このトピックでは、BestPracticesForResourceStability コンプライアンスパッケージの背景情報とシナリオについて説明します。また、このコンプライアンスパッケージに含まれるルールについても説明します。
背景情報
リスク管理は、クラウドユーザーにとっての主要な関心事の 1 つです。ほとんどの企業は、Alibaba Cloud サービスを使用して、高可用性で業務継続性を実現しています。業務継続性を確保するには、クラウドユーザーがクラウド リソース構成のセキュリティリスクを効率的かつ包括的に特定するためのソリューションが必要です。
次のセクションでは、クラウド リソースの非準拠構成が原因でシステム障害が発生するケースについて説明します。
企業 A は、テスト環境に適した ApsaraDB RDS Basic Edition インスタンスに基づいてコア 業務システムをデプロイしています。日々の運用では、トラフィックの変動が小さいため、問題は発生しません。大規模な販促イベント中は、ワークロードの量が 2 ~ 3 倍に増加します。リアルタイムで処理されるデータ量は 10 倍以上に増加します。そのため、データベース インスタンスの応答時間が遅くなり、業務継続性に影響を与える可能性があります。根本原因は、データベースの構成がビジネス要件を満たしていないことです。データベースのスペックをスペックアップした後、問題は解決しました。
シナリオ
Cloud Config を使用すると、コア リソースの静的構成に対してコンプライアンス評価を実行し、技術的な経験とクラウド サービスの仕様に基づいて非準拠構成を特定するためのコンプライアンス評価結果を生成できます。評価レポートをダウンロードし、インスタンスのスペックのスペックアップや構成の変更など、非準拠構成を修正できます。
静的構成とは、インスタンス タイプやインスタンスが存在するゾーンなど、クラウド リソースの構成です。
次の図は、BestPracticesForResourceStability コンプライアンスパッケージを使用するプロセスを示しています。
デフォルト ルール
ルール名 | 説明 |
各 RDS インスタンスでログ バックアップが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。ログ バックアップが無効になっている場合、失われたローカルログは回復できません。 | |
各 RDS インスタンスが専用インスタンス ファミリーに属しているかどうかを確認します。属している場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS for MySQL インスタンスで SQL エクスプローラーと監査機能が有効になっているかどうか、および SQL 監査ログを保持できる日数が指定された日数以上であるかどうかを確認します。有効になっている場合、評価結果は「準拠」です。デフォルト値:180。 | |
各 RDS インスタンスがマルチゾーンアーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 | |
各 RDS インスタンスにパブリック エンドポイントが構成されていないことを確認します。構成されていない場合、評価結果は「準拠」です。サイバー攻撃を防ぐため、本番環境ではインターネット経由で RDS インスタンスに直接アクセスできるように構成しないことをお勧めします。 | |
各 RDS インスタンスのメンテナンス期間が、指定された時間範囲のいずれかと一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響を与える可能性があります。 | |
各 RDS インスタンスで削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。サブスクリプション リソースの場合、評価結果は「該当なし」です。 | |
各 RDS インスタンスに IP アドレス ホワイトリストが構成されていて、0.0.0.0/0 が IP アドレス ホワイトリストに追加されていないことを確認します。追加されていない場合、評価結果は「準拠」です。 | |
各サブスクリプション ApsaraDB for Redis インスタンスの有効期限と確認日までの期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。インスタンスで自動更新が有効になっている場合、評価結果も「準拠」です。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 Redis インスタンスの自動バックアップ期間が、指定された時間範囲のいずれかと一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。ビジネスのピーク時間とバックアップ期間が重複する場合、ビジネスに影響を与える可能性があります。 | |
各 ApsaraDB for Redis インスタンスの IP ホワイトリストに 0.0.0.0/0 が追加されているかどうかを確認します。追加されていない場合、評価結果は「準拠」です。 | |
各 ApsaraDB for Redis インスタンスで高リスク コマンドが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB for Redis インスタンスのエディションが Cluster Edition であるかどうかを確認します。Cluster Edition の場合、評価結果は「準拠」です。 | |
各サブスクリプション ApsaraDB for MongoDB クラスタの有効期限と確認日までの期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。クラスタで自動更新が有効になっている場合、評価結果も「準拠」です。 | |
各 ApsaraDB for MongoDB インスタンスでログ バックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 RDS インスタンスが汎用インスタンスであるかどうかを確認します。汎用インスタンスではない場合、評価結果は「準拠」です。 | |
