本文為您介紹治理成熟度等級檢測2.0模型支援的檢測項,方便您查詢和使用。
安全
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
主帳號管理 | 主帳號未開啟多因素認證 MFA | 對於主帳號身份,建議啟用 MFA 提供更進階的安全保護。當前主帳號未開啟 MFA,則視為不合規。 | 暫不支援快速修複。 | 否 |
主帳號管理 | 主帳號存在啟用的 AccessKey | 主帳號 AccessKey 等同於主帳號許可權,無法進行條件限制(如訪問來源 IP、訪問時間等),一旦泄漏風險極大。有存在的主帳號 AccessKey,則視為不合規。 | 暫不支援快速修複。 | 否 |
主帳號管理 | 近90天主帳號登入過控制台 | 主帳號許可權極大,無法進行條件限制(如訪問來源IP、訪問時間等),一旦泄漏風險極大。當前主帳號在一個月內登入次數超過3次,則視為不合規。 | 暫不支援快速修複。 | 否 |
使用者管理 | 未啟用 RAM SCIM 同步處理的使用者 | 通過 SCIM 可以便捷地將企業內的人員身份同步到阿里雲上,無需手動建立使用者。當前帳號下未配置 SCIM 同步,或同步的使用者在 2 個月內無登入行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
使用者管理 | 未啟用 RAM SSO 方式登入控制台 | 通過 SSO 集中化管控人員身份,能夠提升人員身份的管理效率,降低風險。當前帳號下未配置 RAM SSO,或在 30 天內有無通過 SSO 的登入行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
使用者管理 | 存在既啟用控制台登入又保有 AccessKey 的 RAM 使用者 | 在任何情境下,我們都推薦單一職責原則。當前帳號下有 RAM 使用者存在 AccessKey 並且開啟了控制台登入,則視為不合規。 | 暫不支援快速修複。 | 是 |
使用者管理 | 未使用 RAM 管理身份 | 主帳號許可權極大,一旦泄漏風險極大。日常操作建議通過 RAM 身份的方式進行。當前帳號下未存在任何 RAM 身份,則視為不合規。 | 暫不支援快速修複。 | 否 |
人員身份管理 | 未設定完全的密碼強度規則 | 通過提升密碼強度可以有效降低密碼被撞庫和暴力破解的風險。未設定較強的密碼強度、密碼有效期間和歷史密碼檢查策略以及密碼重試約束,則視為不合規。 | 此修複將修改存取控制(RAM)的密碼強度的關鍵設定。其中包含密碼長度大於等於8位、包含的元素大於等於三個、有效期間小於90天、一小時最大重試登入小於等於5次。以上為最佳實務推薦設定,根據企業實際需求,可通過修改參數實現更嚴格的密碼強度要求。設定成功後將適用於所有RAM使用者。 | 否 |
人員身份管理 | 存在 RAM 使用者未啟用 MFA | MFA 將為 RAM 使用者提供更高的安全保護。RAM 使用者啟用了控制台登入後,如果未設定 MFA,則視為不合規。 | 暫不支援快速修複。 | 是 |
人員身份管理 | 存在閑置的 RAM 使用者 | RAM 使用者啟用控制台登入時會設定登入密碼。時間越長,密碼暴露的風險就越高。如果存在超過 90 天未登入的閑置 RAM 使用者,則視為不合規。 | 暫不支援快速修複。 | 是 |
程式身份管理 | ECS執行個體未使用加固模式的Metadata Service(2.0模型新增) | 確保ECS執行個體使用加固模式的Metadata Service(V2版本),以防止V1版本可能導致的STS Token泄漏。若ECS執行個體使用V1版本的Metadata Service,則視為不合規。客戶需將Metadata Service升級至V2版本進行治理。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 存在 AccessKey 定期未輪轉 | 通過定期輪轉,降低 AccessKey 暴露時間長度,進而降低 AccessKey 泄漏風險。RAM 使用者 AccessKey 使用超過 90 天,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 程式訪問未採用無 AccessKey 方案 | 當前帳號下 ECS 未配置執行個體角色,或者 ACK 未開啟 RRSA 外掛程式,或者Function Compute服務中未佈建服務角色,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | AccessKey 存在泄露未處理 | AccessKey 泄漏後,攻擊者可以利用該 AccessKey 訪問您的資源或資料,造成安全事故。有未處理的 AccessKey 泄漏事件,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 存在同時啟用兩個 AccessKey 的 RAM 使用者 | 一個 RAM 使用者啟用兩個 AccessKey,會導致 RAM 使用者喪失輪轉能力,帶來更大的風險。單個 RAM 使用者存在兩個 AccessKey,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 存在 AccessKey 閑置的 RAM 使用者 | RAM 使用者 AccessKey 具備訪問阿里雲 API 的能力,在外部暴露的時間越長,則泄漏風險越高。RAM 使用者 AccessKey 超過 90 天未使用,則視為不合規。 | 暫不支援快速修複。 | 是 |
使用細粒度授權 | 不存在對訪問操作範圍進行收斂的 RAM 身份 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。在當前阿里雲帳號下,RAM 身份綁定了某個雲端服務的部分操作許可權,則認為滿足要求。 | 暫不支援快速修複。 | 否 |
使用細粒度授權 | 不存在對 OSS、SLS 訪問進行收斂的 RAM 身份 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。尤其對於資料類產品的訪問,例如:OSS、SLS 等,建議精細化授權,降低身份泄露導致的資料泄露風險。在當前阿里雲帳號下,如果 RAM 身份綁定了資料類產品相關的操作許可權,必須進行精細化授權,請勿通過萬用字元*進行大量授權,則認為滿足要求。 | 暫不支援快速修複。 | 否 |
使用細粒度授權 | 不存在細粒度授權的 RAM 身份(2.0模型刪除) | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。通過自訂策略可以對 RAM 身份進行精細化授權。不存在 RAM 身份綁定了自訂策略,則視為不合規。 | 暫不支援快速修複。 | 否 |
使用登入憑證報告 | 未定期擷取身份許可權檢測報告(2.0模型刪除) | 在當前帳號下,近 90 天內未查看了身份許可權治理報告、使用者憑證報告或雲治理成熟度等級報告任意一種報告,則視為不合規。 | 暫不支援快速修複。 | 否 |
使用登入憑證報告 | 未啟用 “AccessKey 及許可權治理最佳實務” 合規包(2.0模型刪除) | 未啟用配置審計中 “AccessKey 及許可權治理最佳實務” 合規包,則視為不合規。 | 此修複將基於“AccessKey及許可權治理最佳實務”模板,為您在配置審計產品建立合規包。此後可以在配置審計查看相關的檢測結果。 | 否 |
管控日誌歸檔 | Action Trail日誌未設定長周期留存 | 未建立跟蹤或者建立的跟蹤中未歸檔所有地區、未歸檔所有讀寫操作或者Archive Storage周期少於180天,則視為不合規。 | 此修複將會完善當前帳號已有的跟蹤設定,其中包含啟用完整的管控類讀寫事件和所有地區事件。請挑選清單中至少一個已有跟蹤完善設定。在修複後新產生的讀寫和全地區事件將會投遞到跟蹤的目標儲存,在儲存中歷史事件不受影響。 | 否 |
配置變更檢測 | 未啟用配置審計 | 如果當前帳號未開啟配置審計,則視為不合規。 | 暫不支援快速修複。 | 否 |
配置變更檢測 | 未設定資源變更或快照的投遞 | 配置審計未設定資源變更或快照的投遞,則視為不合規。 | 暫不支援快速修複。 | 否 |
合規檢測覆蓋 | 配置審計合規規則未覆蓋所有雲上資源 | 根據規則覆蓋的資源比率進行評估,如果覆蓋率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
合規檢測覆蓋 | 未啟用配置審計合規規則 | 如果當前帳號未啟用配置審計規則,則視為不合規。 | 暫不支援快速修複。 | 否 |
不合規警示響應 | 未定期擷取合規檢測資料 | 若配置審計未設定不合規事件投遞或查看檢測結果,則視為不合規。 | 暫不支援快速修複。 | 否 |
不合規警示響應 | 未對風險操作事件設定警示規則 | 未啟用任何一條Action Trail事件警示裡支援的帳號安全相關的規則或 Actiontrail 操作合規相關的規則,則視為不合規。 | 暫不支援快速修複。 | 否 |
警示事件處理 | 雲上資源存在不合規情況 | 配置審計已經啟用的規則檢測,如合規資源率低於100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
開啟自動修正 | 未採用自動化方式修正不合規問題 | 使用者未啟用任一規則的自動修正,則視為不合規。 | 暫不支援快速修複。 | 否 |
避免特權濫用 | 存在過多 RAM 身份被授予 OSS、SLS 高危許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。擁有 | 暫不支援快速修複。 | 否 |
避免特權濫用 | 存在過多 RAM 身份被授予 Admin 許可權 | 針對RAM身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。Admin許可權可以對帳號下的任意資源執行任意操作,避免給過多的RAM身份授予Admin許可權,以免身份泄露對業務造成影響。在當前阿里雲帳號下,擁有Admin許可權的RAM身份數小於等於3個,則認為滿足要求。 | 暫不支援快速修複。 | 否 |
避免特權濫用 | 存在過多 RAM 身份被授予費用中心高危許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。對於擁有賬單和費用中心產品(BSS)寫入權限的 RAM 身份來說,可以修改訂單、發票、合約、賬單等資訊,執行交易、提現等資金操作,管理不善可能會造成資產損失。在當前阿里雲帳號下,擁有 | 暫不支援快速修複。 | 否 |
