本文為您介紹治理成熟度等級檢測3.0模型支援的檢測項,方便您查詢和使用。
安全
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
人員身份管理 | 主帳號未開啟多因素認證 MFA | 對於主帳號身份,建議啟用 MFA 提供更進階的安全保護。當前主帳號未開啟 MFA,則視為不合規。 | 暫不支援快速修複。 | 否 |
人員身份管理 | 存在啟用控制台登入同時又保有 AccessKey 的 RAM 使用者 | 在任何情境下,我們都推薦單一職責原則。當前帳號下有 RAM 使用者存在 AccessKey 並且開啟了控制台登入,則視為不合規。如果當前帳號開啟了使用者 SSO,將忽略控制台登入配置,若使用者在近7天內登入過,且存在 AccessKey,則視為不合規。 | 此項修複將會禁用選中的 RAM 使用者的控制台登入配置,在執行修複之前請確認該 RAM 使用者不再需要登入。 | 是 |
人員身份管理 | 存在未啟用 MFA 的 RAM 使用者 | MFA 將為 RAM 使用者提供更高的安全保護。RAM 使用者啟用了控制台登入後,如果未設定 MFA,則視為不合規。 | 暫不支援快速修複。 | 是 |
人員身份管理 | 未使用 RAM 管理身份 | 主帳號許可權極大,一旦泄漏風險極大。日常操作建議通過 RAM 身份的方式進行。當前帳號下未存在任何 RAM 身份,則視為不合規。 | 暫不支援快速修複。 | 否 |
人員身份管理 | RAM 使用者未設定完全的密碼強度規則 | 通過提升密碼強度可以有效降低密碼被撞庫和暴力破解的風險。未設定較強的密碼強度、密碼有效期間和歷史密碼檢查策略以及密碼重試約束,則視為不合規。 | 此修複將修改存取控制(RAM)的密碼強度的關鍵設定。其中包含密碼長度大於等於8位、包含的元素大於等於三個、有效期間小於90天、一小時最大重試登入小於等於5次。以上為最佳實務推薦設定,根據企業實際需求,可通過修改參數實現更嚴格的密碼強度要求。設定成功後將適用於所有RAM使用者。 | 否 |
人員身份管理 | 主帳號近 90 天登入過控制台 | 主帳號許可權極大,無法進行條件限制(如訪問來源 IP、訪問時間等),一旦泄漏風險極大。當前主帳號在近三個月內登入過,則視為不合規。 | 暫不支援快速修複。 | 否 |
人員身份管理 | 存在閑置的 RAM 使用者 | RAM 使用者啟用控制台登入時會設定登入密碼。時間越長,密碼暴露的風險就越高。如果存在超過90天未登入的閑置 RAM 使用者,則視為不合規。 | 此項修複將會禁用選中的 RAM 使用者的控制台登入配置,在執行修複之前請確認該 RAM 使用者不再需要登入。請注意:因開啟使用者SSO後RAM使用者的控制台登入配置將失效,若當前帳號已開啟使用者SSO,該項修複執行後仍會在資源清單中提示風險,直到該RAM使用者完全刪除。 | 是 |
人員身份管理 | 未啟用 RAM SSO 方式登入控制台 | 通過 SSO 集中化管控人員身份,能夠提升人員身份的管理效率,降低風險。當前帳號下未配置 RAM SSO,或在30天內有無通過 SSO 的登入行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
人員身份管理 | 建議對多帳號身份進行統一管理 | 通過使用雲 SSO,可以統一管理企業中使用阿里雲的使用者,一次性配置企業身份管理系統與阿里雲的單點登入,並統一配置所有使用者對資來源目錄 RD(Resource Directory)成員帳號的存取權限。如果存在超過90天未登入使用雲 SSO,則視為不合規。 | 暫不支援快速修複。 | 否 |
人員身份管理 | 未啟用 RAM SCIM 同步處理的使用者 | 通過 SCIM 可以便捷地將企業內的人員身份同步到阿里雲上,無需手動建立使用者。當前帳號下未配置 SCIM 同步,或同步的使用者在2個月內無登入行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 主帳號存在啟用的 AccessKey | 主帳號 AccessKey 等同於主帳號許可權,無法進行條件限制(如訪問來源 IP、訪問時間等),一旦泄漏風險極大。有存在的主帳號 AccessKey,則視為不合規。 | 此項修複將會禁用選中的主帳號 AccessKey,在執行修複之前請確認選中的 AccessKey 未在任何程式或應用中使用。主帳號AccessKey禁用後會獲得部分成熟度等級分數,但仍會在資源清單中進行提示直到完全刪除。請注意:主帳號AccessKey僅允許使用主帳號執行修複,使用RAM使用者或RAM角色執行修複時將執行失敗。 | 是 |
程式身份管理 | 存在同時啟用兩個 AccessKey 的 RAM 使用者 | 一個 RAM 使用者啟用兩個 AccessKey,會導致 RAM 使用者喪失輪轉能力,帶來更大的風險。單個 RAM 使用者存在兩個 AccessKey,則視為不合規。 | 此項修複將會禁用選中的RAM使用者的 AccessKey,在執行修複之前請確認選中的 AccessKey 未在任何程式或應用中使用。 | 是 |
程式身份管理 | 存在泄露且未處理的 AccessKey | AccessKey 泄漏後,攻擊者可以利用該 AccessKey 訪問您的資源或資料,造成安全事故。有未處理的 AccessKey 泄漏事件,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 存在待刪除的 KMS 密鑰(3.0模型新增) | 使用者主要金鑰(CMK)一旦刪除,將無法恢複,使用該 CMK 加密的內容及產生的資料密鑰也將無法解密,請確保使用中的主要金鑰未設定為待刪除,避免因誤操作被刪除,影響業務運行。KMS 主要金鑰已設定為待刪除,視為不合規。 | 此項修複將取消選中的待刪除 KMS 密鑰的刪除計劃,密鑰狀態將有待刪除變成啟用中,啟用後密鑰將可以正常加解密資料並且參與計費。 | 否 |
程式身份管理 | 存在未定期輪轉的 AccessKey | 通過定期輪轉,降低 AccessKey 暴露時間長度,進而降低 AccessKey 泄漏風險。RAM 使用者 AccessKey 使用超過365天,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 存在閑置的 AccessKey | RAM 使用者 AccessKey 具備訪問阿里雲 API 的能力,在外部暴露的時間越長,則泄漏風險越高。RAM 使用者 AccessKey 超過365天未使用,則視為不合規。 | 此項修複將會禁用選中的 RAM 使用者的 AccessKey,在執行修複之前請確認選中的 AccessKey 未在任何程式或應用中使用。RAM 使用者的 AccessKey禁用後會獲得部分成熟度等級分數,但仍會在資源清單中進行提示直到完全刪除。 | 是 |