各 ApsaraDB for MongoDB インスタンスの IP ホワイトリストに 0.0.0.0/0 が追加されているかどうかを確認します。追加されていない場合、評価結果は「準拠」です。 | |
各サブスクリプション リソースの有効期限と確認日までの期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。サブスクリプション リソースを使用する場合は、有効期限が切れる前にリソースを更新する必要があります。これにより、リソースの有効期限切れによってインスタンスが停止されるのを防ぎます。インスタンスで自動更新が有効になっている場合、評価結果も「準拠」です。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 PolarDB インスタンスのエディションが Cluster Edition または Multi-master Cluster Edition であるかどうかを確認します。Cluster Edition または Multi-master Cluster Edition の場合、評価結果は「準拠」です。スタンドアロン データベースを使用する場合は注意が必要です。これらのデータベースはフェールオーバーが遅くなります。 | |
各 PolarDB クラスタのメンテナンス期間が、指定された時間範囲のいずれかと一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響を与える可能性があります。 | |
各 PolarDB インスタンスの IP ホワイトリストに 0.0.0.0/0 が追加されているかどうかを確認します。追加されていない場合、評価結果は「準拠」です。 | |
各 NAT ゲートウェイの SNAT エントリと DNAT エントリで異なる Elastic IP Address(EIP)が使用されていることを確認します。使用されている場合、評価結果は「準拠」です。VPC NAT ゲートウェイの場合、評価結果は「該当なし」です。 | |
NAT ゲートウェイの各 SNAT エントリに関連付けられている複数の EIP が EIP 帯域幅プランに追加されているか、またはこれらの EIP の指定された最大帯域幅が同じであるかどうかを確認します。同じである場合、評価結果は「準拠」です。VPC NAT ゲートウェイの場合、評価結果は「該当なし」です。 | |
各 Server Load Balancer(SLB)インスタンスのすべてのリスナーでヘルスチェックが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 Application Load Balancer(ALB)インスタンスのすべてのリスナーと転送ルールでヘルスチェックが構成されているかどうかを確認します。構成されている場合、評価結果は「準拠」です。 | |
各 ALB インスタンスのリスナーに関連付けられたデフォルトの転送ルールに追加されたバックエンド サーバーの数が、指定された数よりも少ないことを確認します。少ない場合、評価結果は「準拠」です。デフォルト値:1。 | |
各サブスクリプション リソースの有効期限と確認日までの期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。サブスクリプション リソースを使用する場合は、有効期限が切れる前にリソースを更新する必要があります。これにより、リソースの有効期限切れによってインスタンスが停止されるのを防ぎます。インスタンスで自動更新が有効になっている場合、評価結果も「準拠」です。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 ALB インスタンスで削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。この機能により、誤操作によってインスタンスがリリースされるのを防ぎます。 | |
各 SLB インスタンスでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 SLB インスタンスのインスタンスタイプが指定された仕様リストに含まれているかどうかを確認します。含まれている場合、評価結果は「準拠」です。パフォーマンス要件を満たすことができる SLB インスタンスを使用することをお勧めします。共有リソース SLB インスタンスを使用する場合、パフォーマンス要件が満たされない可能性があります。注意して進めてください。 | |
各 Cloud Enterprise Network(CEN)インスタンスのリージョン間接続に割り当てられている帯域幅が、指定された値よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:1 Mbit/s。 | |
各 CEN インスタンスにアタッチされている仮想ボーダールータ(VBR)でヘルスチェック機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
リージョン内の各 vSwitch の IP アドレスが一意であるかどうかを確認します。一意である場合、評価結果は「準拠」です。 | |
各 ECS インスタンスが停止状態にあるかどうかを確認します。停止状態ではない場合、評価結果は「準拠」です。 | |
各サブスクリプション リソースの有効期限と確認日までの期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。サブスクリプション リソースを使用する場合は、有効期限が切れる前にリソースを更新する必要があります。これにより、リソースの有効期限切れによってインスタンスが停止されるのを防ぎます。インスタンスで自動更新が有効になっている場合、評価結果も「準拠」です。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各自動スナップショット ポリシーに指定したスナップショット作成時間が、指定された時間範囲内にあるかどうかを確認します。範囲内にある場合、評価結果は「準拠」です。Elastic Block Storage(EBS)デバイスのスナップショットが作成されている間、デバイスの I/O パフォーマンスは最大 10% 低下します。これは、一時的な I/O 速度の低下につながる可能性があります。オフピーク時に自動スナップショットを作成することをお勧めします。 | |
