このトピックでは、ComplianceCheckOnTrainingArchitectureOfGPUAIModel のデフォルトルールについて説明します。これらのルールは、GPU での AI モデルトレーニングのアーキテクチャ設計をチェックし、ECS、NAS、OSS などのコアリソースがトレーニング要件を満たしていることを確認します。
ルール名 | ルールの説明 |
ACK クラスターは、パブリックエンドポイントがない場合に準拠します。 | |
ACK クラスターは、最新バージョンにアップグレードされている場合に準拠します。 | |
ACK クラスターは、そのバージョンがまだメンテナンス中である場合に準拠します。 | |
ACK クラスターは、その Secrets に対して保存時の暗号化が設定されている場合に準拠します。このルールは ACK Basic クラスターには適用されません。 | |
実行中の ECS インスタンスは、CloudMonitor エージェントがインストールされ、実行されている場合に準拠します。このルールは、実行中でないインスタンスには適用されません。 | |
インスタンスは、Security Center プラグインがインストールされてセキュリティ保護が提供されている場合に準拠します。このルールは、実行中でないインスタンスには適用されません。 | |
ECS インスタンスは、削除保護が有効になっている場合に準拠します。 | |
ECS インスタンスは、そのイメージが作成されてからの日数が指定された値より少ない場合に準拠します。デフォルト値は 180 日です。 | |
ECS インスタンスは、停止状態でなければ準拠します。このルールは、期限切れのインスタンスやエコノミーモードが有効になっているインスタンスには適用されません。 | |
ECS インスタンスは、パブリック IPv4 アドレスまたは EIP が直接割り当てられていない場合に準拠します。 | |
ECS インスタンスは、RAM ロールがアタッチされている場合に準拠します。 | |
ECS インスタンスは、SSH キーペアがアタッチされていない場合に準拠します。このルールは、企業がインスタンスに対して特別なアクセスの制御要件を持つシナリオに適用されます。 | |
セキュリティグループは、許可ポリシーを持つインバウンドルールで、ポート範囲が -1/-1 に設定され、かつソースが 0.0.0.0/0 に設定されていない場合に準拠します。また、優先度の高いルールがそのようなアクセスを拒否する場合も、セキュリティグループは準拠します。このルールは、Alibaba Cloud サービスまたは仮想サーバープロバイダーが使用するセキュリティグループには適用されません。 | |
セキュリティグループは、0.0.0.0/0 からのインバウンドルールが、指定されたプロトコルに対して危険なポートを開放していない場合に準拠します。これにより、ログインパスワードに対するブルートフォース攻撃のリスクが軽減されます。また、優先度の高いルールがこれらの危険なポートへのアクセスを拒否する場合も、セキュリティグループは準拠します。このルールは、Alibaba Cloud サービスまたは仮想サーバープロバイダーが使用するセキュリティグループには適用されません。デフォルトの危険なポートは 22 と 3389 です。 | |
NAS ファイルストレージアクセスポイントは、RAM ポリシーが有効になっている場合に準拠します。 | |
NAS ファイルシステムは、バックアッププランが作成されている場合に準拠します。 | |
ファイルストレージアクセスポイントは、そのルートディレクトリがデフォルトディレクトリに設定されていない場合に準拠します。 | |
NAS ファイルシステムは、暗号化が設定されている場合に準拠します。 | |
OSS バケットは、そのアクセス制御リスト (ACL) が公開読み書きアクセスを許可していない場合に準拠します。OSS バケットに公開読み書き権限を付与すると、誰でもデータを書き込めるようになります。これにより、悪意のあるデータが挿入されるリスクにさらされます。この権限を無効にしてください。 | |
OSS バケットは、その ACL が公開読み取りアクセスを許可していない場合に準拠します。公開読み取り権限は、インターネット経由でのデータ漏洩のリスクを高めます。この権限を無効にしてください。 | |
OSS バケットは、その ACL が公開読み書きアクセスを許可していない場合に準拠します。OSS バケットに公開読み書き権限を付与すると、誰でもデータを書き込めるようになります。これにより、悪意のあるデータが挿入されるリスクにさらされます。この権限を無効にしてください。 | |
OSS バケットは、ゾーン冗長ストレージが有効になっている場合に準拠します。これにより、データセンターが利用できなくなった場合のデータの可用性と耐久性が確保され、データ復元の目標を達成するのに役立ちます。 | |
OSS バケットは、OSS マネージドキーまたは KMS マネージドキーによるサーバー側暗号化が有効になっている場合に準拠します。 | |
OSS バケットは、そのバケットに対してログ管理でログストレージが有効になっている場合に準拠します。 | |
OSS バケットは、KMS マネージドキーによるサーバー側暗号化が有効になっている場合に準拠します。 | |
OSS バケットは、バージョン管理が有効になっている場合に準拠します。これにより、データが上書きまたは削除された後に回復できます。このルールは、データ保持ポリシーが有効になっている場合には適用されません。 | |
OSS バケットは、そのアクセスポリシーが読み取りおよび書き込み操作に HTTPS を要求するか、HTTP 経由のアクセスを拒否する場合に準拠します。このルールは、空のアクセスポリシーを持つ OSS バケットには適用されません。 | |
VPC は、関連付けられたルートテーブルにカスタム CIDR ブロック内の IP アドレスに対するルートが少なくとも 1 つ含まれている場合に準拠します。 | |
VPC は、フローログ機能が有効になっている場合に準拠します。 | |
vSwitch は、利用可能な IP アドレス数が指定された値より大きい場合に準拠します。 |