になります。kubelet と API Server 間の通信や Pod 間のサービスディスカバリーなど、クラスターコンポーネント間の通信は、ポートのブロックやルールの欠落が原因で中断される可能性があります。さらに、不正なトラフィックが保護をバイパスする可能性があり、ノードへの侵入や DDoS 攻撃のリスクが高まります。アウトバウンドルールが異常な場合、ノードは外部ストレージ、イメージリポジトリ、またはモニタリングサービスにアクセスできなくなり、依存するサービスの呼び出しが失敗します。無効なセキュリティグループは、ノードが誤って隔離される原因にもなり、Pod のスケジューリングと業務継続性に影響を与えます。ネットワークの隔離と通信のセキュリティを復元するには、ルール構成を直ちに修正する必要があります。ACK クラスターのノードプールのセキュリティグループが利用できない場合、その構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
脅威検査 | ACK クラスターのノードプールの vSwitch が利用不可 (3.0 モデルで新規) | ACK クラスターのノードプールの vSwitch が利用不可になると、ノード間のネットワーク通信が中断されます。これにより、Pod とサービスがノード間で対話できなくなり、サービスディスカバリーの失敗やデータ伝送の停滞を引き起こす可能性があります。コントロールプレーンとワーカーノード間の通信が切断され、ノードは利用不可としてマークされます。これにより、不適切なエビクションやクラスターの異常なスケールインがトリガーされる可能性があります。さらに、ノードはストレージやデータベースなどの外部リソースにアクセスできなくなり、アプリケーションの機能が麻痺します。ネットワークパーティションのリスクが高まり、クラスターのスプリットブレインやデータ不整合を引き起こす可能性があります。O&M の観点からは、モニタリングデータが中断されると、タイムリーなエラーの特定が困難になります。ネットワーク接続を確保するには、vSwitch サービスを直ちに復元する必要があります。ACK クラスターのノードプールの vSwitch が利用不可の場合、クラスターは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リスク検査 | ACK クラスター検査により APIService が利用不可であることが判明 (3.0 モデルで新規) | ACK クラスターで APIService が利用できないと、拡張 API 機能が失敗します。CustomResourceDefinitions (CRDs) などのカスタムリソースは、コントロールプレーンと通信できません。これにより、Operators や Service Mesh など、拡張 API に依存するコンポーネントの管理例外が発生します。リソースステータスの更新や構成の配信などの API リクエストは、サービス中断により失敗します。これにより、モニタリングデータの損失、自動化ポリシーの失敗、またはクラスター管理コマンドのエラーが発生する可能性があります。Admission Webhooks などのコア拡張 API が影響を受けると、リソース作成フローがブロックされます。これにより、クラスター操作がブロックされるリスクが高まります。重大な機能が麻痺したり、データに不整合が生じたりするのを防ぐために、APIService を緊急に回復する必要があります。ACK クラスターの APIService が利用できない場合、そのクラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターに異常な CoreDNS Pod が存在する (3.0 モデルで新規) | ACK クラスター内に異常な CoreDNS Pod が存在すると、DNS 解像度サービスが不安定になります。これにより、ドメイン名を使用するサービス間の通信でタイムアウトや障害が発生し、アプリケーションの呼び出しが中断される可能性があります。異常な Pod はコントローラーの継続的な再起動をトリガーし、コントロールプレーンの負荷を増大させる可能性があります。また、効果的なサービスを提供することなくノードリソースを消費します。Pod が構成エラーやイメージの脆弱性によって異常になった場合、DNS ハイジャックや解像度の汚染を引き起こす可能性があります。これにより、サービスのルーティングエラーやデータ侵害が発生する可能性があります。DNS サービスの信頼性を回復するには、直ちに Pod のステータスを調査し、構成を修正する必要があります。ACK クラスター内に異常な CoreDNS Pod が存在することは、非準拠項目と見なされます。 | 迅速な修復はサポートされていません。 | いいえ |
リスク検査 | ACK クラスター内の弾性コンポーネントのステータスの異常 (3.0 モデルで新規) | ACK クラスター内の弾性コンポーネントのステータスが異常な場合、自動スケーリングや自動ヒーリングなどのメカニズムが失敗します。高ペイロード期間中、クラスターは動的にスケールアウトできません。これにより、リソースのボトルネックやサービスの応答遅延、または中断が発生します。ノードまたは Pod が失敗した場合、自動的に置き換えることができず、可用性のリスクが高まります。同時に、クラスターはポリシーに基づいてリソース割り当てを最適化できません。これにより、コストの無駄や O&M 効率の低下につながります。長期的には、これにより主要なビジネスフローがブロックされる可能性があります。クラスターの自動回転機能を復元するには、弾性コンポーネントのステータスを緊急に修復する必要があります。ACK クラスター内の弾性コンポーネントのステータスが異常な場合、そのクラスターは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リスク検査 | ACK クラスター内の LoadBalancer サービスの課金方法が実際のインスタンスと一致していません (3.0 モデルで新規) | ACK クラスター内の LoadBalancer サービスの課金方法と実際のインスタンスの不一致は、異常な課金を引き起こします。これにより、サブスクリプションが期待される場合に従量課金で課金されたり、サブスクリプションリソースが期限切れ時に更新されずに予期せずリリースされたりする可能性があります。これらの問題は、サービス中断を引き起こす可能性があります。さらに、混乱したリソース管理は自動スケーリングポリシーに干渉する可能性があり、O&M コストと脅威が増加します。請求のずれやビジネスの可用性の低下を防ぐために、課金方法の構成を直ちに調整する必要があります。ACK クラスター内の LoadBalancer サービスの課金方法が実際のインスタンスと一致しない場合、その構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
脅威の検出 | ACK クラスター内の LoadBalancer サービスの証明書インスタンス ID が実際のインスタンスと一致しません (3.0 モデルで新規)。 | ACK クラスター内の LoadBalancer サービスの証明書インスタンス ID と、実際にアタッチされている証明書との間に不一致があると、Transport Layer Security (TLS) 構成が無効になります。これにより、HTTPS サービス接続の拒否やセキュリティ警告が発生し、ユーザーアクセスが中断される可能性があります。無効な証明書は暗号化されていないトラフィックを公開する可能性があり、中間者攻撃のリスクを高めます。さらに、異常なヘルスチェックによりバックエンドサービスの状態が誤って判断され、トラフィック割り当ての混乱が悪化する可能性があります。安全な通信とサービスの可用性を回復するには、証明書の構成を直ちに同期する必要があります。ACK クラスター内の LoadBalancer サービスの証明書インスタンス ID が実際のインスタンスと一致しない場合、その構成は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | AnalyticDB for PostgreSQL (新規 3.0 モデル) で利用可能なアクティブなデータバックアップセットがありません | AnalyticDB for PostgreSQL のデータバックアップチェックは、データ損失や誤操作によるビジネスの中断を防ぐために、インスタンスのバックアップポリシーが正しく設定されていることを確認します。バックアップポリシーとバックアップステータスを定期的にチェックすることで、データセキュリティと回復機能を効果的に向上させることができます。ストレージ弾力性モードで実行中の非 Serverless の AnalyticDB for PostgreSQL インスタンスは、指定された時間内にインスタンスで利用可能なアクティブなデータバックアップセットがない場合、非準拠と見なされます。デフォルトでは、期間は 7 日 (168 時間) です。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | ECI コンテナグループにボリュームがアタッチされていません。 | ボリュームがアタッチされていない場合、ECI コンテナグループは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | Elasticsearch インスタンスの自動バックアップが無効になっています | 自動バックアップが無効になっている Elasticsearch インスタンスは、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | RDS インスタンスのログバックアップが無効になっています。 | ログバックアップが無効になっている場合、RDS インスタンスは非準拠と見なされます。 | この修正により、選択した RDS インスタンスのログバックアップが有効になります。デフォルトの保存期間は 7 日です。 | いいえ |
