このコンプライアンスパッケージは、Alibaba Cloud Model Studio、Platform for AI (PAI)、およびそれらのコア依存関係における潜在的なセキュリティ、安定性、コンプライアンスのリスクを検出および管理するのに役立ちます。これらの依存関係には、ACS、Container Registry (ACR)、OSS、NAS、Key Management Service (KMS)、Simple Log Service (SLS)、および MaxCompute が含まれます。このトピックでは、生成 AI コンプライアンスのベストプラクティスのデフォルトルールについて説明します。
ルール名 | ルールの説明 |
Model Studio の入力コンテンツに対してプロンプト攻撃セキュリティガードレールを有効にすると、コンプライアンスに準拠していると見なされます。 | |
Model Studio の入力コンテンツに対してセキュリティガードレールを有効にし、7 日以内に少なくとも 1 回の呼び出しを行うと、コンプライアンスに準拠していると見なされます。 | |
Model Studio の出力コンテンツに対してプロンプト攻撃セキュリティガードレールを有効にすると、コンプライアンスに準拠していると見なされます。 | |
Model Studio の出力コンテンツに対してセキュリティガードレールを有効にし、7 日以内に少なくとも 1 回の呼び出しを行うと、コンプライアンスに準拠していると見なされます。 | |
Model Studio の出力コンテンツに対して悪意のある URL セキュリティガードレールを有効にすると、コンプライアンスに準拠していると見なされます。 | |
CloudMonitor で Elastic Algorithm Service (EAS) に対して少なくとも 1 つのアラートルールを設定すると、コンプライアンスに準拠していると見なされます。 | |
CloudMonitor で Deep Learning Containers (DLC) に対して少なくとも 1 つのアラートルールを設定すると、コンプライアンスに準拠していると見なされます。 | |
Basic Edition より上位の Security Center エディションを使用するか、従量課金版を有効にすると、コンプライアンスに準拠していると見なされます。 | |
ACK クラスターにパブリックエンドポイントが設定されていない場合、または関連付けられた SLB のリスナーでアクセス制御リスト (ACL) が有効になっている場合、その ACK クラスターはコンプライアンスに準拠していると見なされます。 | |
CloudMonitor エージェントがすべての実行中のノードにインストールされ、モニタリングステータスが Normal の場合、ACK クラスターはコンプライアンスに準拠していると見なされます。 | |
ACK クラスターに内部コンテナー操作監査コンポーネントをインストールすると、コンプライアンスに準拠していると見なされます。このコンポーネントは、組織のメンバーまたはアプリケーションがコンテナーにアクセスした後に実行するコマンドを監査するのに役立ちます。 | |
ACK クラスターの API Server 監査機能を有効にすると、コンプライアンスに準拠していると見なされます。この機能は、クラスター管理者がさまざまなユーザーの日々の操作を記録または追跡するのに役立ちます。 | |
3 つ以上のゾーンにノードが分散されたリージョナル ACK クラスターを使用すると、コンプライアンスに準拠していると見なされます。 | |
ACK クラスターの RRSA 機能を有効にすると、コンプライアンスに準拠していると見なされます。RRSA 機能は、クラスター内で Pod レベルの OpenAPI 権限の分離を提供します。これにより、クラウドリソースへのアクセス権限を詳細に分離し、セキュリティリスクを低減できます。 | |
ACK クラスターの Secret に対して保存時の暗号化を設定すると、コンプライアンスに準拠していると見なされます。このルールは ACK ベーシッククラスターには適用されません。 | |
ACK クラスターのコンテナーセキュリティポリシーを有効にして設定すると、コンプライアンスに準拠していると見なされます。 | |
ACK マネージドクラスターのコントロールプレーンコンポーネントのログ収集を有効にすると、コンプライアンスに準拠していると見なされます。このルールは、非マネージドクラスターには適用されません。 | |
パブリックネットワークアクセスが有効になっていない場合、Container Registry インスタンスはコンプライアンスに準拠していると見なされます。このルールは Enterprise Edition インスタンスに適用されます。 | |
ゾーン冗長 OSS バケットに関連付けられた Container Registry インスタンスは、コンプライアンスに準拠していると見なされます。 | |
Container Registry のイメージバージョンを不変に設定すると、コンプライアンスに準拠していると見なされます。 | |
暗号化が有効になっている ECS データディスクは、コンプライアンスに準拠していると見なされます。 | |