避免特權濫用 | 存在過多 RAM 身份被授予 RAM 高危許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。具有 RAM 產品寫入權限的 RAM 身份,可以建立新的身份或修改已有身份的許可權,造成過度授權,為帳號內資源的安全性和保密性帶來風險。在當前阿里雲帳號下,擁有 | 暫不支援快速修複。 | 否 |
避免特權濫用 | RAM 身份都被授予了 Admin 許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權,避免給所有的 RAM 身份都賦予 Admin 許可權,導致身份泄漏後對業務造成影響。如果 RAM 身份被授予了非 Admin 許可權,則認為滿足要求。 | 暫不支援快速修複。 | 否 |
授權效率與受控 | 無RAM使用者繼承RAM使用者組的授權(2.0模型新增) | 預設情況下,RAM使用者、組和角色無法訪問任何資源。通過RAM策略為使用者、組或角色授予許可權。建議直接將RAM策略應用於組和角色,而不是使用者。通過組或角色層級分配許可權,可以降低隨著使用者數量的增長帶來的管理複雜性,同時降低無意間擴大某個RAM使用者權限的風險。如果任何一個RAM使用者繼承了RAM使用者組授權則認為符合最佳實務。 | 暫不支援快速修複。 | 否 |
授權效率與受控 | 為RAM身份授予的自訂策略生效範圍未指定資源群組(2.0模型新增) | 預設情況下,給RAM身份授予自訂策略時的生效範圍為帳號層級。這種情況下,如果在自訂策略中未明確限制指定資源,也未明確指定許可權生效條件,那麼該RAM身份會有該帳號下所有資源的指定許可權。按照雲上資源管理最佳實務,應將資源按照資源群組進行分組,在分組的基礎上為RAM身份授權。在授權過程中,通過限制生效範圍為資源群組,可以更好地限制RAM身份所擁有的許可權範圍,實現精細化授權。為RAM身份授予的自訂策略,如果生效範圍為資源群組,或在策略條件中指定了資源群組,則認為符合最佳實務。 | 暫不支援快速修複。 | 否 |
授權效率與受控 | 不存在有 Admin 許可權的 RAM 身份授權被收斂到資源群組 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。通過將雲上資源按照應用、環境等維度,使用資源群組進行資源劃分,授權時可以按照資源群組進行授權,進一步縮小許可權範圍,避免許可權過大帶來的風險。在當前帳號下,擁有 AdministratorAccess 許可權的 RAM 身份,授權範圍為資源群組,則認為滿足要求。 | 暫不支援快速修複。 | 否 |
授權效率與受控 | 不存在有服務級系統策略的 RAM 身份授權被收斂到資源群組 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。通過將雲上資源按照應用、環境等維度,使用資源群組進行資源劃分,授權時可以按照資源群組進行授權,進一步縮小許可權範圍,避免許可權過大帶來的風險。在當前阿里雲帳號下,擁有服務級系統策略(例如:AliyunECSFullAccess 等)的 RAM 身份,授權範圍為資源群組,則認為滿足要求。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | OSS Bucket未禁止公用讀取(2.0模型新增) | 防止OSS Bucket內容對公眾開放讀取,確保資料機密性和安全性。若OSS Bucket設定為公用讀取許可權,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | OSS Bucket存在為匿名帳號授予的存取權限(2.0模型新增) | 實施最小許可權原則是降低安全風險及減少錯誤或惡意行為影響的基礎。如果OSS Bucket策略允許匿名帳號訪問,可能會導致攻擊者進行資料外泄。此外,如果外部帳號被惡意攻擊者控制,那麼您的資料可能會被篡改或刪除。這不僅威脅到資料的完整性和保密性,也可能導致業務中斷和法律問題。最佳實務建議通過策略禁止匿名帳號訪問OSS Bucket。如果Bucket policy中存在允許匿名帳號訪問的策略,即授權使用者為所有帳號*且效力為允許,則認為不滿足最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | OSS Bucket設定了公用寫(2.0模型新增) | OSS支援通過設定Bucket Policy以及ACL的方式實現公用訪問。公用寫是指無需特定許可權或身分識別驗證即可修改任意OSS資源或在Bucket內上傳新的檔案對象。公用寫意味著任何人都可以上傳和修改OSS Bucket中的資料,容易引發資料泄露以及被惡意訪問而產生大量成本的風險。最佳實務建議關閉OSS Bucket公用寫入權限,僅通過URL簽名或者API的形式訪問OSS Bucket中的資料。當OSS Bucket Policy或ACL任意一種包含公用寫的語義時,即可視為該OSS Bucket可能存在被公用寫的安全風險,不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料轉送過程應使用TLS | SLB未開啟HTTPS監聽(2.0模型新增) | 確保負載平衡器(SLB)啟用了HTTPS監聽,以保障資料在傳輸過程中使用TLS加密協議。若SLB未啟用HTTPS監聽,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | PolarDB執行個體設定了公網串連地址(2.0模型新增) | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從VPC內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。叢集開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料轉送過程應使用TLS | Elasticsearch執行個體未使用HTTPS傳輸協議(2.0模型新增) | Elasticsearch執行個體僅使用HTTP協議提供服務可能會帶來資料安全風險。由於HTTP協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,進而導致資料泄漏。最佳實務建議是在應用程式或者用戶端內使用HTTPS協議訪問Elasticsearch,確保資料轉送過程中都是加密的。Elasticsearch執行個體的叢集網路設定開啟了使用HTTPS協議開關,則認為符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | PolarDB執行個體IP白名單設定了0.0.0.0/0(2.0模型新增) | IP白名單指允許訪問PolarDB叢集的IP清單。若將IP白名單設定為%或者0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓PolarDB叢集得到進階別的訪問安全保護。叢集IP白名單設定了0.0.0.0/0或%,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | Elasticsearch執行個體IP白名單設定了0.0.0.0/0(2.0模型新增) | 執行個體IP白名單指允許訪問Elasticsearch執行個體的IP清單。若將IP白名單設定為 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | Redis執行個體IP白名單設定了0.0.0.0/0(2.0模型新增) | IP白名單指允許訪問Redis執行個體的IP清單。若將IP白名單設定為0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓資料庫執行個體得到進階別的訪問安全保護。執行個體IP白名單設定了0.0.0.0/0,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料轉送過程應使用TLS | SSL認證管理服務中的認證將在30天內到期(2.0模型新增) | SSL認證到期後,用戶端將無法驗證伺服器的身份,可能會導致使用者無法訪問服務或者出現警告,影響使用者體驗。未能及時更新認證可能導致服務可用性下降,客戶信任度降低,甚至可能導致資料泄露。此外,認證續約、更新往往需要一定周期,建議預留充足的時間更新認證,避免服務中斷。數位憑證管理服務中的認證,如果到期時間<=30天,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | 安全性群組入網設定0.0.0.0/0和任意連接埠(2.0模型新增) | 禁止安全性群組規則允許所有IP地址 (0.0.0.0/0) 從任意連接埠訪問,必須限制為特定IP段和連接埠。若安全性群組的入網規則中存在0.0.0.0/0且未指定具體連接埠,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | RDS執行個體IP白名單設定了0.0.0.0/0(2.0模型新增) | IP白名單指允許訪問RDS執行個體的IP清單。若將IP白名單設定為0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓資料庫執行個體得到進階別的訪問安全保護。執行個體IP白名單設定了0.0.0.0/0,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | Elasticsearch執行個體開啟了公網訪問(2.0模型新增) | 為Elasticsearch開放公網訪問可能會帶來安全風險。一旦執行個體對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許Elasticsearch執行個體從VPC內網訪問,並設定合適的IP白名單,同時配置合適的存取控制。執行個體開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料轉送過程應使用TLS | CDN網域名稱未配置HTTP強制跳轉到HTTPS(2.0模型新增) | CDN僅使用HTTP協議對外提供服務可能會帶來資料安全風險。由於HTTP協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,如使用者憑證和私人資料,進而導致資料泄漏。最佳實務建議對外提供服務的CDN網域名稱,使用HTTPS協議,並將HTTP監聽上的請求強制跳轉到HTTPS協議的監聽,確保資料轉送過程中都是加密的。