データバックアップとスナップショット | AnalyticDB for MySQL インスタンスでログバックアップが有効になっていません | ログバックアップが有効になっていない場合、ADB クラスターは非準拠と見なされます。 | この修正により、選択した AnalyticDB for MySQL クラスターのログバックアップが有効になります。デフォルトの保存期間は 7 日間です。 | いいえ |
データバックアップとスナップショット | PolarDB クラスターでレベル 2 バックアップが有効になっていません。 | PolarDB クラスターは、レベル 2 バックアップが有効になっておらず、保持期間が 30 以上の場合、非準拠と見なされます。 | この修正により、選択した PolarDB クラスターのレベル 2 データバックアップサイクルとレベル 2 バックアップ保持期間が設定されます。デフォルトの保持期間は 30 日です。レベル 2 バックアップが有効になっていない場合、自動的に有効になります。 | いいえ |
データバックアップとスナップショット | Redis インスタンスで増分バックアップが有効になっていません。 | Tair タイプの Redis インスタンスで増分バックアップが有効になっていない場合、非準拠と見なされます。 | クイック修復はサポートされていません。 | なし |
データバックアップとスナップショット | MongoDB インスタンスでログバックアップが有効になっていません | ログバックアップが有効になっていない場合、MongoDB インスタンスは非準拠と見なされます。 | この修正により、選択した MongoDB クラスターのログバックアップが有効になります。デフォルトの保存期間は 7 日です。 | いいえ |
データバックアップとスナップショット | ECS ディスクに自動スナップショットポリシーが設定されていません。 | ECS ディスクに自動スナップショットポリシーが設定されていない場合、そのディスクは非準拠と見なされます。 | この修正により、選択した ECS ディスクに対して指定されたスナップショットポリシーが有効になります。スナップショットポリシーは各リージョンで独立しているため、選択したディスクが配置されているリージョンに同じ名前のポリシーが存在する場合、既存のポリシーが使用されます。それ以外の場合は、新しいスナップショットポリシーが作成されます。 | いいえ |
データバックアップとスナップショット | ECS インスタンスのデータバックアップ保護には脅威があります (3.0 モデルで新規) | 毎日のデータ保護、高リスク操作の保護、リージョン内のディザスタリカバリ、完全なインスタンスの回復など、さまざまなシナリオに応じて、異なるスナップショットおよびバックアップソリューションを選択する必要があります。そうしないと、データを回復できない場合があります。不完全なバックアップソリューションでは、コアファイルの回復可能性と効率が期待を満たせなくなる原因にもなります。ECS インスタンスは、次のすべての条件を満たしていない場合、非準拠と見なされます。
| クイックフィックスはサポートされていません。 | いいえ |
データのバックアップとスナップショット | OSS バケットのデータバックアップポリシーにリスクがあります | バケットレベルでデータを保護する必要があります。バージョン管理が有効になっていない場合、上書きまたは削除されたオブジェクトの履歴バージョンは保存されない可能性があります。問題が発生した場合、バケット内のオブジェクトを特定の時点に回復することはできません。さらに、クロスリージョンレプリケーションが有効になっていない場合、同じアカウントまたは異なるアカウントでの操作は別のリージョンに同期されません。これにより、災害や障害が発生した場合の業務継続性が著しく損なわれます。OSS バケットは、次の条件を満たさない場合、非準拠と見なされます。
| クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | NAS ファイルシステムのデータバックアップポリシーにリスクがあります | NAS でゴミ箱と Cloud Backup が有効になっていない場合、ファイルが誤って削除されたり改ざんされたりしたときに、タイムリーにファイルを回復できません。バックアップボールトでクロスリージョンレプリケーションが有効になっていない場合、マルチバージョンの地理冗長バックアップを実装できず、別のリージョンでデータを回復することもできません。これは業務継続性に重大な影響を及ぼします。NAS ファイルシステムは、次の条件を満たしていない場合、非準拠と見なされます。
| クイック修復はサポートされていません。 | いいえ |
データバックアップとスナップショット | Tablestore インスタンスのデータバックアップポリシーに脅威があります (3.0 モデルで新規) | Tablestore バックアップとリージョン間バックアップが有効になっていない場合、シンプル、効率的、安全、かつ信頼性の高い方法で重要なデータを迅速に回復することはできません。障害が発生した場合、業務継続性が深刻な影響を受けます。Tablestore インスタンスは、次のすべての条件を満たしていない場合、非準拠と見なされます。
| クイック修復はサポートされていません。 | いいえ |
クォータと容量 | ECS API 呼び出しがスロットルされます | API 呼び出しがスロットルされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | RDS API 呼び出しがスロットルされます | API 呼び出しがスロットルされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータ & 容量 | SLB API 呼び出しはスロットルされています | API 呼び出しがスロットルされると、呼び出しが失敗し、サービスの安定性に影響する可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、項目は非準拠と見なされます。 | クイック修復はサポートされていません。 | なし |
クォータと容量 | CDN API 呼び出しがスロットリングされています | API 呼び出しがスロットリングされ、呼び出しが失敗します。これにより、サービスの安定性に影響が及ぶ可能性があります。過去 7 日以内に API 呼び出しで異常なスロットリングの問題が存在する場合、サービスは非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クォータと容量 | Redis API 呼び出しがスロットルされます | API 呼び出しがスロットルされます。これにより、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しが異常にスロットルされた場合、インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | PolarDB API 呼び出しがスロットリングされています | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリングの問題が発生した場合、インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | VPC API 呼び出しがスロットルされます | API 呼び出しがスロットルされると、呼び出しが失敗し、サービスの安定性に影響を及ぼす可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、この項目は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ACK API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しがスロットリングされた場合、この項目は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | RocketMQ API 呼び出しはスロットルされます | API 呼び出しがスロットルされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、サービスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CEN API 呼び出しはスロットルされています | スロットルされた API 呼び出しは呼び出しの失敗を引き起こし、サービスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、この項目は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | ALB API 呼び出しがスロットリングされています | API 呼び出しがスロットリングされると、呼び出しが失敗し、サービスの安定性に影響を与える可能性があります。過去 7 日以内に API 呼び出しがスロットリングされた場合、リソースは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | NAS API 呼び出しがスロットルされています | API 呼び出しがスロットルされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しがスロットルされた場合、この項目は非準拠と見なされます。 | 迅速な修正はサポートされていません。 | いいえ |