程式身份管理 | Redis 執行個體未開啟密碼認證(3.0模型新增) | 如果 Redis 執行個體未在專用網路下開啟密碼認證或配置不當,可能會導致資料泄露、未經授權的惡意操作、網路安全隱患以及業務中斷等風險。Redis 執行個體在專用網路下關閉密碼認證,視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | 程式訪問未採用無 AccessKey 方案 | 當前帳號下 ECS 未配置執行個體角色,且 ACK 未開啟 RRSA 外掛程式,且Function Compute服務中未佈建服務角色,則視為不合規。 | 暫不支援快速修複。 | 否 |
程式身份管理 | ECS 執行個體未使用加固模式的 Metadata Service | 確保 ECS 執行個體使用加固模式的 Metadata Service(V2版本),以防止 V1 版本可能導致的 STS Token 泄漏。若 ECS 執行個體使用 V1 版本的 Metadata Service,則視為不合規。客戶需將 Metadata Service 升級至 V2 版本進行治理。 | 暫不支援快速修複。 | 否 |
許可權管理 | 存在過多 RAM 身份被授予 Admin 許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。Admin 許可權可以對帳號下的任意資源執行任意操作,避免給過多的 RAM 身份授予 Admin 許可權,以免身份泄露對業務造成影響。在當前阿里雲帳號下,擁有 Admin 許可權的 RAM 身份數小於等於3個,則認為滿足要求。 | 修複時將使用PowerUserAccess替換AdministratorAccess,PowerUser提供對阿里雲服務和資源的完整存取,但不允許管理 RAM 身份及其許可權,管理資來源目錄和資源共用關係,或是修改資金帳號資訊。修複時將分析使用者的許可權審計日誌,將未使用上述特權的 Administrator 身份無損切換到 PowerUser。 | 否 |
許可權管理 | 存在過多非管理員的 RAM 身份被授予費用中心高風險許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。對於擁有賬單和費用中心產品 (BSS) 寫入權限的 RAM 身份來說,可以修改訂單、發票、合約、賬單等資訊,執行交易、提現等資金操作,管理不善可能會造成資產損失。在當前阿里雲帳號下,擁有 bss:* 、 bssapi:* 、 bss:PayOrder 、 bss:Modify* 、 bss:Create* 、 bss:*Order* 、 bss:Delete* 等寫類型許可權的 RAM 身份數小於等於3個,則認為滿足要求。 | 暫不支援快速修複。 | 否 |
許可權管理 | 存在過多非管理員的 RAM 身份被授予高危特權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。擁有高危特權的 RAM 身份,往往可以為自己或其他 RAM 身份提升許可權,使得他們獲得更高的存取權限。如許可權處理不當,會給帳號內資源的安全性和保密性帶來風險。在當前阿里雲帳號下,擁有高危特權的 RAM 身份數小於等於3個,則認為滿足要求。詳細的特權列表,請參見文檔。 | 暫不支援快速修複。 | 否 |
許可權管理 | 存在非管理員的 RAM 身份被授予所有 KMS Key 的解密許可權 | 使用 KMS ,您可以控制誰可以使用您的 KMS 密鑰並訪問您的加密資料。 RAM 策略定義了身份(使用者,組或角色)可以對哪些資源執行哪些操作。按照安全最佳實務,建議許可權最小化,即只應授予身份所需的許可權,且只能對需要使用的密鑰進行授權,否則可能會造成資料的越權訪問。不要為使用者授予所有密鑰的存取權限,而是確定使用者訪問加密資料所需的最小密鑰集,然後給使用者僅授予這些密鑰的存取原則。例如,不要允許對所有 KMS 密鑰使用 kms:Decrypt 許可權。相反,只在您的賬戶的特定地區的特定密鑰上允許該許可權。通過採用最少許可權原則,您可以降低無意泄露資料的風險。 | 暫不支援快速修複。 | 否 |
許可權管理 | RAM 身份存在閑置的產品級許可權 | 在為 RAM 身份授予權限原則後,如果該策略中定義的許可權在指定時間內未被使用,則認為該許可權閑置。出現這種情況的原因可能是當前 RAM 身份的職能發生變化,或之前定義的許可權範圍過大。最佳實務建議定期回收閑置許可權,以實現精細化授權。如果該 RAM 身份有180天未使用的產品級許可權,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
許可權管理 | RAM 身份存在閑置的高危操作許可權 | 在為 RAM 身份授予權限原則後,如果該策略中定義的操作(即 Action)在指定時間內未被使用,則認為該操作許可權閑置。出現這種情況的原因可能是當前 RAM 身份的職能發生變化,或之前定義的許可權範圍過大。最佳實務建議定期回收閑置許可權,以實現精細化授權。對於一些高危操作(如 RAM 的建立使用者)的閑置情況,更應該及時回收,避免一些安全事件的產生。如果該 RAM 身份有180天未使用的高危操作許可權,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
許可權管理 | 所有 RAM 身份都被授予了 Admin 許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權,避免給所有的 RAM 身份都賦予 Admin 許可權,導致身份泄漏後對業務造成影響。有 RAM 身份被授予了非 Admin 許可權,則認為滿足要求。 | 修複時將使用PowerUserAccess替換AdministratorAccess,PowerUser提供對阿里雲服務和資源的完整存取,但不允許管理 RAM 身份及其許可權,管理資來源目錄和資源共用關係,或是修改資金帳號資訊。修複時將分析使用者的許可權審計日誌,將未使用上述特權的 Administrator 身份無損切換到 PowerUser。 | 否 |