CDN網域名稱HTTPS配置的強制跳轉類型未設定成HTTPS -> HTTP,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | ECS執行個體未禁止綁定公網地址(2.0模型新增) | 防止ECS執行個體直接暴露在公網以減少被攻擊的風險,建議通過NAT Gateway或負載平衡器接入公網。若存在ECS執行個體綁定了公網地址,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | Redis執行個體設定了公網串連地址(2.0模型新增) | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中。另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從VPC內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。執行個體開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料轉送過程應使用TLS | CDN網域名稱未配置HTTPS(2.0模型新增) | CDN僅使用HTTP協議對外提供服務可能會帶來資料安全風險。由於HTTP協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,如使用者憑證和私人資料,進而導致資料泄漏。最佳實務建議對外提供服務的CDN網域名稱,使用HTTPS協議,並將HTTP監聽上的請求強制跳轉到HTTPS協議的監聽,確保資料轉送過程中都是加密的。CDN網域名稱未開啟HTTPS安全加速功能,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | RDS執行個體設定了公網串連地址(2.0模型新增) | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中。另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從VPC內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。執行個體開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | Elasticsearch執行個體的Kibana服務開啟了公網訪問(2.0模型新增) | 為Kibana開放公網訪問可能會帶來安全風險。一旦執行個體對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許Kibana執行個體從VPC內網訪問,並設定合適的IP白名單,同時配置合適的存取控制。Elasticsearch執行個體的Kibana服務開啟了公網訪問,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | Table Store執行個體設定了公網訪問(2.0模型新增) | Table Store預設會為每個執行個體建立一個公網網域名稱、一個VPC網域名稱以及一個經典網網域名稱。其中,公網網域名稱對互連網可見,任意使用者可以在互連網通過公網網域名稱訪問Table Store資源。經典網網域名稱是對同地區的ECS伺服器可見,應用程式從同地區的傳統網路ECS伺服器上可以通過經典網網域名稱訪問該執行個體。最佳實務建議執行個體只允許來源於控制台或VPC的訪問。限制執行個體無法通過公網或者經典網來訪問執行個體,能夠提供更好的網路隔離能力,提升資料安全性。Table Store執行個體網路類型設定為“限定控制台或VPC訪問”或“限定綁定VPC訪問”,則認為符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料轉送過程應使用TLS | API Gateway中開啟公網訪問的API未配置HTTPS(2.0模型新增) | 對外提供的API僅使用HTTP協議對外提供服務可能會帶來資料安全風險。由於HTTP協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,如使用者憑證和私人資料,進而導致資料泄漏。最佳實務建議對外提供服務的API,使用HTTPS協議,並將HTTP監聽上的請求強制跳轉到HTTPS協議的監聽,確保資料轉送過程中都是加密的。API Gateway關聯的網域名稱未配置HTTPS協議,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | 安全性群組對公網開放高危連接埠(22/3389/……)(2.0模型新增) | 禁止安全性群組規則允許公網訪問SSH(22)和RDP(3389)等高危連接埠,以防網路攻擊和未經授權訪問。若安全性群組對公網開放SSH(22)、RDP(3389)等高危連接埠,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | MongoDB執行個體設定了公網串連地址(2.0模型新增) | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從VPC內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。執行個體開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | MongoDB執行個體IP白名單設定了0.0.0.0/0(2.0模型新增) | IP白名單指允許訪問MongoDB執行個體的IP清單。若將IP白名單設定為0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓資料庫執行個體得到進階別的訪問安全保護。執行個體IP白名單設定了0.0.0.0/0,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料轉送過程應使用TLS | SLB伺服器憑證距離到小於30天(2.0模型新增) | 確保SLB使用的伺服器憑證在30天內不會到期,以避免認證到期導致的傳輸加密失效。若SLB伺服器憑證的剩餘有效期間小於或等於30天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料存放區執行個體應避免開放公網訪問 | OSS Bucket允許組織外的帳號訪問(2.0模型新增) | 確保OSS Bucket僅限於組織內部帳號訪問,防止資料泄露風險。若OSS Bucket允許組織外的帳號訪問,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | VPC互訪流量未完全接入VPC邊界防火牆防護(2.0模型新增) | 該檢測項要求所有VPC的互訪流量都必須通過Cloud Firewall的VPC邊界防火牆進行防護,以降低私網內部流量的風險。如果使用了Cloud Firewall,但存在未開啟VPC防火牆的VPC互訪流量,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
主機漏洞 | 未開啟防病毒功能(2.0模型新增) | 開啟病毒查殺功能可有效清理伺服器的各類惡意威脅,可對主流勒索病毒、DDoS木馬、挖礦和木馬程式、惡意程式、後門程式和蠕蟲等風險進行有效防護。若購買了Security Center防病毒,企業版,旗艦版,未配置病毒查殺周期性掃描策略,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud FirewallIPS未開啟虛擬補丁(2.0模型新增) | Cloud Firewall的入侵防禦模組(IPS)應當開啟虛擬補丁功能。Cloud Firewall可為您即時防護熱門的高危漏洞和應急漏洞。虛擬補丁針對可被遠程利用的高危漏洞和應急漏洞,在網路層提供熱補丁,即時攔截漏洞攻擊行為,避免修複主機漏洞時對業務產生的中斷影響。如果使用了Cloud Firewall但未開啟該功能,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud Firewall可用授權數不足(2.0模型新增) | 該檢測項確保Cloud Firewall的規格在可用授權數方面是合理的。如果使用了Cloud Firewall,但未開啟互連網邊界防火牆防護的公網IP資產的數量超過了可用防護的授權數,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
警示處理 | 存在待處理Security Center警示(2.0模型新增) | 安全警示事件是指Security Center檢測到的您伺服器或者雲產品中存在的威脅,覆蓋網頁防篡改、進程異常、網站後門、異常登入、惡意進程等安全警示類型,及時處理警示可提升資產安全態勢。若未處理警示數大於0,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | 網站類的DDoS AI智能防護設定為strict 模式(2.0模型新增) | AI智能防護旨在提升網站的安全效能,然而,在策略配置中啟用strict 模式時,需注意其可能會對業務造成一定的誤攔截。因此,strict 模式更適用於網站效能較差或防護效果不盡如人意的網站情境。值得注意的是,網站網域名稱類業務接入對常見四層攻擊已有天然的防護能力。所以對於大多數網站業務,建議不要開啟AI智能防護中的strict 模式,而應採用預設的正常模式以平衡防護效果和商務持續性。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud Firewall策略未建立ACL策略(2.0模型新增) | 開啟防火牆開關後,如果您未配置存取控制(ACL)策略,Cloud Firewall在存取控制策略匹配環節中預設允許存取所有流量。您可以根據業務需要,配置不同防火牆的流量攔截和允許存取策略,以便更好地管控資產的未授權訪問。如果使用了Cloud Firewall但未建立過存取控制策略,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | NAT Gateway未完全接入NAT邊界防火牆防護(2.0模型新增) | 為了降低私網訪問公網的風險,所有NAT Gateway執行個體都應當接入Cloud FirewallNAT邊界防火牆防護。如果使用了Cloud Firewall,但存在未開啟防護的NAT Gateway,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud FirewallIPS未開啟攔截模式(2.0模型新增) | Cloud Firewall的入侵防禦模組(IPS)應配置為攔截模式,以便對惡意流量進行攔截,阻斷入侵活動。如果使用了Cloud Firewall但未開啟該功能,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud FirewallIPS未開啟威脅情報(2.0模型新增) | Cloud Firewall的入侵防禦模組(IPS)應開啟威脅情報功能,以便掃描偵查威脅情報,並提供中控情報阻斷。如果使用了Cloud Firewall但未開啟該功能,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