クォータと容量 | ACK クラスターの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張操作が制限される可能性があります。ACK クラスターの数に関連するクォータアイテムが上限の 80% に達すると、このアイテムは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ECS 従量課金インスタンスの vCPU クォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、スケーリングなどの操作が制限される可能性があります。従量課金 ECS インスタンスの vCPU のクォータ使用量がクォータ上限の 80% に達した場合、アイテムは非準拠と見なされます。 | 迅速な修正はサポートされていません。 | いいえ |
クォータと容量 | ECS サブスクリプションインスタンスの vCPU クォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。ECS サブスクリプションインスタンスの vCPU クォータの使用量が上限の 80% に達した場合、リソースは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | ECS スポットインスタンスの vCPU クォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。ECS スポットインスタンス vCPU のクォータが上限の 80% に達すると、そのクォータは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | セキュリティグループの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。セキュリティグループの総数のクォータが上限の 80 % に達すると、この項目は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | デプロイメントセットの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、拡張などの操作が制限される可能性があります。デプロイメントセットの総数のクォータが上限の 80% に達すると、ステータスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータとキャパシティ | Elastic Network Interface (ENI) の総数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。Elastic Network Interface (ENI) の総数に関連するクォータ項目が上限の 80% に達すると、この項目は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | SLB インスタンスの総数のクォータ使用量が上限に近づいています。(3.0 モデルで新規) | リソースクォータが不足すると、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。SLB インスタンスの総数のクォータ使用量が上限の 80% に達すると、クォータは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | SLB インスタンスのバックエンドにアタッチできるサーバー数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。SLB インスタンスのバックエンドにアタッチできるサーバー数のクォータが上限の 80% に達した場合、リソースは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | SLB インスタンスのリスナー数のクォータ使用量が上限に近づいています。(3.0 モデルで新規) | リソースクォータが不足していると、プロダクトリソースの作成、変更、または拡張が制限される場合があります。SLB インスタンスは、リスナー数のクォータ使用量が上限の 80% に達した場合、非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータ & 容量 | NAT Gateway にアタッチできる EIP 数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不足していると、プロダクトリソースの作成、変更、または拡張が制限される場合があります。NAT Gateway にアタッチできる EIP 数のクォータ使用量が上限の 80% に達した場合、リソースは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | NAT Gateway の SNAT エントリ数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不足している場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。NAT Gateway の SNAT エントリのクォータ使用量が上限の 80% に達した場合、リソースは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN がサポートする高速化ドメイン名の数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。CDN がサポートする高速化ドメイン名の数のクォータ使用量が上限の 80% に達した場合、この項目は非準拠と見なされます。 | 迅速な修正はサポートされていません。 | いいえ |
クォータと容量 | CDN ディレクトリ更新のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。CDN ディレクトリ更新の使用量が上限の 80% に達した場合、クォータ項目は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN URL リフレッシュのクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。CDN URL リフレッシュの使用量が上限の 80% に達すると、クォータ項目は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN プリフェッチクォータの使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不足している場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。CDN プリフェッチクォータの使用量が上限の 80% に達した場合、その項目は非準拠と見なされます。 | 応急処置はサポートされていません。 | なし |
クォータと容量 | ESS スケーリンググループの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。ESS スケーリンググループの総数のクォータ項目は、使用量が上限の 80% に達した場合、非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クォータ & 容量 | ROS スタックの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。ROS スタックの総数のクォータが上限の 80% に達した場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | EBS ディスクの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。EBS ディスクの総数のクォータ使用量が上限の 80% に達した場合、この項目は非準拠と見なされます。 | 応急処置はサポートされていません。 | いいえ |
クォータと容量 | EIP の総数のクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。EIP の総数のクォータが上限の 80% に達した場合、クォータは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ALB インスタンスの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、またはスケーリングが制限される可能性があります。ALB インスタンスの総数のクォータ使用量が上限の 80% に達した場合、クォータは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | NLB インスタンスの総数のクォータ使用量が上限に近づいています (3.0 モデルで新規) | リソースクォータが不足していると、プロダクトリソースの作成、変更、またはスケーリングが制限される可能性があります。NLB インスタンスの総数のクォータ使用量が上限の 80% に達した場合、この項目は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | RDS オンデマンドインスタンスのクォータ使用量が上限に近づいています (3.0 モデルで新規)。 | リソースクォータが不十分な場合、プロダクトリソースの作成、変更、または拡張が制限される可能性があります。RDS オンデマンドインスタンスのクォータ項目の使用量が上限の 80% に達すると、そのクォータ項目は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