各セキュリティ グループの IP アドレス ホワイトリストに 0.0.0.0/0 が追加されていて、高リスク ポートが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。セキュリティ グループの IP アドレス ホワイトリストに 0.0.0.0/0 が追加されていない場合、高リスク ポートが無効になっているかどうかに関係なく、評価結果は「準拠」です。優先度の高い権限付与ポリシーによって高リスク ポートが拒否されている場合、評価結果は「準拠」です。セキュリティ グループがクラウド サービスまたは仮想ネットワーク オペレーターによって使用されている場合、評価結果は「該当なし」です。 | |
各ドメイン名に CDN キャッシュと有効期限が指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | |
Alibaba Cloud CDN によって高速化される各ドメイン名のオリジン サーバーが OSS ドメイン名に設定されていて、オリジン サーバーのタイプが OSS に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。 | |
各 Kafka インスタンスのパブリック IP ホワイトリストですべての IP アドレスからのアクセスが許可されているかどうかを確認します。許可されている場合、評価結果は「準拠」です。 | |
各 Elasticsearch クラスタでインターネット アクセスが有効になっていて、任意のインターネット アクセスが許可されているかどうかを確認します。許可されている場合、評価結果は「非準拠」です。 | |
各 Elasticsearch インスタンスで、Kibana へのパブリック ネットワークからのアクセスが拒否されていて、すべての IP アドレスからのアクセスが許可されていないことを確認します。許可されていない場合、評価結果は「準拠」です。 | |
各 OSS バケットでバージョン管理が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。バージョン管理が無効になっている場合、データが上書きまたは削除されると、データを回復できません。 | |
各 OSS バケットの ACL ポリシーで、インターネットからの読み取りおよび書き込みアクセスが拒否されているかどうかを確認します。拒否されている場合、評価結果は「準拠」です。 | |
各 ECS インスタンスのインスタンス ファミリーが指定された値と異なるかどうかを確認します。異なる場合、評価結果は「準拠」です。instanceTypeFamily パラメーターのデフォルト値は、廃止されたインスタンス ファミリーまたは共有インスタンス ファミリーです。 | |
各 Elasticsearch クラスタのインスタンスタイプが指定された値と異なるかどうかを確認します。異なる場合、評価結果は「準拠」です。 | |
各 RDS インスタンスのエディションが指定された値と一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。categories パラメーターのデフォルト値は、Cluster Edition または High-availability Edition を示します。 | |
各 Kubernetes クラスタが ACK Edge Pro クラスタであるかどうかを確認します。ACK Edge Pro クラスタの場合、評価結果は「準拠」です。管理対象外の Kubernetes クラスタの場合、評価結果は「該当なし」です。 | |
各 ApsaraDB for Redis インスタンスのエディションが Enhanced Edition(Tair)であるかどうかを確認します。Enhanced Edition(Tair)の場合、評価結果は「準拠」です。 | |
各 ApsaraDB for MongoDB インスタンスがマルチゾーン アーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 | |
各 ApsaraMQ for RocketMQ インスタンスのエディションが Enterprise Platinum Edition であるかどうかを確認します。Enterprise Platinum Edition の場合、評価結果は「準拠」です。 | |
各 ECS インスタンスのオペレーティング システムの名前が、指定されたホワイトリストに含まれているか、または指定されたブラックリストに含まれていないことを確認します。含まれている場合、または含まれていない場合、評価結果は「準拠」です。企業は、企業内でオペレーティング システムのバージョンを標準化し、セキュリティの脆弱性を防ぐために、メンテナンスされていないオペレーティング システムを適時にアップグレードできます。 | |
各 Elasticsearch クラスタのバージョンが推奨されているかどうかを確認します。推奨されている場合、評価結果は「準拠」です。 | |
各 PolarDB データベースのマイナー バージョンが | |
各 ACK クラスタが最新バージョンにアップグレードされているかどうかを確認します。アップグレードされている場合、評価結果は「準拠」です。 | |
各 Redis インスタンスが最新のマイナー バージョンにアップグレードされているかどうかを確認します。アップグレードされている場合、評価結果は「準拠」です。 | |
各 ECS インスタンスでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 EIP で削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。サービス アカウントで作成された EIP およびサブスクリプション EIP の場合、評価結果は「該当なし」です。これらの EIP は削除保護機能をサポートしていません。 | |