監控和審計 | 未收集Cloud Firewall日誌並儲存180天及以上(2.0模型新增) | Cloud Firewall自動記錄所有流量,並通過可視化日誌審計頁面提供便捷的攻擊事件、流量細節和動作記錄查詢功能,使得攻擊溯源和流量審查變得簡單快捷。Cloud Firewall預設儲存7天的審計日誌,以滿足基本的審計和分析需求。然而,為了更好地滿足合規性要求和提升安全效能,我們推薦將日誌儲存期限延長至180天以上。如果購買了訂用帳戶版本Cloud Firewall但未收集Cloud Firewall日誌並儲存180天及以上,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
主機漏洞 | 存在待修複漏洞(2.0模型新增) | 漏洞管理是一個持續、主動的過程,可保護系統、網路、公司專屬應用程式程式,防範網路攻擊和資料泄漏,通過及時解決潛在的安全弱點可防止攻擊並在發生攻擊時將損害降到最低。若阿里雲帳號下待修複的漏洞數量大於0,則視為不合規。 | 暫不支援快速修複。 | 否 |
業務風控 | 未開啟網頁防篡改(2.0模型新增) | 網頁防篡改功能可即時監控網站目錄或檔案,並可在網站被惡意篡改時通過備份資料恢複被篡改的檔案或目錄,防止網站被植入非法資訊,保障網站正常運行。若購買了防篡改功能,綁定伺服器台數為0,則視為不合規。 | 暫不支援快速修複。 | 否 |
主機漏洞 | 存在待修複主機基準(2.0模型新增) | 病毒和駭客會利用伺服器存在的安全配置缺陷入侵伺服器盜取資料或是植入後門。基準檢查功能針對伺服器作業系統、資料庫、軟體和容器的配置進行安全檢測,及時修複基準風險可加固系統安全,降低入侵風險並滿足安全合規要求。若阿里雲帳號下未修複的基準數量大於0,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud FirewallIPS未開啟基礎防禦(2.0模型新增) | Cloud Firewall的入侵防禦模組(IPS)應開啟基礎防禦功能。基礎防禦可提供基礎的入侵防禦能力,包括暴力破解攔截、命令執行漏洞攔截、對被感染後串連C&C(命令控制)的行為管控,可為您的資產提供基礎的防護能力。如果使用了Cloud Firewall但未開啟該功能,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud Firewall防護頻寬規格不足(2.0模型新增) | 該檢測項確保Cloud Firewall的規格在防護頻寬規格方面是合理的。如果使用了Cloud Firewall,但近30天實際頻寬峰值超過了購買的防護頻寬,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud Firewall未配置預設拒絕策略(2.0模型新增) | 為了確保網路安全,Cloud Firewall應配置預設拒絕策略(即在入向/出向上訪問源與目的均為0.0.0.0/0,動作為拒絕的 IPv4 地址版本原則)。除了明確允許的可信流量外,所有其他流量都應被預設阻止。如果使用了Cloud Firewall但未配置預設拒絕策略,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | Cloud Firewall未防護所有的公網資產(2.0模型新增) | 該檢測項確保所有公網資產均受到Cloud Firewall的保護。如果使用了Cloud Firewall,但存在未開啟互連網邊界防火牆防護的公網IP資產,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | 原生防護未添加相應的防護對象(2.0模型新增) | 購買DDoS原生防護或高防執行個體後,您需要將公網IP資產添加為防護對象,DDoS才可以為其提供DDoS防護能力。否則無法起到防護效果,並且造成一定的成本浪費。 | 暫不支援快速修複。 | 否 |
容器漏洞 | 未配置容器鏡像掃描(2.0模型新增) | 當鏡像自身存在系統漏洞、應用漏洞,或者鏡像被替換為帶有惡意樣本的帶毒鏡像,基於“問題鏡像”建立的服務則存在漏洞,對鏡像倉中的鏡像執行安全掃描,安全人員可將掃描結果推送到開發人員,修複鏡像問題,確保業務的安全。若購買了容器鏡像掃描,掃描設定中沒有配置掃描範圍,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用運行時安全 | 未建立應用防護配置(2.0模型新增) | 通過在應用運行時檢測攻擊並進行應用保護,可有效保護Java應用,預防0Day漏洞攻擊,為應用提供安全防禦。若購買應用防護的客戶未建立應用配置,分組為0,則視為不合規。 | 暫不支援快速修複。 | 否 |
主機漏洞 | 未開啟防勒索策略(2.0模型新增) | 勒索破壞入侵會對客戶業務資料進行加密勒索,導致業務中斷、資料泄露、資料丟失等,從而帶來嚴重的業務風險,及時配置防勒索策略可有效降低此類風險。若購買了防勒索功能,未建立防護策略,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路邊界防護 | 未使用Cloud Firewall防護網路流量(2.0模型新增) | 阿里雲Cloud Firewall是一款雲平台SaaS(Software as a Service)化的防火牆,可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控,是您業務上雲的第一道網路防線。若未使用Cloud Firewall,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議對多帳號身份進行統一管理 | 通過使用雲SSO,可以統一管理企業中使用阿里雲的使用者,一次性配置企業身份管理系統與阿里雲的單點登入,並統一配置所有使用者對資來源目錄RD(Resource Directory)成員帳號的存取權限。如果存在超過 90 天未登入使用雲SSO,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議對多帳號動作記錄進行中心化歸集 | Action Trail僅預設為每個阿里雲帳號記錄最近90天的事件,建立跟蹤可以協助企業持久化儲存操作記錄,滿足內外合規需求。多帳號跟蹤協助企業管理員集中對企業內多帳號進行日誌的統一跟蹤和審計,當前未檢測到存在多帳號跟蹤,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議使用管控策略進行多帳號邊界防護 | 資來源目錄管控策略,使得組織可以限制成員帳號能夠訪問的雲端服務以及能夠執行的操作,集中管理成員帳號的許可權邊界,確保整個組織遵守統一的安全和合規性標準。當前未檢測該帳號建立自訂管控策略並綁定到資來源目錄的資源夾或成員,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
執行個體規格 | ECS 資源存在未使用高可用執行個體規格 | 使用 ECS 共用型或已停售的執行個體規格,無法保證執行個體計算效能的穩定。使用已停售或者共用型的 ECS 規格類型系列執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | Elasticsearch 資源存在未使用高可用執行個體規格 | 1核2GB的 Elasticsearch 規格執行個體只適合於測試情境,不適用於生產環境。使用規格為1核2GB的 Elasticsearch 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | RDS 資源存在未使用高可用執行個體規格 | RDS基礎系列執行個體只有一個資料庫節點,沒有備節點作為熱備份,因此當該節點意外宕機或者執行重啟執行個體、變更配置、版本升級等任務時,會出現較長時間的不可用。同時,RDS的執行個體規格類型系列中共用規格和通用規格存在與同一物理機上其他執行個體共用資源的情況,僅適用於穩定性要求較低的應用情境。如果業務對資料庫的可用性要求較高,推薦產品系列使用高可用/叢集類型,執行個體規格類型系列使用獨享類型。當RDS的產品系列未使用高可用/叢集系列,或者RDS執行個體規格類型系列未使用獨享規格,視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | ACK 資源存在未使用高可用執行個體規格 | ACK Pro 託管版叢集相比原託管版進一步增強了叢集的可靠性、安全性和調度性,適合生產環境下有著大規模業務。未使用專業版的託管類型叢集,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | Redis 資源存在未使用高可用執行個體規格 | Redis 企業版提供更強的效能、更多的資料結構和更靈活的儲存方式。未使用 Redis 企業版,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | MongoDB 資源存在未使用高可用執行個體規格 | MongoDB 採用單節點架構時,故障恢復較長且無 SLA 保障。未使用多可用性區域的 MongoDB 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | ONS 資源存在未使用高可用執行個體規格 | 標準版 RocketMQ 版採用共用執行個體,不建議在生產環境使用。