許可權管理 | 未使用訪問分析器進行許可權管理(3.0模型新增) | 訪問分析器可以協助使用者識別當前帳號或資來源目錄內與外部帳號共用的資源,協助您識別非預期的資源分享,降低企業安全風險;同時可以協助您識別和查看資來源目錄或當前帳號內過度授權的身份,對存在過度授權的身份產生對應的分析結果。 | 暫不支援快速修複。 | 否 |
許可權管理 | 建議使用管控策略進行多帳號邊界防護 | 資來源目錄管控策略,使得組織可以限制成員帳號能夠訪問的雲端服務以及能夠執行的操作,集中管理成員帳號的許可權邊界,確保整個組織遵守統一的安全和合規性標準。當前未檢測該帳號建立自訂管控策略並綁定到資來源目錄的資源夾或成員,則視為不合規。 | 暫不支援快速修複。 | 否 |
許可權管理 | 沒有 RAM 使用者繼承使用者組的授權 | 預設情況下, RAM 使用者、組和角色無法訪問任何資源。通過 RAM 策略為使用者、組或角色授予許可權。建議直接將 RAM 策略應用於組和角色,而不是使用者。通過組或角色層級分配許可權,可以降低隨著使用者數量的增長帶來的管理複雜性,同時降低無意間擴大某個 RAM 使用者權限的風險。有任何一個 RAM 使用者繼承了 RAM 使用者組授權則認為符合最佳實務。 | 暫不支援快速修複。 | 否 |
日誌收集與歸檔 | Action Trail日誌未設定長周期留存 | 未建立跟蹤或者建立的跟蹤中未歸檔所有地區、未歸檔所有讀寫操作或者Archive Storage周期少於180天,則視為不合規。 | 此修複將會完善當前帳號已有的跟蹤設定,其中包含啟用完整的管控類讀寫事件和所有地區事件。請挑選清單中至少一個已有跟蹤完善設定。在修複後新產生的讀寫和全地區事件將會投遞到跟蹤的目標儲存,在儲存中歷史事件不受影響。 | 否 |
日誌收集與歸檔 | EDAS 未配置日誌收集(3.0模型新增) | 阿里雲Enterprise Distributed Application Service 聯合Log Service推出日誌功能,支援將部署在Container Service Kubernetes 叢集中的應用的相關業務檔案日誌、容器標準輸出日誌投遞到Log Service進行查詢與分析。EDAS 未配置日誌收集,則視為不合規。 | 暫不支援快速修複。 | 否 |
日誌收集與歸檔 | OSS Bucket 未開啟日誌即時查詢功能(3.0模型新增) | OSS 儲存空間即時日誌功能允許使用者為指定的儲存空間(Bucket)開啟即時日誌記錄,以便將對儲存空間的訪問行為以日誌形式記錄下來。這些日誌可以用於審計、監控和分析。Object Storage Service未開啟日誌即時查詢功能或者日誌留存時間不大於180天,則視為不合規。 | 暫不支援快速修複。 | 否 |
日誌收集與歸檔 | OSS Bucket 未開啟日誌轉存功能(3.0模型新增) | 訪問 OSS 的過程中會產生大量的訪問日誌。您可以通過日誌轉存功能將這些日誌按照固定命名規則,以小時為單位組建記錄檔檔案寫入您指定的儲存空間(Bucket)。對於已儲存的日誌,您可以通過阿里雲Log Service或搭建 Spark 叢集等方式進行分析。OSS 儲存空間的日誌管理中開啟日誌轉存,視為合規。 | 暫不支援快速修複。 | 否 |
日誌收集與歸檔 | 存在 ESA 網站未配置日誌投遞任務 | 該檢測項確保網站至少配置一種類型的日誌,以擷取使用者可以即時擷取訪問 ESA 資源的詳細日誌資訊,便於監控、分析和最佳化內容分發效能。如果未配置,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
日誌收集與歸檔 | 未收集Cloud Firewall日誌並儲存 180 天及以上 | Cloud Firewall自動記錄所有流量,並通過可視化日誌審計頁面提供便捷的攻擊事件、流量細節和動作記錄查詢功能,使得攻擊溯源和流量審查變得簡單快捷。Cloud Firewall預設儲存7天的審計日誌,以滿足基本的審計和分析需求。然而,為了更好地滿足合規性要求和提升安全效能,我們推薦將日誌儲存期限延長至180天以上。如果購買了訂用帳戶版本Cloud Firewall但未收集Cloud Firewall日誌並儲存180天及以上,則視為不符合網路安全最佳實務。 | 此項修複將開通Cloud Firewall日誌分析服務,並按照傳入的參數設定日誌留存時間,為遵守資料保護和網路安全法規,Cloud Firewall日誌分析的留存時間不得小於180天。開通Cloud Firewall日誌分析功能後,Cloud Firewall將自動建立一個專屬Project和一個專屬Logstore,用於儲存Cloud Firewall收集到的所有日誌資料。開啟日誌分析將根據日誌儲存時間長度和日誌儲存容量收取費用,具體請參考費用說明。 | 否 |
日誌收集與歸檔 | 建議對多帳號動作記錄進行中心化歸集 | Action Trail僅預設為每個阿里雲帳號記錄最近90天的事件,建立跟蹤可以協助企業持久化儲存操作記錄,滿足內外合規需求。多帳號跟蹤協助企業管理員集中對企業內多帳號進行日誌的統一跟蹤和審計,當前未檢測到存在多帳號跟蹤,則視為不合規。 | 暫不支援快速修複。 | 否 |
日誌收集與歸檔 | 建議開啟多帳號日誌集中收集 | 檢測到 SLS 日誌審計服務的可信服務狀態是未開啟,則視為不合規。 | 暫不支援快速修複。 | 否 |
合規檢測 | 雲上資源存在不合規情況 | 配置審計已經啟用的規則檢測,如合規資源率低於100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
合規檢測 | 未啟用配置審計 | 如果當前帳號未開啟配置審計,則視為不合規。 | 暫不支援快速修複。 | 否 |
合規檢測 | 未啟用配置審計合規規則 | 如果當前帳號未啟用配置審計規則,則視為不合規。 | 暫不支援快速修複。 | 否 |
合規檢測 | 配置審計合規規則未覆蓋所有雲上資源 | 根據規則覆蓋的資源比率進行評估,如果覆蓋率未達100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
合規檢測 | 建議開啟多帳號統一的資源配置檢測 | 當前檢測到此帳號不滿足以下兩個條件,則視為不合規:1. 若存在帳號組且帳號組下已建立規則;2. 將不合規事件投遞到 SLS。 | 暫不支援快速修複。 | 否 |