クォータと容量 | RDS インスタンスの残りのストレージ容量が不足しています (3.0 モデルで新規追加) | RDS インスタンスの残りのストレージ容量が不足すると、データベースの書き込み失敗、パフォーマンスの低下、さらにはサービスの中断やデータ損失の脅威につながる可能性があります。ビジネス上の例外を防ぎ、安定したデータベース操作を確保し、システムの信頼性とプロアクティブな O&M を向上させるために、インスタンスをタイムリーにスケールアウトするか、データをクリアする必要があります。RDS インスタンスは、残りのストレージ容量が 10% 未満の場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コスト
カテゴリ | チェック項目 | 説明 | クイック修復の説明 | 意思決定支援 |
コストポリシー | ACK クラスターでコスト管理スイートが有効になっていません | 従来の方法では、クラウドネイティブシナリオにおける効果的なコストの把握とコントロールができません。コスト管理スイートは、無駄の検出やコスト予測などの特徴を提供します。ACK クラスターでコスト管理スイートが有効になっていない場合、この構成はベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
課金方法の最適化 | RDS インスタンスにはサブスクリプション課金方法を推奨します。 | 長期間使用するリソースには、サブスクリプション課金方法を使用することを推奨します。通常、RDS インスタンスの場合、サブスクリプション課金方法は従量課金方法よりもコスト効率が高くなります。従量課金方法を使用している RDS インスタンスはベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
課金方法の最適化 | 従量課金の ECS インスタンスが節約プランの対象になっていません | 長期間使用するリソースには、サブスクリプション課金方法を使用することを推奨します。通常、ECS インスタンスの場合、サブスクリプション課金方法は従量課金方法よりもコスト効率が高くなります。節約プランは、指定された期間にわたって一定量の使用をコミットする代わりに、従量課金リソースをより低い価格で提供する割引プランです。従量課金方法を使用し、節約プランの対象となっていない ECS インスタンスはベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | ECS インスタンスのリソース使用率が低い | ECS インスタンスのリソース使用率を長期間にわたって適切なレベルに維持することは、クラウドのコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の ECS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、ECS インスタンスのコストをコントロールする必要があります。ECS インスタンスの CPU 使用率とメモリ使用量の両方が 30 日間連続で 3% 未満の場合、この構成はベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | ECS インスタンスのディスク使用率が低い | ECS インスタンスのリソース使用率を長期間にわたって適切なレベルに維持することは、クラウドのコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の ECS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、ECS インスタンスのコストをコントロールする必要があります。ECS ディスクのディスク使用率が 30 日間連続で 3% 未満の場合、この構成はベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | RDS インスタンスのリソース使用率が低い | RDS インスタンスのリソース使用率を長期間にわたって適切なレベルに維持することは、クラウドのコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の RDS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、RDS インスタンスのコストをコントロールする必要があります。RDS インスタンスの CPU 使用率、メモリ使用量、およびディスク使用率がすべて 30 日間連続で 3% 未満の場合、この構成はベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | RDS インスタンスのディスク使用率が低い | RDS インスタンスのリソース使用率を長期間にわたって適切なレベルに維持することは、クラウドのコスト管理における重要なタスクです。クラウドプラットフォームは、さまざまな仕様の RDS インスタンスを提供します。ビジネスサイクルに基づいて適切な仕様のインスタンスを選択し、RDS インスタンスのコストをコントロールする必要があります。RDS ディスクのディスク使用率が 30 日間連続で 3% 未満の場合、この構成はベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の ALB インスタンスが存在します | ALB インスタンスにバックエンドサーバーが追加されていないリスナーがあり、インスタンスが 7 日以上前に作成された場合、そのインスタンスは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の共有帯域幅インスタンスが存在します | 共有帯域幅インスタンスがどのリソースにも関連付けられておらず、7 日以上前に作成された場合、そのインスタンスは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態のコンテナイメージインスタンスが存在します | コンテナイメージインスタンスに名前空間またはイメージリポジトリが作成されておらず、インスタンスが 7 日以上前に作成された場合、そのインスタンスは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の ECS インスタンスが存在します | ECS インスタンスが停止状態で、節約モードが有効になっていない場合、そのインスタンスは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の ECS ディスクが存在します | ディスクが「使用中」状態でなく、7 日以上前に作成された場合、そのディスクは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の EIP インスタンスが存在します | EIP がどのリソースにも関連付けられておらず、7 日以上前に作成された場合、その EIP は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の NAT Gateway が存在します | NAT Gateway が EIP に関連付けられていないか、関連付けられた EIP に SNAT または DNAT エントリがなく、ゲートウェイが 7 日以上前に作成された場合、その NAT Gateway は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の VPC NAT Gateway が存在します | VPC NAT Gateway が EIP に関連付けられていないか、関連付けられた EIP に SNAT または DNAT エントリがなく、ゲートウェイが 7 日以上前に作成された場合、その VPC NAT Gateway は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の NAS ファイルシステムが存在します | NAS ファイルシステムにマウントポイントが追加されておらず、ファイルシステムが 7 日以上前に作成された場合、その NAS ファイルシステムは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の SLB インスタンスが存在します | SLB インスタンスに実行中のリスナーがなく、インスタンスが 7 日以上前に作成された場合、そのインスタンスは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の VPN Gateway が存在します | VPN Gateway に宛先ベースルートが構成されておらず、ルート自動伝播が有効になっておらず、ゲートウェイが 7 日以上前に作成された場合、その VPN Gateway は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | ESA サイトが異常な状態です | このチェック項目は、ESA がサイトのアクセラレーションと保護を提供できるように、サイトが有効になっていることを確認します。サイトが有効になっていない場合、アプリケーションリソースの最適化のベストプラクティスではありません。 | クイック修復はサポートされていません。 | いいえ |
コストのモニタリング | アカウントで残高不足アラートが有効になっていません (3.0 モデルで新規) | 費用とコストコンソールで残高不足アラート機能を有効にしないと、アカウントの残高が枯渇しそうになったときに通知を受け取れない場合があります。これにより、支払い遅延によるサービスの停止、データの損失、またはビジネスの中断が発生する可能性があります。さらに、アラートメカニズムがないと、コストが管理不能になり、企業の予算管理や財務コンプライアンスに影響を与える可能性があります。費用とコストコンソールでアカウントの残高不足アラート機能が有効になっていない場合、アカウントは非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