使用共用版 RocketMQ 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | PolarDB 資源存在未使用穩定版本 | PolarDB 資料庫小版本狀態不為 stable,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | Redis 資源存在未使用穩定版本 | Redis 執行個體未升級至最新小版本,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | ACK 資源存在未使用穩定版本 | ACK 叢集未升級到最新版本,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | MSE引擎版本存在風險(2.0模型新增) | 使用最新的MSE引擎版本是確保MSE服務連續性的關鍵,如果引擎版本過低可能會導致:代碼存在缺陷引發GC無法回收,記憶體溢出導致記憶體持續上漲;啟動速度過慢,Json序列化缺陷等問題。如果MSE-ZK或者MSE-Ans引擎版本或者MSE-Ans用戶端版本過低,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | Elasticsearch 資源存在未使用穩定版本 | Elasticsearch 執行個體所使用的版本在不推薦版本範圍內,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | ECS 資源存在未使用穩定版本 | ECS 執行個體使用停止支援的 OS 版本,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | MSE-Ingress網關版本存在安全或穩定風險(2.0模型新增) | 使用最新版本的Ingress是確保網關服務連續性的關鍵,如果版本過低可能會導致:存在安全或穩定風險;可能導致訂閱Nacos服務的執行個體列表不準確等問題。如果MSE-Ingress版本過低,則視為不合規。 | 暫不支援快速修複。 | 否 |
到期風險 | DDoSCOO 資源存在到期風險 | DDos 執行個體的到期時間距離目前時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的DDoSCOO預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | EIP 資源存在到期風險 | EIP 預付費執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的EIP預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | CEN 資源存在到期風險 | 雲企業網頻寬包的到期時間距離目前時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的CEN預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | RDS 資源存在到期風險 | RDS 預付費執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的RDS預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | ADB 資源存在到期風險 | ADB 數倉版執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的ADB預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | PolarDB 資源存在到期風險 | PolarDB 預付費執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的PolarDB預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | Bastionhost資源存在到期風險 | Bastionhost執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的Bastionhost預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | SLB 資源存在到期風險 | SLB 預付費執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的SLB預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | Redis 資源存在到期風險 | Redis 預付費執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的Redis預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | MongoDB 資源存在到期風險 | MongoDB 預付費執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的MongoDB預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | DRDS 資源存在到期風險 | PolarDB-X1.0 以及 PolarDB-X2.0 執行個體的到期時間距離目前時間小於30天且未開啟自動續約,則視為不合規。 | 暫不支援快速修複。 | 否 |
到期風險 | CBWP 資源存在到期風險 | 共用頻寬執行個體的到期時間距離目前時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的CBWP資源開啟自動續約。 | 否 |
到期風險 | ECS 資源存在到期風險 | ECS 預付費執行個體到期時間距離檢查時間小於30天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的ECS預付費執行個體資源開啟自動續約。 | 否 |
刪除保護 | EIP 資源存在未開啟刪除保護 | EIP 執行個體未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | PolarDB 資源存未開啟叢集保護鎖 | PolarDB 執行個體未開啟叢集保護鎖,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | MongoDB 存在資源未開啟釋放保護 | MongoDB 執行個體未開啟釋放保護,則視為不合規。 | 暫不支援快速修複。 | 否 |
刪除保護 | ALB 資源存在未開啟刪除保護 | ALB 執行個體未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | ACK 資源存在未開啟刪除保護 | ACK 叢集未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | RDS 資源存在未開啟釋放保護 | RDS 執行個體未開啟釋放保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | SLB 資源存在未開啟刪除保護 | SLB 執行個體未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | ECS 資源存在未開啟釋放保護 | ECS 執行個體未開啟釋放保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | Redis 資源存在未開啟釋放保護 | Redis 執行個體未開啟釋放保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
變更管理 | RDS 資源可維護時間段存在不合理視窗 | RDS 執行個體的可維護時間段不在02:00-06:00,06:00-10:00範圍內,則視為不合規。 | 此修複將會為您統一修改選中執行個體的可維護時間段。根據最佳實務已為您推薦了一個可維護視窗建議,您可以根據企業實際需求修改此參數。 | 否 |
變更管理 | PolarDB 資源可維護時間段存在不合理視窗 | PolarDB 叢集的可維護時間段不在02:00-04:00,06:00-10:00範圍內,則視為不合規。 | 此修複將會為您統一修改選中執行個體的可維護時間段。根據最佳實務已為您推薦了一個可維護視窗建議,您可以根據企業實際需求修改此參數。 | 否 |
變更管理 | ECS 資源可維護時間段存在不合理視窗 | ECS 執行個體建立快照會暫時降低Block StorageI/O效能,自動快照策略中設定的快照建立時間點不是01:00、02:00,則視為不合規。 | 此修複將會為您統一修改選中快照策略中自動建立時間,使快照時間處於合理範圍內,避免對業務產生影響。根據最佳實務已為您推薦了一個建立時間,您可以根據企業實際需求修改此參數。 | 否 |
變更管理 | Redis 資源可維護時間段存在不合理視窗 | Redis 執行個體自動備份的時間段不在04:00-05:00,05:00-06:00,12:00-13:00範圍內,則視為不合規。 | 暫不支援快速修複。 | 否 |
變更管理 | ADB 資源可維護時間段存在不合理視窗 | ADB 叢集的可維護時間段不在02:00-04:00,06:00-08:00,12:00-13:00範圍內,則視為不合規。 | 此修複將會為您統一修改選中執行個體的可維護時間段。根據最佳實務已為您推薦了一個可維護視窗建議,您可以根據企業實際需求修改此參數。 | 否 |
資料備份 | ECI 資源存在未設定資料備份 | ECI 彈性執行個體容器組未掛載資料卷,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料備份 | Redis 資源存在未設定資料備份 | Tair 類型的Redis執行個體未開啟增量備份,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料備份 | Elasticsearch 資源存在未設定資料備份 | Elasticsearch 執行個體未開啟自動備份,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料備份 | MongoDB 資源存在未開啟記錄備份 | MongoDB 執行個體未開啟記錄備份,則視為不合規。 | 此修複將會為選中MongoDB叢集啟用記錄備份,預設儲存周期為7天。 | 否 |
資料備份 | AnalyticDB MySQL 版存在未開啟記錄備份 | ADB 叢集未開啟記錄備份,則視為不合規。 | 此修複將會為選中AnalyticDB MySQL版叢集開啟記錄備份,預設儲存周期為7天。 | 否 |