合規檢測 | 未定期擷取合規檢測資料 | 若配置審計未設定不合規事件投遞或七天內未查看檢測結果,則視為不合規。 | 此項修複將在當前帳號下建立資源資料投遞,支援將資源配置與合規資料的快照和變更投遞到指定雲帳號的SLS、OSS或MNS中,實現資料的持久化和通知能力。建立投遞任務免費,但資料投遞後相關服務將按標準收費,具體請參考計費說明。 | 否 |
合規檢測 | 未設定資源變更或快照的投遞 | 配置審計未設定資源變更或快照的投遞,則視為不合規。 | 此項修複將在當前帳號下建立資源資料投遞,支援將資源配置與合規資料的快照和變更投遞到指定雲帳號的SLS、OSS或MNS中,實現資料的持久化和通知能力。建立投遞任務免費,但資料投遞後相關服務將按標準收費,具體請參考計費說明。 | 否 |
計算資源防護 | 存在待修複主機基準 | 病毒和駭客會利用伺服器存在的安全配置缺陷入侵伺服器盜取資料或是植入後門。基準檢查功能針對伺服器作業系統 、 資料庫 、 軟體和容器的配置進行安全檢測,及時修複基準風險可加固系統安全,降低入侵風險並滿足安全合規要求。若阿里雲帳號下未修複的基準數量大於0,則視為不合規。 | 暫不支援快速修複。 | 否 |
計算資源防護 | 存在待修複漏洞 | 漏洞管理是一個持續、主動的過程,可保護系統、網路、公司專屬應用程式程式,防範網路攻擊和資料泄漏,通過及時解決潛在的安全弱點可防止攻擊並在發生攻擊時將損害降到最低。若阿里雲帳號下待修複的漏洞數量大於0,則視為不合規。 | 暫不支援快速修複。 | 否 |
計算資源防護 | 未開啟防勒索策略 | 勒索破壞入侵會對客戶業務資料進行加密勒索,導致業務中斷、資料泄露、資料丟失等,從而帶來嚴重的業務風險,及時配置防勒索策略可有效降低此類風險。若購買了防勒索功能,未建立防護策略,則視為不合規。 | 暫不支援快速修複。 | 否 |
計算資源防護 | 未開啟防病毒功能 | 開啟病毒查殺功能可有效清理伺服器的各類惡意威脅,可對主流勒索病毒、 DDoS 木馬、挖礦和木馬程式、惡意程式、後門程式和蠕蟲等風險進行有效防護。若購買了Security Center防病毒,企業版,旗艦版,未配置病毒查殺周期性掃描策略,則視為不合規。 | 此項修複將為Security Center的病毒掃描中配置周期性掃描,修複後將按照配置的執行間隔與時間視窗對所有符合版本要求的伺服器執行循環性掃描。掃描完成後,病毒查殺功能掃描出來的警示資訊,會同步至安全警示功能模組中,請及時處理髮現的病毒警示,以確保伺服器安全。 | 否 |
計算資源防護 | 未配置容器鏡像掃描 | 當鏡像自身存在系統漏洞、應用漏洞,或者鏡像被替換為帶有惡意樣本的帶毒鏡像,基於“問題鏡像”建立的服務則存在漏洞,對鏡像倉中的鏡像執行安全掃描,安全人員可將掃描結果推送到開發人員,修複鏡像問題,確保業務的安全。若購買了容器鏡像掃描,掃描設定中沒有配置掃描範圍,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用運行時防護 | 存在 ESA 網站未配置 WAF 託管規則 | 該檢測項確保網站已配置 WAF 託管規則,以針對 Web 和 API 應用程式程式的漏洞進行更好的防護。如果未配置,則視為不符合 Web 應用程式防護的最佳實務。 | 託管規則是ESA內建的智能託管防護規則,可以智能防護OWASP攻擊和最新的來源站點漏洞攻擊。此項修複將為所選的 ESA 網站一鍵開啟託管規則集,不同版本將支援不同的託管規則,詳細請參考不同套餐的支援情況。 | 否 |
應用運行時防護 | 存在 ESA 網站未配置 WAF 自訂規則 | 該檢測項確保網站已配置 WAF 自訂規則,以檢測並緩解該網站下的惡意請求。如果未配置,則視為不符合Web應用防護的最佳實務。 | 暫不支援快速修複。 | 否 |
應用運行時防護 | 未建立應用防護配置 | 通過在應用運行時檢測攻擊並進行應用保護,可有效保護 JAVA 應用,預防 0Day 漏洞攻擊,為應用提供安全防禦。若購買應用防護的客戶未建立應用配置,分組為0,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用運行時防護 | 未開啟網頁防篡改 | 網頁防篡改功能可即時監控網站目錄或檔案,並可在網站被惡意篡改時通過備份資料恢複被篡改的檔案或目錄,防止網站被植入非法資訊,保障網站正常運行。若購買了防篡改功能,綁定伺服器台數為0,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | DDoS 高防遭遇的攻擊超出防禦閾值(3.0模型新增) | 對於已接入 DDoS 高防的業務,當攻擊流量超過 DDoS 高防執行個體的防護頻寬時,DDoS 高防執行個體會進入黑洞,所有通過該執行個體轉寄的業務流量將被阻斷,導致業務無法正常訪問。DDoS 高防執行個體高防 IP 的狀態處於“黑洞中”,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | ECS 執行個體遭受的 DDoS 攻擊超出防禦閾值(3.0模型新增) | 當 ECS 執行個體遭受大流量 DDoS 攻擊且攻擊流量的峰值頻寬 (bps) 超過了其 DDoS 防禦能力時,為避免 DDoS 攻擊對雲產品產生更大損害,同時也避免單個雲產品被 DDoS 攻擊而影響其他資產正常運行,阿里雲黑洞策略會暫時阻斷阿里雲產品與互連網之間的流量互動,正常網路通訊會受到影響。開放公網IP的 ECS 執行個體,DDoS 防護狀態處於“黑洞中”,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | EIP 執行個體遭遇的 DDoS 攻擊超出防禦閾值(3.0模型新增) | 當 EIP 遭受大流量 DDoS 攻擊且攻擊流量的峰值頻寬(bps)超過了其 DDoS 防禦能力時,為避免 DDoS 攻擊對雲產品產生更大損害,同時也避免單個雲產品被 DDoS 攻擊而影響其他資產正常運行,阿里雲的黑洞策略會暫時阻斷阿里雲產品與互連網之間的流量互動,正常網路通訊會受到影響。若 EIP 的 DDoS 防護狀態處於“黑洞中”,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | SLB 執行個體遭遇的 DDoS 攻擊超出防禦閾值(3.0模型新增) | 當 SLB 執行個體遭受大流量 DDoS 攻擊且攻擊流量的峰值頻寬(bps)超過了其 DDoS 防禦能力時,為避免 DDoS 攻擊對雲產品產生更大損害,同時也避免單個雲產品被 DDoS 攻擊而影響其他資產正常運行,阿里雲黑洞策略會暫時阻斷阿里雲產品與互連網之間的流量互動,正常網路通訊會受到影響。SLB 執行個體,DDoS 防護狀態處於“黑洞中”,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | 原生防護未添加相應的防護對象 | 購買 DDoS 原生防護或高防執行個體後,您需要將公網 IP 資產添加為防護對象, DDoS 才可以為其提供 DDoS 防護能力。否則無法起到防護效果,並且造成一定的成本浪費。 | 暫不支援快速修複。 | 否 |