効率性
カテゴリ | チェック項目 | 説明 | クイック修復の説明 | 意思決定支援 |
Resource Management | リンクされたインスタンスが異なるリソースグループに属している | リンクされたインスタンスが同じリソースグループにない場合、リソースグループに基づく管理 (権限、財務、O&M 管理など) は、すべてのターゲットリソースをカバーできません。リンクされたインスタンスは存在するが、同じカスタムリソースグループにない場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
Resource Management | カスタムリソースグループがリソースのグループ化に使用されていない | カスタムリソースグループを使用して、リソースへのアクセスと使用を柔軟に制御できます。カスタムリソースグループに属するリソースの割合が総リソースの 75% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
Resource Management | カスタムタグがリソースのタグ付けに使用されていない | カスタムタグを使用して、さまざまなリソースを柔軟に識別、ソート、整理できます。カスタムタグを持つリソースの割合が総リソースの 75% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
Resource Management | 作成者タグが有効になっていない | 企業にとってクラウド上のリソースの規模が拡大するにつれて、これらのリソースを管理するために複数のユーザーが必要になります。コスト管理やセキュリティなどのシナリオでは、コスト配分やセキュリティ追跡を容易にするためにリソースの作成者を効果的に特定し、それによって管理効率を向上させる必要があります。作成者タグが有効になっていない場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
Resource Management | 事前定義されたタグが使用されていない | 事前定義されたタグは事前に作成され、すべてのリージョンに適用されます。事前定義されたタグを使用すると、リソース実装フェーズ中にクラウドリソースにタグを便利にアタッチして管理できます。事前定義されたタグのカスタムタグに対する割合が 80% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
Resource Management | 複数アカウントのリソース検索機能が有効になっていない | リソースディレクトリを使用して複数の Alibaba Cloud アカウントを管理する場合、管理アカウントまたはデリゲートされた管理者アカウントは、リソースディレクトリ内のすべてのメンバーのクラウドリソースを表示および取得できます。アカウント間のリソース検索が有効になっていない場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アカウントシステム | アカウントがリソースディレクトリによって管理されていない | 複数のアカウントの分散管理と比較して、複数アカウントの一元管理は、企業にとって権限、セキュリティ、コストの面でメリットをもたらします。現在のアカウントがいずれのリソースディレクトリにも属していない場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アカウントシステム | リソースディレクトリにデリゲートされた管理者アカウントを設定することをお勧めします。 | デリゲートされた管理者アカウントを使用して、組織管理タスクをビジネス管理タスクから分離できます。管理アカウントはリソースディレクトリの組織管理タスクを実行し、デリゲートされた管理者アカウントは信頼できるサービスのビジネス管理タスクを実行します。リソースディレクトリの管理アカウント (MA) によって有効化された信頼できるサービスにデリゲートされた管理者アカウントが設定されていない場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
アカウントシステム | 複数アカウントにまたがるメッセージ連絡先を一元管理できます。 | リソースディレクトリのメッセージ連絡先管理機能を使用して、アカウント間のメッセージ連絡先の一元管理を実装できます。リソースディレクトリのメッセージ連絡先が検出されない場合、またはメッセージ連絡先がリソースディレクトリ、フォルダ、またはメンバーにアタッチされていない場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | リソース作成の API 呼び出し成功率が 100% 未満 | 過去 30 日間に自動化されたメソッド (OpenAPI、Cloud Control API、SDK、Terraform など) を使用してインフラストラクチャリソースを作成する成功率が 100% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | リソース変更の API 呼び出し成功率が 100% 未満 | 過去 30 日間に自動化されたメソッド (OpenAPI、Cloud Control API、SDK、Terraform など) を使用してインフラストラクチャリソースを変更する成功率が 100% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の ECS API が呼び出されている | 非推奨の ECS API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の ECS API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の RDS API が呼び出されている | 非推奨の RDS API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の RDS API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の SLB API が呼び出されている | 非推奨の SLB API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の SLB API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の CDN API が呼び出されている | 非推奨の CDN API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の CDN API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の Redis API が呼び出されている | 非推奨の Redis API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の Redis API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の PolarDB API が呼び出されている | 非推奨の PolarDB API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の PolarDB API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の VPC API が呼び出されている | 非推奨の VPC API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の VPC API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の ACK API が呼び出されている | 非推奨の ACK API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の ACK API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の RocketMQ API が呼び出されている | 非推奨の RocketMQ API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の RocketMQ API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の CEN API が呼び出されている | 非推奨の CEN API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の CEN API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の ALB API が呼び出されている | 非推奨の ALB API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の ALB API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 非推奨の NAS API が呼び出されている | 非推奨の NAS API はもはや維持されておらず、安定性の脅威をもたらし、新しい特徴をサポートしていません。過去 30 日間に非推奨の NAS API が呼び出された場合、その動作は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 定型的なリソースプロビジョニングを自動化することがベストプラクティスです。 | 過去 1 年間にコンソール外で OpenAPI を呼び出してリソースを作成した比率が 100% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | リソースの継続的な管理を自動化することをお勧めします。 | 過去 30 日間にコンソール外で OpenAPI を呼び出してリソースを継続的に管理した比率が 100% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | リソース管理を自動化することをお勧めします。 | 過去 30 日間に SDK、Terraform、Cloud Control API、CADT、Service Catalog などの自動化されたメソッドを使用して OpenAPI を呼び出した比率が 100% 未満の場合、構成は非準拠と見なされます。 | クイック修復はサポートされていません。 | いいえ |