自動スナップショットポリシーが設定された ECS ディスクは、コンプライアンスに準拠していると見なされます。このルールは、使用されていないディスク、自動スナップショットポリシーをサポートしていないディスク、または非永続的な使用のために ACK クラスターにマウントされたディスクには適用されません。自動スナップショットポリシーを有効にすると、Alibaba Cloud は指定された時点と間隔でディスクのスナップショットを自動的に作成します。これにより、ウイルス侵入やランサムウェア攻撃などのセキュリティイベントから迅速に回復できます。 | |
Key Management Service (KMS) のカスタマーマスターキー (CMK) の自動回転を有効にすると、コンプライアンスに準拠していると見なされます。このルールは、サービスキーや Bring Your Own Key (BYOK) を使用してインポートしたキーには適用されません。 | |
KMS マスターキーの削除保護を有効にすると、コンプライアンスに準拠していると見なされます。このルールは、無効化されたキーやサービスキーには適用されません。なぜなら、サービスキーは削除できないからです。 | |
Key Management Service の認証情報の自動回転を有効にすると、コンプライアンスに準拠していると見なされます。このルールは、汎用シークレットには適用されません。 | |
MaxCompute プロジェクトにゾーンディザスタリカバリ アーキテクチャを使用すると、コンプライアンスに準拠していると見なされます。 | |
MaxCompute プロジェクトの暗号化を有効にすると、コンプライアンスに準拠していると見なされます。このルールは、凍結されたプロジェクトには適用されません。 | |
MaxCompute プロジェクトの IP ホワイトリストを有効にすると、コンプライアンスに準拠していると見なされます。 | |
権限グループがすべてのソースからのアクセスを許可していない場合、NAS ファイルシステムはコンプライアンスに準拠していると見なされます。このルールは、ファイルシステムにマウントポイントがない場合、または関連付けられた権限グループにルールがない場合には適用されません。 | |
NAS ファイルシステムのバックアッププランを作成すると、コンプライアンスに準拠していると見なされます。 | |
NAS ファイルストレージアクセスポイントの RAM ポリシーを有効にすると、コンプライアンスに準拠していると見なされます。 | |
NAS ファイルシステムの暗号化を設定すると、コンプライアンスに準拠していると見なされます。 | |
アクセス制御リスト (ACL) が公開読み書き権限を付与していない場合、OSS バケットはコンプライアンスに準拠していると見なされます。OSS バケットに公開読み書き権限がある場合、どの訪問者でもデータを書き込むことができ、バケットが悪意のあるデータ注入のリスクにさらされます。 | |
OSS バケットのゾーン冗長ストレージを有効にすると、コンプライアンスに準拠していると見なされます。ゾーン冗長ストレージが有効になっていない場合、データセンターが利用できなくなったときに OSS は可用性と耐久性を保証できず、データ復元の目標に影響を与える可能性があります。 | |
OSS バケットのサーバーサイド KMS 暗号化を有効にすると、コンプライアンスに準拠していると見なされます。 | |
TLS が有効で、使用されている TLS バージョンがパラメーターで指定されたバージョンのいずれかである場合、OSS バケットはコンプライアンスに準拠していると見なされます。デフォルトの TLS バージョンは TLS 1.2 と TLS 1.3 です。 | |
OSS バケットのクロスリージョンレプリケーションを有効にすると、コンプライアンスに準拠していると見なされます。このルールは、Backup Disaster Recovery (BDRC) からの検出結果に依存します。BDRC が有効化されていないか、検出結果が利用できない場合、このルールは適用されません。 | |
権限ポリシーで読み取りおよび書き込み操作に HTTPS を使用する必要がある、または HTTP 経由のアクセスが拒否されていると指定されている場合、OSS バケットはコンプライアンスに準拠していると見なされます。このルールは、権限ポリシーが空の OSS バケットには適用されません。 | |
PAI Elastic Algorithm Service (EAS) インスタンスは、複数のゾーンに分散されている場合にコンプライアンスに準拠していると見なされます。 | |
PAI Deep Learning Containers (DLC) の計算能力ヘルスチェックを有効にすると、コンプライアンスに準拠していると見なされます。このルールは、トレーニングタスクが実行されていない場合には適用されません。 | |
PAI Deep Learning Containers (DLC) の AIMaster ベースのフォールトトレランスモニタリングを有効にすると、コンプライアンスに準拠していると見なされます。このルールは、トレーニングタスクが実行されていない場合には適用されません。 | |
エンドポイントサービスに複数のゾーンを設定すると、コンプライアンスに準拠していると見なされます。 | |
Simple Log Service Logstore のデータ暗号化を設定すると、コンプライアンスに準拠していると見なされます。 |