網路攻擊應對 | 網站類的 DDoS AI 智能防護設定為strict 模式 | AI 智能防護旨在提升網站的安全效能,然而,在策略配置中啟用strict 模式時,需注意其可能會對業務造成一定的誤攔截。因此,strict 模式更適用於網站效能較差或防護效果不盡如人意的網站情境。值得注意的是,網站網域名稱類業務接入對常見四層攻擊已有天然的防護能力。所以對於大多數網站業務,建議不要開啟AI 智能防護中的strict 模式,而應採用預設的正常模式以平衡防護效果和商務持續性。 | 此項修複將網站業務的AI智能防護功能的攔截模式設定為防護,防護等級設定為正常。DDoS高防將在檢測到惡意攻擊行為時,會自動產生精準存取控制規則,當檢測到流量對網站造成威脅時,對惡意攻擊進行智能防禦。 | 否 |
網路存取控制 | ECS 執行個體未禁止綁定公網地址 | 防止 ECS 執行個體直接暴露在公網以減少被攻擊的風險,建議通過 NAT Gateway或負載平衡器接入公網。若存在 ECS 執行個體綁定了公網地址,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | Elasticsearch 執行個體開啟了公網訪問地址且未設定白名單 | 為 Elasticsearch 開放公網訪問可能會帶來安全風險。一旦執行個體對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許 Elasticsearch 執行個體從 VPC 內網訪問,並設定合適的IP白名單,同時配置合適的存取控制。執行個體開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
網路存取控制 | Elasticsearch 執行個體的 Kibana 服務開啟了公網訪問地址且未設定白名單 | 為 Kibana 開放公網訪問可能會帶來安全風險。一旦執行個體對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許 Kibana 執行個體從 VPC 內網訪問,並設定合適的 IP 白名單,同時配置合適的存取控制。Elasticsearch 執行個體的 Kibana 服務開啟了公網訪問,則認為不合規最佳實務。 | 暫不支援快速修複。 | 否 |
網路存取控制 | MongoDB 執行個體開啟了公網訪問地址且未設定白名單 | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從 VPC 內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。執行個體開啟了公網訪問地址,則認為不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | PolarDB 叢集設定了公網串連地址 | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從 VPC 內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。叢集開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
網路存取控制 | RDS 執行個體開啟了公網訪問地址且未設定白名單 | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從 VPC 內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。執行個體開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
網路存取控制 | Redis 執行個體設定了公網串連地址 | 為資料庫開放公網訪問可能會帶來安全風險。一旦資料庫對公網開放,它就可能暴露於惡意攻擊者的視線中,另外,在暴露公網的基礎上,如果未做好相應的存取控制,將容易導致資料泄漏或遭受破壞。最佳實務建議只允許資料庫執行個體從 VPC 內網訪問,並設定合適的IP白名單,為資料庫設定複雜的帳號和密碼。執行個體開啟了公網訪問地址,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
網路存取控制 | 安全性群組入網規則設定了 0.0.0.0/0 和任意連接埠 | 禁止安全性群組規則允許所有 IP 位址 (0.0.0.0/0) 從任意連接埠訪問,必須限制為特定 IP 段和連接埠 。若安全性群組的入網規則中存在 0.0.0.0/0 且未指定具體連接埠 ,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | Table Store Tablestore 執行個體開啟了公網訪問和傳統網路訪問 | Table Store預設會為每個執行個體建立一個公網網域名稱、一個 VPC 網域名稱以及一個經典網網域名稱。其中,公網網域名稱對互連網可見,任意使用者可以在互連網通過公網網域名稱訪問Table Store資源。經典網網域名稱是對同地區的 ECS 伺服器可見,應用程式從同地區的傳統網路 ECS 伺服器上可以通過經典網網域名稱訪問該執行個體。 | 暫不支援快速修複。 | 否 |