各 PolarDB クラスタで削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 ACK クラスタで削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB for Redis インスタンスでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB for MongoDB インスタンスでリリース保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 AnalyticDB クラスタのメンテナンス期間が、指定された時間範囲内にあるかどうかを確認します。範囲内にある場合、評価結果は「準拠」です。 | |
各コンテナ グループにデータ ボリュームがマウントされているかどうかを確認します。マウントされている場合、評価結果は「準拠」です。 | |
各 Elasticsearch クラスタで自動バックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 AnalyticDB クラスタでログ バックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 PolarDB クラスタのレベル 2 バックアップの保存期間が、指定された日数以上であるかどうかを確認します。以上の場合、評価結果は「準拠」です。デフォルト値:30。レベル 2 バックアップが有効になっていないか、バックアップの保存期間が指定された日数よりも短い場合、評価結果は「非準拠」です。 | |
各 ApsaraDB for Redis インスタンスで増分バックアップが有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。Tair 以外のインスタンスの場合、評価結果は「該当なし」です。 | |
各 ECS ディスクに自動スナップショット ポリシーが指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | |
各 Elasticsearch インスタンスがマルチゾーン アーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 | |
各 SLB インスタンスがマルチゾーン アーキテクチャを使用していて、複数のゾーンのリソースが SLB インスタンスのすべてのリスナーによって使用されるサーバー グループに追加されているかどうかを確認します。追加されている場合、評価結果は「準拠」です。 | |
各 SLB インスタンスがマルチゾーン アーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 | |
各 PolarDB クラスタでホット スタンバイ クラスタ機能が有効になっていて、データが複数のゾーンに分散されているかどうかを確認します。分散されている場合、評価結果は「準拠」です。 | |
各 ApsaraDB for Redis インスタンスがマルチゾーン アーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 | |
各 OSS バケットでゾーン冗長ストレージ(ZRS)機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。ZRS 機能が無効になっている場合、OSS は一貫したサービスを提供できず、データセンターが使用できなくなったときにデータの回復を保証できません。 | |
各 ApsaraDB for MongoDB インスタンスがマルチゾーン アーキテクチャを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。 | |
各 EIP 帯域幅プランの有効期限と現在の日付の間の期間が、指定された期間よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各サブスクリプション リソースの有効期限と確認日までの期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。サブスクリプション リソースを使用する場合は、有効期限が切れる前にリソースを更新する必要があります。これにより、リソースの有効期限切れによってインスタンスが停止されるのを防ぎます。デフォルト値:30。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各堡塁ホストの有効期限と現在の日付の間の期間が、指定された期間よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。 | |
各 EIP の有効期限と現在の日付の間の期間が、指定された期間よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 AnalyticDB for MySQL クラスタ(Data Warehouse Edition)の有効期限と現在の日付の間の期間が、指定された期間よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。インスタンスで自動更新が有効になっている場合、評価結果も「準拠」です。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 CEN 帯域幅プランの有効期限と現在の日付の間の期間が、指定された期間よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。 | |
各 PolarDB for Xscale 1.0 インスタンスの有効期限と現在の日付の間の期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 PolarDB for Xscale 2.0 インスタンスの有効期限と現在の日付の間の期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。従量課金制リソースの場合、評価結果は「該当なし」です。 | |
各 Anti-DDoS インスタンスの有効期限と現在の日付の間の期間が、指定された日数よりも大きいことを確認します。大きい場合、評価結果は「準拠」です。デフォルト値:30。 |