資料備份 | RDS 資源存在未開啟記錄備份 | RDS 執行個體未開啟記錄備份,則視為不合規。 | 此修複將會為選中RDS執行個體開啟記錄備份,預設儲存周期為7天。 | 否 |
資料備份 | OSS 儲存空間存在未開啟版本控制 | 如果 OSS 執行個體沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。OSS 執行個體未開啟版本控制,則視為不合規。 | 此修複將會為選中OSS執行個體啟用版本控制。開啟版本控制後,針對資料的覆蓋和刪除操作將會以歷史版本的形式儲存下來。您在錯誤覆蓋或者刪除對象(Object)後,能夠將Bucket中儲存的Object恢複至任意時刻的歷史版本。 | 否 |
資料備份 | PolarDB 資源存在未設定資料備份 | PolarDB 叢集未開啟二級備份,且保留周期大於等於30,則視為不合規。 | 此修複將會為選中PolarDB叢集設定資料的二級備份周期和二級備份保留周期(預設為30天),如果當前未啟用二級備份,將會會自動開啟。 | 否 |
主機快照 | ECS 資源存在未開啟主機快照 | ECS 磁碟未設定自動快照策略,則視為不合規。 | 此修複將會為選中ECS磁碟執行個體啟用指定的快照策略,由於每個地區的快照策略相互獨立,如選中磁碟所在地區存在同名策略將會使用已存在策略,否則將會建立快照策略。 | 否 |
多可用性區域架構 | Elasticsearch 資源存在未使用多可用性區域架構 | 未使用多可用性區域的 Elasticsearch 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | Redis 資源存在未使用多可用性區域架構 | 未使用多可用性區域的 Redis 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | RDS 資源存在未使用多可用性區域架構 | 未使用多可用性區域的 RDS 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | MSE相關組件存在單可用性區域部署風險(2.0模型新增) | 建議MSE的相關組件採用多可用性區域部署架構,來提升其穩定性。如果MSE相關組件是單可用性區域部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | OSS 資源存在未使用多可用性區域架構 | OSS 儲存空間未開啟同城冗餘儲存,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | MongoDB 資源存在未使用多可用性區域架構 | 未使用多可用性區域的 MongoDB 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | MSE網關存在單可用性區域架構風險(2.0模型新增) | 當前網關所有執行個體副本均部署在同一個可用性區域(AZ)中,這樣的部署形態不具備高可用能力,極端情況下您的業務可能會受損。請儘快升級到新版本,以將網關執行個體打散到多個可用性區域。如果MSE Ingress網關組件是單可用性區域架構,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | SLB 資源存在未使用多可用性區域架構 | SLB 執行個體為單可用性區域,或者 SLB 執行個體下存在監聽使用的伺服器組中未添加多個可用性區域的資源,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | PolarDB 資源存在未使用多可用性區域架構 | PolarDB 叢集未開啟儲存熱備叢集,資料分布在單可用性區域,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | CEN 資源存在未使用叢集架構 | 雲企業網執行個體關聯的 VBR 未設定健全狀態檢查,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | ACK叢集存在單點部署風險(2.0模型新增) | 使用地區級叢集能夠實現跨地區的容災能力。若存在未使用地區級叢集的ACK叢集,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | PolarDB 資源存在未使用叢集架構 | 未使用的 PolarDB 產品系列為叢集版或者多主架構叢集版,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | MSE網關存在單點部署風險(2.0模型新增) | 單節點執行個體存在架構風險,單點故障會導致服務不可用。建議擴容到2節點及以上。如果MSE Ingress組件是單節點部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | MSE相關資源存在單點部署風險(2.0模型新增) | 對於MSE ZK組件,建議擴容到3節點及以上;對於Nacos-Ans組件建議擴容到3節點以上。如果MSE相關組件是單節點部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控發現 | 核心雲產品資源存在未設定監控警示規則 | 實現資源監控全覆蓋是保證業務持久性的基礎與關鍵,為雲產品資源設定警示規則是實現雲產品資源監控的必要手段。如果存在雲產品資源未被任何警示規則覆蓋的情況,則視為不合規。 | 此修複為未配置CloudMonitor的雲資源類型,自動啟用基於最佳實務的警示規則。預設通知到“雲帳號警示連絡人”類型的訊息接收人,請確認設定正確。啟用完成後可以在CloudMonitor的一鍵警示功能中查看啟用狀態或更新警示參數。 | 否 |
監控發現 | ACK 叢集存在未配置 Prometheus 監控 | ACK 叢集接入監控,可以協助開發營運人員查看系統的運行狀態,包括基礎設施層、容器效能層等。對所有 ACK 叢集,如果未配置“開啟阿里雲 Prometheus 監控”,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控發現 | ACK 叢集存在未配置應用監控 | 針對分布式、微服務化應用,可通過接入 ARMS 應用即時監控服務進行全鏈路追蹤及代碼級即時效能監測,協助營運人員隨時掌握應用健康情況。對於部署在Container Service Kubernetes 版或者Elastic Compute Service 中的應用,如果未接入 ARMS 應用即時監控服務,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控警示 | 對持續警示的警示規則未進行及時處理 | 警示規則長期持續處於警示狀態是需要關注和治理的問題。通常情況下,需要儘快排除問題讓監控指標恢複正常水位,或者需要結合實際情況調整警示規則,避免因大量警示資訊或著警示疲勞幹擾影響正常的監控營運工作。對所有在CloudMonitor設定的警示規則,如果存在持續處於警示狀態超過24小時的警示規則即視為不合規。 | 暫不支援快速修複。 | 否 |
監控警示 | 未配置高優警示規則 | 配置有效警示規則可在業務系統在不符合運行預期時及時收到通知,以便及時做出應急響應。如果在阿里雲 ARMS 服務中沒有配置應用監控或者 Prometheus 監控對應的 P1 等級警示規則,或沒有配置對應的通知策略,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控警示 | 高優警示未在指定時間內(30分鐘)處理 | MTTx(Mean time to xx,平均XX時間,如 MTTR:警示平均恢複耗時)指標可作為警示處理效率的重要衡量指標,高優警示的及時響應可有效提高警示甚至是故障的恢複效率,從而提升業務系統的服務品質。如果沒有配置應用監控或者 Prometheus 監控對應的 P1 等級警示規則,或存在30分鐘內未解決(待認領、處理中、超過30分鐘解決)的阿里雲 ARMS 服務中的警示,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議對ARMS跨阿里雲帳號的資源統一監控 | 通過建立全域彙總執行個體,實現跨帳號統一監控。當前未檢測到該帳號使用ARMS並建立globalview執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議開啟多帳號統一的資源配置檢測 | 當前檢測到此帳號不滿足以下兩個條件,則視為不合規:1. 若存在帳號組且帳號組下已建立規則;2. 將不合規事件投遞到SLS。 | 暫不支援快速修複。 | 否 |
執行個體容量 | MSE相關組件存在容量風險(2.0模型新增) | 確保資源容量在一個合理的範圍內,如果超過了容量上限可能會導致穩定性風險。如果MSE有相關指標對應的容量超限,則視為不合規。 | 暫不支援快速修複。 | 否 |
例外狀況事件監控 | 存在因欠費或因安全封鎖被關機的ECS執行個體(2.0模型新增) | ECS執行個體出現被動停機會造成服務中斷、資料丟失、資料不一致,影響系統效能或產生安全隱患。當前帳號下存在因欠費或安全封鎖被關機的ECS執行個體,則視為存在風險。 | 暫不支援快速修複。 | 否 |
例外狀況事件監控 | 存在待處理的營運事件的ECS執行個體(2.0模型新增) | 未及時響應並處理ECS的計劃內營運事件可能導致ECS執行個體在業務高峰期出現重啟,進而影響ECS執行個體上的業務穩定性。當前帳號下有待處理的ECS營運事件(事件狀態為inquering/scheduled/executing)未處理,則視為存在風險。 | 暫不支援快速修複。 | 否 |
成本
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