網路存取控制 | ACK 叢集 API Server 開啟了公網訪問地址(3.0模型新增) | ACK 叢集如果設定了公網串連端點,會提高各類資來源物件(例如:Pod、Service、ReplicaController 等)在公網被攻擊的風險,因此不建議設定公網串連端點。若 ACK 叢集設定了公網串連端點,則不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | ECS 啟動模板網路類型設定為傳統網路(3.0模型新增) | 傳統網路使用者之間無法實現網路層級的隔離,多個租戶在同一個 IP 池中;使用者也無法實現自訂的網路拓撲和 IP 位址,若暴露在傳統網路中的應用出現漏洞,可能被雲上其它租戶攻擊。Virtual Private Cloud 在多個層面上提供了更高水平的安全保障措施,對於重視資料安全性的企業和組織來說,採用Virtual Private Cloud 無疑是更好的選擇。ECS 啟動模板配置中網路類型設定為傳統網路,則不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | EMR 叢集 Master 節點開啟了公網訪問地址(3.0模型新增) | EMR 叢集 Master 節點若分配了公網 IP 位址,會顯著提高其在公網環境中遭受攻擊的風險。攻擊者可能通過暴露的公網 IP 對 Master 節點進行掃描、入侵或其他惡意行為,從而威脅到整個叢集的安全性。EMR 叢集設定了公網串連,則不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | ESS 伸縮組配置關聯的安全性群組入網規則設定了 0.0.0.0/0 和任意連接埠(3.0模型新增) | 當觸發彈性擴張活動後,Auto Scaling會以伸縮配置為模板自動建立 ECS 執行個體。如果 ESS 伸縮組配置中關聯的安全性群組的入網規則允許所有 IP 位址(0.0.0.0/0)通過任意連接埠訪問,則建立出的 ECS 執行個體將存在潛在的安全風險。若 ESS 伸縮組配置關聯的安全性群組的入網規則中存在 0.0.0.0/0 且未指定具體連接埠,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | MaxCompute 專案未設定白名單(3.0模型新增) | MaxCompute 專案開啟白名單功能後,僅允許白名單內的裝置訪問專案空間。如果 MaxCompute 專案未開啟白名單功能時,所有使用公網 Endpoint 的 IP 均可訪問 MaxCompute 專案,存在公網暴露風險。當 MaxCompute 專案配置了外部網路訪問並且未開啟 IP 白名單功能,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路存取控制 | 安全性群組對公網開放了高危連接埠(22/3389/……) | 禁止安全性群組規則允許公網訪問 SSH (22) 和 RDP (3389) 等高危連接埠,以防網路攻擊和未經授權訪問。若安全性群組對公網開放 SSH (22)、RDP (3389) 等高危連接埠,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路防護 | NAT Gateway執行個體未完全接入 NAT 邊界防火牆防護 | 為了降低私網訪問公網的風險,所有 NAT Gateway執行個體都應當接入Cloud Firewall NAT 邊界防火牆防護。如果使用了Cloud Firewall,但存在未開啟防護的 NAT Gateway,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | VPC 互訪流量未完全接入 VPC 邊界防火牆防護 | 該檢測項要求所有 VPC 的互訪流量都必須通過Cloud Firewall的 VPC 邊界防火牆進行防護,以降低私網內部流量的風險。如果使用了Cloud Firewall,但存在未開啟 VPC 防火牆的 VPC 互訪流量,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall IPS 未開啟基礎防禦 | Cloud Firewall的入侵防禦模組 (IPS) 應開啟基礎防禦功能。基礎防禦可提供基礎的入侵防禦能力,包括暴力破解攔截、命令執行漏洞攔截、對被感染後串連 C&C (命令控制) 的行為管控,可為您的資產提供基礎的防護能力。如果使用了Cloud Firewall但未開啟該功能,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall IPS 未開啟威脅情報 | Cloud Firewall的入侵防禦模組 ( IPS ) 應開啟威脅情報功能,以便掃描偵查威脅情報,並提供中控情報阻斷。如果使用了Cloud Firewall但未開啟該功能,則視為不合規。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall IPS 未開啟攔截模式 | Cloud Firewall的入侵防禦模組 ( IPS ) 應配置為攔截模式,以便對惡意流量進行攔截,阻斷入侵活動。如果使用了Cloud Firewall但未開啟該功能,則視為不符合網路安全最佳實務。 | 此項修複將開啟威脅引擎運行模式的攔截模式,攔截模式等級將預設設定為中等。 | 否 |
網路防護 | Cloud Firewall IPS 未開啟虛擬補丁 | Cloud Firewall的入侵防禦模組 ( IPS ) 應當開啟虛擬補丁功能。Cloud Firewall可為您即時防護熱門的高危漏洞和應急漏洞。虛擬補丁針對可被遠程利用的高危漏洞和應急漏洞,在網路層提供熱補丁,即時攔截漏洞攻擊行為,避免修複主機漏洞時對業務產生的中斷影響。如果使用了Cloud Firewall但未開啟該功能,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall可用授權數不足 | 該檢測項確保Cloud Firewall的規格在可用授權數方面是合理的。如果使用了Cloud Firewall,但未開啟互連網邊界防火牆防護的公網IP 資產的數量超過了可用防護的授權數,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall未配置預設拒絕策略 | 為了確保網路安全,Cloud Firewall應配置預設拒絕策略(即在入向/出向上訪問源與目的均為 0.0.0.0/0,動作為拒絕的 IPv4 地址版本原則)。除了明確允許的可信流量外,所有其他流量都應被預設阻止。