パフォーマンス
カテゴリ | チェック項目 | 説明 | クイック修正 | 意思決定支援 |
パフォーマンスモニタリング | MSE コンポーネントには容量リスクがあります。 | リソース容量が妥当な範囲内にあることを確認してください。容量制限を超えると、安定性のリスクが発生する可能性があります。MSE メトリックのいずれかが容量制限を超えた場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | RDS インスタンスのパフォーマンス負荷が高い (3.0 モデルで新規追加)。 | RDS インスタンスの CPU 使用率、メモリ使用量、または接続数が長時間高いままである場合、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断を引き起こす可能性があります。この問題をタイムリーに監視し、対処することをお勧めします。過去 7 日間に RDS インスタンスの次のメトリックのいずれかの平均使用率が 8 時間以上 80% 以上である場合、構成は非準拠と見なされます: CPU 使用率、メモリ使用量、接続使用率、または IOPS。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | Redis インスタンスのパフォーマンス負荷が高い (3.0 モデルで新規追加)。 | Redis インスタンスの CPU 使用率またはメモリ使用量が長時間高いままである場合、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断を引き起こす可能性があります。この問題をタイムリーに監視し、対処することをお勧めします。過去 7 日間に Redis インスタンスの CPU 使用率またはメモリ使用量の平均使用率が 8 時間以上 80% 以上である場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | SLB インスタンスのパフォーマンス負荷が高い (3.0 モデルで新規追加)。 | SLB インスタンスの最大接続数、新規接続数、またはアウトバウンド帯域幅の使用率が長時間高いままである場合、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断を引き起こす可能性があります。この問題をタイムリーに監視し、対処することをお勧めします。過去 7 日間に SLB インスタンスの次のメトリックのいずれかの平均使用率が 8 時間以上 80% 以上である場合、構成は非準拠と見なされます: 最大接続使用率、新規接続数、またはアウトバウンド帯域幅使用率。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | ALB インスタンスに関連付けられている共有帯域幅のパフォーマンス負荷が高い (3.0 モデルで新規追加)。 | ALB インスタンスに関連付けられている共有帯域幅のアウトバウンド帯域幅使用率が長時間高いままである場合、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断を引き起こす可能性があります。この問題をタイムリーに監視し、対処することをお勧めします。過去 24 時間に ALB インスタンスに関連付けられている共有帯域幅の最大アウトバウンド帯域幅使用率が 8 時間以上 80% 以上である場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | ALB インスタンスに関連付けられている EIP のパフォーマンス負荷が高い (3.0 モデルで新規追加)。 | ALB インスタンスに関連付けられている EIP のアウトバウンド帯域幅使用率が長時間高いままである場合、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断を引き起こす可能性があります。この問題をタイムリーに監視し、対処することをお勧めします。過去 24 時間に ALB インスタンスに関連付けられている EIP の最大アウトバウンド帯域幅使用率が 8 時間以上 80% 以上である場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | VPN Gateway のパフォーマンス負荷が高い (3.0 モデルで新規追加)。 | VPN Gateway のインバウンドまたはアウトバウンド帯域幅使用率が長時間高いままである場合、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断を引き起こす可能性があります。この問題をタイムリーに監視し、対処することをお勧めします。過去 24 時間に VPN Gateway の最大インバウンドまたはアウトバウンド帯域幅使用率が 8 時間以上 80% 以上である場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | ECS リソースはメモリ使用量が高いため、パフォーマンスリスクがあります。 | ECS などのコアクラウドプロダクトのメモリ使用量が健全なレベルにあることを確認し、メモリ不足によるパフォーマンス低下やサービス中断のリスクを回避してください。過去 24 時間に ECS インスタンスのメモリ使用量が合計 9 時間以上 85% を超える場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | EBS ディスクはスループットが高いため、パフォーマンスリスクがあります。 | これにより、お客様はパフォーマンスボトルネックを防ぎ、ストレージリソースが合理的に割り当てられているかどうかを評価し、業務継続性を確保するためにリソースをスケールアウトするかどうかを判断できます。過去 24 時間に EBS ディスクの IOPS または BPS 使用率がディスクタイプの IOPS または BPS 制限の 90% を超える場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | EBS ディスクはディスク領域の使用率が高いため、パフォーマンスリスクがあります。 | ディスク領域の使用率が高いと、データ損失のリスクが高まる可能性があります。これにより、お客様は潜在的なパフォーマンスボトルネックを早期に特定し、パフォーマンス低下を防ぐための対策を講じることができます。EBS ディスクのディスク領域使用率が 80% を超える場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
パフォーマンスモニタリング | ECS リソースは CPU 使用率が高いため、パフォーマンスリスクがあります。 | ECS などのコアクラウドプロダクトの CPU 使用率を健全なレベルに保つことは、安定した継続的なビジネスパフォーマンスを保証するための基本です。高負荷はアプリケーションの応答を遅くするだけでなく、システムの自動再起動やサービス低下などの自動保護メカニズムをトリガーする可能性もあります。過去 24 時間に ECS インスタンスの CPU 使用率が合計 8 時間以上 85% を超える場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
ネットワーク設計 | OSS リソースへのアクセスを高速化するために CDN が使用されていない (3.0 モデルで新規追加)。 | CDN を使用して OSS 内の画像、動画、ドキュメントなどの静的リソースを配信すると、トラフィックコストを削減し、リソースの読み込み速度を向上させることができます。CDN は世界中の複数のリージョンにキャッシュノードをデプロイします。ユーザーが OSS 内の静的リソースへのアクセスをリクエストすると、CDN はユーザーのリクエストを最寄りのキャッシュノードにルーティングし、OSS リソースに直接アクセスするための長距離リクエストの必要性をなくします。同時に、最寄りのキャッシュノードは、オリジンの OSS からフェッチすることなく、キャッシュされたリソースをユーザーに返します。このプロセスにより、CDN のダウンストリームトラフィック料金が発生します。CDN のダウンストリームトラフィックの単価は、インターネット経由の OSS アウトバウンドトラフィックよりも低くなっています。現在の OSS Bucket が頻繁にリクエストされているにもかかわらず、OSS データ転送の最適化に CDN が使用されていない場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