資源成本最佳化 | RDS執行個體存在長時間資源使用率低的情況(2.0模型新增) | 維護RDS執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的RDS執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現RDS執行個體的成本管控。如果RDS執行個體存在CPU使用率、記憶體使用量率以及磁碟使用率連續30天低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | ECS執行個體存在長時間資源使用率低的情況(2.0模型新增) | 維護ECS執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的ECS執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現ECS執行個體的成本管控。如果ECS執行個體存在CPU使用率與記憶體使用量率連續30天均低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | ECS磁碟存在長時間資源使用率低的情況(2.0模型新增) | 維護ECS執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的ECS執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現ECS執行個體的成本管控。如果ECS磁碟存在使用率連續30天低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | RDS執行個體磁碟存在長時間資源使用率低的情況(2.0模型新增) | 維護RDS執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的RDS執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現RDS執行個體的成本管控。如果RDS磁碟存在使用率連續30天低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | EIP 資源存在閑置 | EIP 未綁定資源執行個體,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | VPC NAT 資源存在閑置 | VPC NAT Gateway未綁定 EIP,或綁定的 EIP 未設定 SNAT/DNAT 條目,且網關建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | SLB 資源存在閑置 | SLB 負載平衡不存在運行中的監聽,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | ECS執行個體推薦使用訂用帳戶付費方案或將隨用隨付的資源加入節省計劃(2.0模型新增) | 長期穩定使用的資源建議採用訂用帳戶付費的方案,正常情況下ECS執行個體訂用帳戶的費用會低於隨用隨付的費用。節省計劃是一種折扣權益計劃,通過承諾在一定期限內使用穩定數量的資源,來換取較低的隨用隨付折扣。ECS執行個體存在隨用隨付的計費方案且未購買節省計劃執行個體,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | ECS 資源存在閑置 | ECS執行個體狀態為已停止狀態,且未設定停機節省模式,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | CR 資源存在閑置 | 容器鏡像執行個體未建立命名空間或建立鏡像倉庫,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | VPN 資源存在閑置 | VPN 閘道未配置目的路由策略或未開啟路由自動傳播,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | NAS 資源存在閑置 | NAS 檔案系統未添加掛載點,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | RDS執行個體推薦使用訂用帳戶付費方案(2.0模型新增) | 長期穩定使用的資源建議採用訂用帳戶付費的方案。正常情況下RDS執行個體訂用帳戶計費的費用會低於隨用隨付的費用。RDS執行個體存在隨用隨付的計費方案,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | ALB 資源存在閑置 | ALB 負載平衡存在監聽未添加後端伺服器,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | NAT 資源存在閑置 | NAT Gateway未綁定 EIP或綁定的 EIP 未設定 SNAT/DNAT 條目,且網關建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | CBWP 資源存在閑置 | 共用頻寬未綁定資源執行個體,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | ECS 磁碟存在閑置 | 雲端硬碟狀態不為使用中,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源成本最佳化 | 未啟用 “資源空閑檢測最佳實務” 合規包 | 未在配置審計中開啟資源空閑檢測合規包,則視為不合規。 | 暫不支援快速修複。 | 否 |
成本分攤和分析 | 存在ACK叢集未啟用成本套件(2.0模型新增) | 傳統方式面對雲原生情境缺少有效成本洞察和成本控制的手段,成本套件提供了資源浪費檢查、資源費用預測等功能。存在ACK叢集未啟用成本套件功能,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
效率
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
自動化程度 | 存在使用者調用Redis的棄用API(2.0模型新增) | 被棄用的 Redis API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 Redis API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用ECS的棄用API(2.0模型新增) | 被棄用的 ECS API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 ECS API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用CEN的棄用API(2.0模型新增) | 被棄用的 CEN API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 CEN API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用PolarDB的棄用API(2.0模型新增) | 被棄用的 PolarDB API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 PolarDB API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用VPC的棄用API(2.0模型新增) | 被棄用的 VPC API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 VPC API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用RocketMQ的棄用API(2.0模型新增) | 被棄用的 RocketMQ API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 RocketMQ API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用NAS的棄用API(2.0模型新增) | 被棄用的 NAS API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 NAS API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用CDN的棄用API(2.0模型新增) | 被棄用的 CDN API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 CDN API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用RDS的棄用API(2.0模型新增) | 被棄用的 RDS API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 RDS API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用ACK的棄用API(2.0模型新增) | 被棄用的 ACK API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 ACK API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用SLB的棄用API(2.0模型新增) | 被棄用的 SLB API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 SLB API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 存在使用者調用ALB的棄用API(2.0模型新增) | 被棄用的 ALB API不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 ALB API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 建議採用自動化方式管控資源 | 近30天內使用 SDK、Terraform、雲控制 API、CADT、ROS、服務類別目錄等自動化手段調用 OpenAPI 的比率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 建議採用自動化方式實現日常資源供給 | 近1年內使用非控制台調用 OpenAPI 建立資源的次數比率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化程度 | 建議採用自動化方式實現對資源持續管理 | 近30天內使用非控制台調用 OpenAPI 持續管理資源的次數比率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用RDS OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用NAS OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用ECS OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用VPC OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用Redis OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用ALB OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用SLB OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用CEN OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用RocketMQ OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用ACK OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用PolarDB OpenAPI存在被流控風險(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 調用CDN API的流量在正常範圍內(2.0模型新增) | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | ACK額度存在飽和風險(2.0模型新增) | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 | 暫不支援快速修複。 | 否 |
自動化品質 | CDN額度存在飽和風險(2.0模型新增) | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險 | 暫不支援快速修複。 | 否 |
自動化品質 | ECS額度存在飽和風險(2.0模型新增) | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 | 暫不支援快速修複。 | 否 |
自動化品質 | VPC額度存在飽和風險(2.0模型新增) | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 | 暫不支援快速修複。 | 否 |
自動化品質 | SLB額度存在飽和風險(2.0模型新增) | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 | 暫不支援快速修複。 | 否 |
自動化品質 | CEN額度存在飽和風險(2.0模型新增) | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 | 暫不支援快速修複。 | 否 |
自動化品質 | 資源變更介面調用成功率未達100% | 近30天使用自動化手段(OpenAPI、雲控制 API、SDK、Terraform 等)變更基礎設施資源的成功率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 資源建立介面調用成功率未達100% | 近30天使用自動化手段(OpenAPI、雲控制API、SDK、Terraform 等)建立基礎設施資源的成功率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 未使用診斷工具觀測和診斷錯誤(2.0模型刪除) | 近一年內,從未使用 Request ID 在 OpenAPI 門戶自助診斷與核心產品相關的報錯,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 未通過配額平台自助查看配額或調整配額(2.0模型刪除) | 近一年內,核心產品未在配額平台查看配額或使用自助申請功能,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | API 呼叫存在流控異常風險(2.0模型刪除) | 近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
自動化品質 | 雲產品資源額度存在飽和風險(2.0模型刪除) | 近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 | 暫不支援快速修複。 | 否 |
統一控制 | 帳號未被資來源目錄納管 | 相比於多帳號分散管理,統一管理多帳號能夠給企業帶來許可權、安全、成本方面的價值。當前帳號不從屬於任何資來源目錄,則視為不合規。 | 暫不支援快速修複。 | 否 |
統一控制 | 未使用資源群組或標籤進行財務單元分配(2.0模型刪除) | 成本分攤是企業財務中成本可見、預算以及成本最佳化的基礎。存在未關聯資源群組或標籤的財務單元,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源分組及隔離 | 關聯資源被劃分到不同資源群組(2.0模型新增) | 有關聯的資源如果沒有放到統一資源群組會導致基於資源群組的許可權、財務、營運等管理無法覆蓋所有的目標資源。如果存在有關聯的資源,但是不在同一個自訂資源群組內,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源分組及隔離 | 同一組織未使用多帳號來管理資源 | 阿里雲帳號有多層含義,每個雲帳號都是完全隔離的租戶,預設在資源訪問、網路部署和身份許可權都是完全獨立和隔離的;雲帳號還關聯賬單,可以將不同業務部署在不同的雲帳號,實現成本的獨立核算和出賬。採用多帳號管理從環境隔離、安全合規、業務創新等方面都能夠給企業帶來收益。同一個實體下存在兩個及以上阿里雲帳號,則滿足條件。 | 暫不支援快速修複。 | 否 |
資源分組及隔離 | 未使用自訂資源群組對資源進行分組 | 通過自訂資源群組,可以更靈活地控制資源的訪問和使用。若歸屬於自訂資源群組的資源佔總資源的比例小於75%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源分組及隔離 | 未開啟建立者標籤 | 當企業在雲上的資源規模不斷擴大時,需要多人對雲上資源進行管理。在成本、安全等情境下,需要有效識別資源的建立者,便於進行成本劃分或者安全溯源,提高管理效率。若未開啟建立者標籤,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源分組及隔離 | 未使用自訂標籤對資源進行打標 | 通過自訂標籤,使用者能更靈活地識別、排序和組織各類資源。若打上自訂標籤的資源佔總資源的比例小於75%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源分組及隔離 | 未使用預置標籤 | 預置標籤是指預先建立並作用於所有地區的一種標籤,使用預置標籤可以在資源實施階段方便地綁定和管理雲資源。若預置標籤占自訂標籤的比例小於80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議開啟多帳號日誌集中收集 | 當前未檢測到SLS日誌審計可信服務狀態開啟,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議對帳號所在資來源目錄設定委派管理員帳號 | 用委派管理員帳號可以將組織管理工作與業務管理工作相分離,管理帳號執行資源目錄的組織管理工作,委派管理員帳號執行可信服務的業務管理工作。如果資來源目錄管理帳號(MA)啟用的可信服務內未設定委派管理員帳號,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議開啟多帳號資源搜尋功能 | 通過使用資來源目錄管理多個阿里雲帳號,管理帳號或委派管理帳號可以查看和檢索資來源目錄內所有成員的雲上資源。如果未開啟跨帳號資源搜尋,則視為不合規。 | 暫不支援快速修複。 | 否 |
多帳號集中管理 | 建議使用多帳號訊息連絡人的集中管理 | 通過資來源目錄訊息連絡人管理功能,實現跨帳號訊息連絡人的集中管理。當前未檢測到資來源目錄訊息連絡人或訊息連絡人未綁定到資來源目錄、資源夾或成員上,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
效能異常監測 | EBS雲端硬碟存在因空間使用率過高導致的效能風險(2.0模型新增) | 過高的磁碟空間使用率可能導致資料丟失的風險增加,協助客戶及早發現潛在的效能瓶頸,採取措施避免效能下降。如果存在EBS雲端硬碟的空間使用率超過80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能異常監測 | ECS資源存在因記憶體使用量率過高導致的效能風險(2.0模型新增) | 保證核心雲產品ECS的記憶體使用量率處於健康水位,避免因記憶體不足導致的效能下降或服務中斷風險。如果存在ECS執行個體的記憶體使用量率過高,即在過去24小時內,ECS的記憶體使用量率大於85%的時間累計超過9小時,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能異常監測 | EBS雲端硬碟存在因輸送量過高導致的效能風險(2.0模型新增) | 協助客戶預防效能瓶頸,評估儲存資源的分配是否合理,以及是否需要擴容,確保商務持續性。如果存在過去24小時內EBS雲端硬碟的IOPS或BPS使用率,超過該雲端硬碟類型對應IOPS或BPS的90%,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能異常監測 | ECS資源存在因CPU使用率過高導致的效能風險(2.0模型新增) | 保證核心雲產品ECS的CPU使用率處於健康水位,是保障業務效能穩定和持續啟動並執行基礎。高負載不僅會導致應用響應變慢,還可能觸發自動保護機制,如系統自動重啟或服務降級。如果存在ECS執行個體的CPU使用率過高,即在過去24小時內CPU使用率大於85%的時間累計超過8小時,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能異常監測 | ECS資源存在效能無法自動擴充風險(2.0模型新增) | 核心雲產品如ECS資源能夠根據效能負載自動增加或減少資源,保障業務在運行過程中的動態平衡。如果存在ECS未開啟彈性擴充,或已開啟彈性擴充且24小時內Auto Scaling組的成功率低於90%,則視為不合規。 | 暫不支援快速修複。 | 否 |