如果使用了Cloud Firewall但未配置預設拒絕策略,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall未防護所有的公網資產 | 該檢測項確保所有公網資產均受到Cloud Firewall的保護。如果使用了Cloud Firewall,但存在未開啟互連網邊界防火牆防護的公網 IP 資產,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall策略未建立 ACL 策略 | 開啟防火牆開關後,如果您未配置存取控制(ACL)策略,Cloud Firewall在存取控制策略匹配環節中預設允許存取所有流量。您可以根據業務需要,配置不同防火牆的流量攔截和允許存取策略,以便更好地管控資產的未授權訪問。如果使用了Cloud Firewall但未建立過存取控制策略,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | Cloud Firewall防護頻寬規格不足 | 該檢測項確保Cloud Firewall的規格在防護頻寬規格方面是合理的。如果使用了Cloud Firewall,但近30天實際頻寬峰值超過了購買的防護頻寬,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
網路防護 | 未使用Cloud Firewall防護網路流量 | 阿里雲Cloud Firewall是一款雲平台 SaaS (Software as a Service)化的防火牆,可針對您雲上網路資產的互連網邊界、 VPC 邊界及主機邊界實現三位一體的統一安全隔離管控,是您業務上雲的第一道網路防線。若未使用Cloud Firewall,則視為不符合網路安全最佳實務。 | 暫不支援快速修複。 | 否 |
資料存取控制 | OSS Bucket 開啟了公用寫 | OSS 支援通過設定 Bucket Policy 以及 ACL 的方式實現公用訪問。公用寫是指無需特定許可權或身分識別驗證即可修改任意 OSS 資源或在 Bucket 內上傳新的檔案對象。公用寫意味著任何人都可以上傳和修改 OSS Bucket 中的資料,容易引發資料泄露以及被惡意訪問而產生大量成本的風險。最佳實務建議關閉 OSS Bucket 公用寫入權限,僅通過 URL 簽名或者 API 的形式訪問 OSS Bucket 中的資料。當 OSS Bucket Policy 或 ACL 任意一種包含公用寫的語義時,即可視為該 OSS Bucket 可能存在被公用寫的安全風險,不符合最佳實務。 | 暫不支援快速修複。 | 否 |
資料存取控制 | OSS Bucket 存在匿名帳號訪問規則 | 實施最小許可權原則是降低安全風險及減少錯誤或惡意行為影響的基礎。如果 OSS Bucket 策略允許匿名帳號訪問,可能會導致攻擊者進行資料外泄。此外,如果外部帳號被惡意攻擊者控制,那麼您的資料可能會被篡改或刪除。這不僅威脅到資料的完整性和保密性,也可能導致業務中斷和法律問題。最佳實務建議通過策略禁止匿名帳號訪問 OSS Bucket。如果 Bucket policy 中存在允許匿名帳號訪問的策略,即授權使用者為所有帳號*且效力為允許,則認為不滿足最佳實務。 | 暫不支援快速修複。 | 否 |
資料存取控制 | OSS Bucket 存在組織外帳號訪問規則 | 確保 OSS Bucket 僅限於組織內部帳號訪問,防止資料泄露風險。若 OSS Bucket 的授權策略中允許組織外的帳號訪問,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料存取控制 | OSS Bucket 開啟了公用讀取 | 防止 OSS Bucket 內容對公眾開放讀取,確保資料機密性和安全性。若 OSS Bucket 設定為公用讀取許可權,則視為不合規。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | SLB 伺服器憑證存在到期風險 | 確保 SLB 使用的伺服器憑證在15天內不會到期,以避免認證到期導致的傳輸加密失效。若 SLB 伺服器憑證的剩餘有效期間小於或等於15天,則視為不合規。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | API Gateway中開啟公網訪問的 API 未配置 HTTPS | 對外提供的 API 僅使用 HTTP 協議對外提供服務可能會帶來資料安全風險。由於 HTTP 協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,如使用者憑證和私人資料,進而導致資料泄漏。最佳實務建議對外提供服務的 API,使用 HTTPS 協議,並將 HTTP 監聽上的請求強制跳轉到 HTTPS 協議的監聽,確保資料轉送過程中都是加密的。API Gateway關聯的網域名稱未配置 HTTPS 協議,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | CDN 使用的 SSL 憑證臨近到期(3.0模型新增) | 確保網域名稱綁定的 SSL TLS 認證在有效期間內,避免因認證到期導致的安全風險和業務中斷。CDN認證到期時間剩餘天數小於15天,則視為不合規。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | CDN 網域名稱未配置 HTTP 強制跳轉到 HTTPS | CDN 僅使用 HTTP 協議對外提供服務可能會帶來資料安全風險。由於 HTTP 協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,如使用者憑證和私人資料,進而導致資料泄漏。最佳實務建議對外提供服務的 CDN 網域名稱,使用 HTTPS 協議,並將 HTTP 監聽上的請求強制跳轉到 HTTPS 協議的監聽,確保資料轉送過程中都是加密的。如果 CDN 網域名稱 HTTPS 配置的強制跳轉類型未設定成 HTTP -> HTTPS,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | CDN 網域名稱未配置 HTTPS | CDN 僅使用 HTTP 協議對外提供服務可能會帶來資料安全風險。由於 HTTP 協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,如使用者憑證和私人資料,進而導致資料泄漏。