ネットワーク設計 | グローバルリージョンの ESA サイトでスマートルーティングが有効になっていません。 | このチェック項目は、サイトでスマートルーティングが有効になっていることを確認し、グローバルリージョンでの ESA の高速化効果を向上させます。有効になっていない場合、構成はネットワーク最適化のベストプラクティスに準拠していません。 | クイック修正はサポートされていません。 | いいえ |
ネットワーク設計 | ESA サイトにキャッシュルールが構成されていません。 | このチェック項目は、サイトにキャッシュルールが構成されていることを確認し、オリジンフェッチトラフィックを削減します。構成されていない場合、構成はネットワーク最適化のベストプラクティスに準拠していません。 | クイック修正はサポートされていません。 | いいえ |
ネットワーク設計 | OSS Bucket にカスタムドメイン名が設定されていません。 | カスタムドメイン名を使用すると、ブランドイメージと専門性を高め、安定性を向上させることができます。カスタムドメイン名は CNAME レコードを介してバインドして CDN アクセラレーションを実現し、アクセスパフォーマンスを向上させることができます。また、安全な HTTPS アクセスをサポートしてデータ転送のセキュリティを強化します。OSS Bucket にカスタムドメイン名が設定されていない場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
弾性リソースの使用 | Auto Scaling グループはパフォーマンスのために自動的にスケーリングできません。 | ECS リソースなどのコアクラウドプロダクトは、パフォーマンス負荷に基づいてリソースを自動的に増減させ、ビジネス運用中の動的なバランスを確保できます。 | クイック修正はサポートされていません。 | いいえ |
弾性リソースの使用 | RDS で自動スケーリング機能が有効になっていません (3.0 モデルで新規追加)。 | RDS インスタンスで自動スケーリング機能が有効になっていない場合、インスタンスはピーク時の負荷増加に対応するためにリソースをタイムリーにスケールアウトしたり、オフピーク時にアイドル状態のリソースを解放したりできない可能性があります。これにより、パフォーマンスボトルネック、応答遅延、さらにはサービスの中断につながる可能性があり、同時にリソースの無駄や不要なコストも発生します。自動スケーリング機能を有効にすると、お客様は弾力的なリソーススケジューリングと効率的な利用を実現できます。これにより、データベースの安定性と高可用性が確保され、コスト構造が最適化され、クラウドリソース管理のインテリジェンスが向上します。RDS インスタンスで自動スケーリング機能が有効になっていない場合、構成は非準拠と見なされます。 | クイック修正はサポートされていません。 | いいえ |
削除されたチェック項目
2.0 モデルの一部のチェック項目は 3.0 モデルにマージされました。3.0 モデルは関連する脅威の検出をカバーしているため、次のチェック項目は削除されました。
重点分野 | カテゴリ | チェック項目 | チェック項目の説明 |
セキュリティ | 権限の乱用を回避 | OSS および SLS で重要な権限を付与されている RAM ID が多すぎます | RAM ID の権限管理には最小権限の原則に従い、必要な権限のみを付与することを推奨します。oss:Delete* または log:Delete* 権限を持つ RAM ID は、OSS または SLS に保存されているデータを削除できます。不適切な管理はデータ損失を引き起こす可能性があります。oss:PutBucketAcl、oss:PutObjectAcl、oss:PutBucketPolicy などの権限を持つ RAM ID は、OSS バケット内のファイルへのアクセス権限を変更できます。これにより、OSS ファイルへの外部アクセスが許可され、不正なデータアクセスが発生する可能性があります。現在の Alibaba Cloud アカウントで oss:Delete*、oss:PutAcl、oss:PutPolicy、log:Delete*、または log:Update* 権限を持つ RAM ID が 3 つ以下の場合、要件は満たされます。 |
セキュリティ | 権限の乱用を回避 | リソースディレクトリで重要な権限を付与されている RAM ID が多すぎます | リソースディレクトリを使用して、組織内のアカウントを一元管理できます。また、現在の組織から新しいアカウントを作成したり、既存のアカウントを削除したりすることもできます。ベストプラクティスとして、リソースディレクトリの有効化または無効化、アカウントの作成、招待、削除、アカウントタイプの切り替えなどのリソースディレクトリへの書き込み権限は、組織内の管理者またはクラウド管理チームのリーダーのみが持つべきです。ほとんどの場合、企業内でこれらの権限を持つ従業員は 3 人以下であるべきです。一般ユーザにはリソースディレクトリへの書き込み権限を付与しないことを推奨します。そうしないと、Alibaba Cloud アカウントの削除などの誤操作がビジネス上の損失を引き起こす可能性があります。 |
セキュリティ | 詳細なアクセスの制御を使用 | 一部の RAM ID のアクセス範囲が収束しています | RAM ID の権限管理には最小権限の原則に従い、必要な権限のみを付与することを推奨します。現在の Alibaba Cloud アカウントで、RAM ID に Alibaba Cloud サービスの一部の操作に対する権限がアタッチされている場合、要件は満たされます。 |
セキュリティ | 詳細なアクセスの制御を使用 | どの RAM ID に対しても OSS および SLS へのアクセスが収束していません | RAM ID の権限管理には最小権限の原則に従い、必要な権限のみを付与することを推奨します。OSS や SLS などのデータプロダクトへのアクセスについては、ID の漏洩によるデータ侵害のリスクを低減するために、詳細な権限付与を使用することを推奨します。現在の Alibaba Cloud アカウントで、RAM ID にデータプロダクトの操作権限がアタッチされている場合は、詳細な権限付与を使用する必要があります。バッチ権限付与にワイルドカード (*) を使用しないでください。これらの条件が満たされている場合、要件は満たされます。 |
セキュリティ | 権限付与の効率とコントロール | RAM ID にアタッチされたカスタムポリシーの有効範囲がリソースグループを指定していません | デフォルトでは、RAM ID にアタッチされたカスタムポリシーの有効範囲はアカウントレベルです。この場合、カスタムポリシーで特定のリソースや条件が指定されていないと、RAM ID はアカウント内のすべてのリソースに対して指定された権限を持ちます。クラウドリソース管理のベストプラクティスとして、リソースをリソースグループでグループ化し、そのグループに基づいて RAM ID に権限を付与する必要があります。権限付与の際に、有効範囲をリソースグループに限定することで、RAM ID の権限範囲をより適切に制限し、詳細な権限付与を実装できます。RAM ID にアタッチされたカスタムポリシーの有効範囲がリソースグループであるか、またはポリシーの条件でリソースグループが指定されている場合、ベストプラクティスに従っていると見なされます。 |
セキュリティ | 権限付与の効率とコントロール | サービスレベルのシステムポリシーを持つ RAM ID の権限付与がリソースグループに収束していません | RAM ID の権限管理には最小権限の原則に従い、必要な権限のみを付与することを推奨します。アプリケーションや環境などのディメンションに基づいてクラウドリソースをリソースグループに分割できます。権限を付与する際、リソースグループに基づいて権限を付与することで、権限範囲をさらに絞り込み、過剰な権限によるリスクを回避できます。現在の Alibaba Cloud アカウントで、RAM ID がサービスレベルのシステムポリシー (AliyunECSFullAccess など) を持ち、権限付与の範囲がリソースグループである場合、要件は満たされます。 |
セキュリティ | 権限付与の効率とコントロール | 管理者権限を持つ RAM ID の権限付与がリソースグループに収束していません | RAM ID の権限管理には最小権限の原則に従い、必要な権限のみを付与することを推奨します。アプリケーションや環境などのディメンションに基づいてクラウドリソースをリソースグループに分割できます。権限を付与する際、リソースグループに基づいて権限を付与することで、権限範囲をさらに絞り込み、過剰な権限によるリスクを回避できます。現在のアカウントで、RAM ID が AdministratorAccess 権限を持ち、権限付与の範囲がリソースグループである場合、要件は満たされます。 |
セキュリティ | 非準拠のアラート応答 | 脅威関連の操作とイベントに対してアラートルールが設定されていません | ActionTrail イベントアラートでサポートされているアカウントセキュリティ関連のルールまたは ActionTrail 操作コンプライアンス関連のルールが有効になっていない場合、設定は非準拠と見なされます。 |
セキュリティ | 自動修復を有効化 | 非準拠の問題が自動的に修復されません | いずれのルールに対しても自動修復を有効にしていない場合、設定は非準拠と見なされます。 |
セキュリティ | データストレージインスタンスはインターネット経由でアクセスできないようにする必要があります | PolarDB インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されています | IP アドレスホワイトリストは、PolarDB クラスターへのアクセスを許可する IP アドレスを指定します。IP アドレスホワイトリストを % または 0.0.0.0/0 に設定すると、どの IP アドレスからでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要な場合を除き、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、PolarDB クラスターの高いレベルのアクセスセキュリティを確保することを推奨します。クラスターの IP アドレスホワイトリストが 0.0.0.0/0 または % に設定されている場合、設定はベストプラクティスに従っていません。 |
セキュリティ | データストレージインスタンスはインターネット経由でアクセスできないようにする必要があります | RDS インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されています | IP アドレスホワイトリストは、RDS インスタンスへのアクセスを許可する IP アドレスを指定します。IP アドレスホワイトリストを 0.0.0.0/0 に設定すると、どの IP アドレスからでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要な場合を除き、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスの高いレベルのアクセスセキュリティを確保することを推奨します。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、設定はベストプラクティスに従っていません。 |
セキュリティ | データストレージインスタンスはインターネット経由でアクセスできないようにする必要があります | Redis インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されています | IP アドレスホワイトリストは、Redis インスタンスへのアクセスを許可する IP アドレスを指定します。IP アドレスホワイトリストを 0.0.0.0/0 に設定すると、どの IP アドレスからでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要な場合を除き、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスの高いレベルのアクセスセキュリティを確保することを推奨します。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、設定はベストプラクティスに従っていません。 |
セキュリティ | データストレージインスタンスはインターネット経由でアクセスできないようにする必要があります | MongoDB インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されています | IP アドレスホワイトリストは、MongoDB インスタンスへのアクセスを許可する IP アドレスを指定します。IP アドレスホワイトリストを 0.0.0.0/0 に設定すると、どの IP アドレスからでもデータベースクラスターにアクセスできます。この設定は、データベースのセキュリティを大幅に低下させます。必要な場合を除き、この設定は使用しないでください。ベストプラクティスとして、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスの高いレベルのアクセスセキュリティを確保することを推奨します。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、設定はベストプラクティスに従っていません。 |
セキュリティ | データストレージインスタンスはインターネット経由でアクセスできないようにする必要があります | Elasticsearch インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されています | インスタンスの IP アドレスホワイトリストは、Elasticsearch インスタンスへのアクセスを許可する IP アドレスを指定します。IP アドレスホワイトリストを 0.0.0.0/0 または |
安定性 | 削除保護 | Redis リソースでリリース保護が有効になっていません | Redis インスタンスでリリース保護が有効になっていない場合、設定は非準拠と見なされます。 |
安定性 | 削除保護 | ECS リソースでリリース保護が有効になっていません | ECS インスタンスでリリース保護が有効になっていない場合、設定は非準拠と見なされます。 |
安定性 | 変更管理 | Redis リソースのメンテナンスウィンドウが不合理です | Redis インスタンスの自動バックアップ時間が 04:00-05:00、05:00-06:00、または 12:00-13:00 の時間範囲内にない場合、設定は非準拠と見なされます。 |
安定性 | 変更管理 | PolarDB リソースのメンテナンスウィンドウが不合理です | PolarDB クラスターのメンテナンスウィンドウが 02:00-04:00 または 06:00-10:00 の時間範囲内にない場合、設定は非準拠と見なされます。 |
安定性 | 変更管理 | ADB リソースのメンテナンスウィンドウが不合理です | ADB クラスターのメンテナンスウィンドウが 02:00-04:00、06:00-08:00、または 12:00-13:00 の時間範囲内にない場合、設定は非準拠と見なされます。 |
安定性 | 変更管理 | RDS リソースのメンテナンスウィンドウが不合理です | RDS インスタンスのメンテナンスウィンドウが 02:00-06:00 または 06:00-10:00 の時間範囲内にない場合、設定は非準拠と見なされます。 |
安定性 | 変更管理 | ECS リソースのメンテナンスウィンドウが不合理です | ECS インスタンスのスナップショットを作成すると、Elastic Block Storage の I/O パフォーマンスが一時的に低下します。自動スナップショットポリシーで指定されたスナップショット作成時間が 01:00 または 02:00 でない場合、設定は非準拠と見なされます。 |
コスト | リソースコストの最適化 | 「アイドルリソース検出のベストプラクティス」コンプライアンスパッケージが有効になっていません | Cloud Config でアイドルリソース検出のコンプライアンスパッケージが有効になっていない場合、設定は非準拠と見なされます。 |
効率 | リソースのグループ化と隔離 | 同じ組織内のリソースが複数のアカウントを使用して管理されていません | Alibaba Cloud アカウントには複数の意味があります。各 Alibaba Cloud アカウントは完全に隔離されたテナントです。デフォルトでは、リソースアクセス、ネットワークデプロイメント、および ID 権限は完全に独立しており、隔離されています。Alibaba Cloud アカウントは請求書にも関連付けられています。異なる Alibaba Cloud アカウントに異なるサービスをデプロイして、独立した会計と課金を実現できます。マルチアカウント管理は、環境の隔離、セキュリティコンプライアンス、およびビジネスイノベーションの観点から企業に利益をもたらします。同じエンティティの下に 2 つ以上の Alibaba Cloud アカウントが存在する場合、条件は満たされます。 |
効率 | 自動化の品質 | ECS クォータが枯渇するリスクがあります | プロダクトリソースを作成または変更したり、プロダクトの機能を使用したりすると、異常が発生する可能性があります。プロダクトのリソースクォータ項目が過去 7 日間で高い使用率を示し、quota_exceed エラーが発生した場合、脅威が存在します。 |
効率 | 自動化の品質 | VPC クォータが枯渇するリスクがあります | プロダクトリソースを作成または変更したり、プロダクトの機能を使用したりすると、異常が発生する可能性があります。プロダクトのリソースクォータ項目が過去 7 日間で高い使用率を示し、quota_exceed エラーが発生した場合、脅威が存在します。 |
効率 | 自動化の品質 | SLB クォータが枯渇するリスクがあります | プロダクトリソースを作成または変更したり、プロダクトの機能を使用したりすると、異常が発生する可能性があります。プロダクトのリソースクォータ項目が過去 7 日間で高い使用率を示し、quota_exceed エラーが発生した場合、脅威が存在します。 |
効率 | 自動化の品質 | CEN クォータが枯渇するリスクがあります | プロダクトリソースを作成または変更したり、プロダクトの機能を使用したりすると、異常が発生する可能性があります。プロダクトのリソースクォータ項目が過去 7 日間で高い使用率を示し、quota_exceed エラーが発生した場合、脅威が存在します。 |
効率 | 自動化の品質 | ACK クォータが枯渇するリスクがあります | プロダクトリソースを作成または変更したり、プロダクトの機能を使用したりすると、異常が発生する可能性があります。プロダクトのリソースクォータ項目が過去 7 日間で高い使用率を示し、quota_exceed エラーが発生した場合、脅威が存在します。 |
効率 | 自動化の品質 | CDN クォータが枯渇するリスクがあります | プロダクトリソースを作成または変更したり、プロダクトの機能を使用したりすると、異常が発生する可能性があります。プロダクトのリソースクォータ項目が過去 7 日間で高い使用率を示し、quota_exceed エラーが発生した場合、脅威が存在します。 |