最佳實務建議對外提供服務的 CDN 網域名稱,使用 HTTPS 協議,並將 HTTP 監聽上的請求強制跳轉到 HTTPS 協議的監聽,確保資料轉送過程中都是加密的。CDN 網域名稱未開啟 HTTPS 安全加速功能,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | Elasticsearch 執行個體未使用 HTTPS 傳輸協議 | Elasticsearch 執行個體僅使用 HTTP 協議提供服務可能會帶來資料安全風險。由於 HTTP 協議的通訊內容是明文傳輸,攻擊者可以輕易地擷取並查看通訊內容,從而擷取敏感資訊,進而導致資料泄漏。最佳實務建議是在應用程式或者用戶端內使用 HTTPS 協議訪問 Elasticsearch,確保資料轉送過程中都是加密的。Elasticsearch 執行個體的叢集網路設定開啟了使用 HTTPS 協議開關,則認為符合最佳實務。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | SLB 執行個體未開啟 HTTPS 監聽 | 確保負載平衡器 (SLB) 啟用了 HTTPS 監聽,以保障資料在傳輸過程中使用 TLS 加密協議。若 SLB 未啟用 HTTPS 監聽,則視為不合規。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | SSL 憑證管理服務中的認證存在到期風險 | SSL 憑證到期後,用戶端將無法驗證伺服器的身份,可能會導致使用者無法訪問服務或者出現警告,影響使用者體驗。未能及時更新認證可能導致服務可用性下降,客戶信任度降低,甚至可能導致資料泄露。此外,認證續約、更新往往需要一定周期,建議預留充足的時間更新認證,避免服務中斷。數位憑證管理服務中的認證,如果到期時間<=15天,則認為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | 存在 ESA 網站未開啟 TLS v1.2 | 該檢測項確保網站已開啟 TLS v1.2,使用較新的協議版本以提高網站的安全等級。如果未開啟,則視為不符合資料轉送安全的最佳實務。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | 存在 ESA 網站未開啟 HSTS | 該檢測項確保網站已開啟 HSTS ,以減少第一次訪問被劫持的風險。如果未開啟,則視為不符合資料轉送安全的最佳實務。 | 暫不支援快速修複。 | 否 |
傳輸資料保護 | 存在 ESA 網站未開啟強制 HTTPS | 該檢測項確保網站已開啟強制 HTTPS,以保證將用戶端到 ESA 邊緣節點的 HTTP 要求強制重新導向為 HTTPS。如果未開啟,則視為不符合資料轉送安全的最佳實務。 | 暫不支援快速修複。 | 否 |
資料脫敏 | 資料資訊安全中心未開啟敏感性資料識別(3.0模型新增) | 敏感性資料主要包括客戶資料、技術資料、個人資訊等高價值資料,這些資料以不同形式存在於阿里雲使用者的資產中。敏感性資料的泄露會給企業帶來嚴重的經濟和品牌損失。資料資訊安全中心可根據預先定義的敏感性資料關鍵字段,掃描 MaxCompute 、 OSS 、阿里雲資料庫服務(RDS 、 PolarDB-X 、 PolarDB 、 OceanBase 、Table Store)、自建資料庫等資料庫中的資料,通過敏感性資料規則中的叫用次數來判斷是否屬于敏感資料。資料資訊安全中心未開啟敏感性資料識別,則視為不合規。 | 暫不支援快速修複。 | 否 |
待用資料保護 | PolarDB 叢集未開啟 TDE 資料加密(3.0模型新增) | 透明資料加密 TDE(Transparent Data Encryption) 可對資料檔案執行即時 I/O 加密和解密,資料在寫入磁碟之前進行加密,從磁碟讀入記憶體時進行解密。如果 PolarDB 未開啟 TDE(透明資料加密)功能,可能存在資料泄露、被非法訪問或篡改的風險。PolarDB叢集未開啟 TDE,則視為不合規。 | 暫不支援快速修複。 | 否 |
待用資料保護 | RDS 執行個體未開啟 TDE 資料加密(3.0模型新增) | 在安全合規或待用資料加密等情境下,推薦使用透明資料加密 TDE(Transparent Data Encryption)功能,對資料檔案執行即時 I/O 加密和解密,通過在資料庫層執行待用資料加密,阻止可能的攻擊者繞過資料庫直接從儲存中讀取敏感資訊,有效提高資料庫中敏感性資料的安全性。RDS執行個體未開啟 TDE 資料加密,則視為不合規。 | 暫不支援快速修複。 | 否 |
安全事件響應&恢複 | Security Center存在待處理警示 | 安全警示事件是指Security Center檢測到的您伺服器或者雲產品中存在的威脅,覆蓋網頁防篡改、進程異常、網站後門、異常登入、惡意進程等安全警示類型,及時處理警示可提升資產安全態勢。若未處理警示數大於0,則視為不合規。 | 暫不支援快速修複。 | 否 |
安全事件響應&恢複 | 未使用Security Center進行安全防護(3.0模型新增) | 雲上資產面臨著眾多安全威脅,例如病毒傳播、駭客攻擊、勒索加密、漏洞利用等,Security Center提供資產管理、配置核查、主動防禦等安全能力。可以通過購買合適的安全防護服務,為雲上資產搭建安全防禦體系。使用的Security Center版本未高於基礎版,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
執行個體規格 | ACK 叢集使用了託管叢集基礎版 | ACK 託管叢集分為基礎版和 Pro 版。Pro 版相比基礎版進一步增強了叢集的可靠性、安全性和調度性,更適合生產環境下運行大規模業務。若未使用 Pro 版的託管叢集類型,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | ECS 執行個體使用了共用型或已停售的執行個體規格 | 使用 ECS 共用型或已停售的執行個體規格,無法保證執行個體計算效能的穩定。使用已停售或者共用型的 ECS 規格類型系列執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | Elasticsearch 執行個體使用了開發測試型規格 | 1核2GB 的 Elasticsearch 規格執行個體只適合於測試情境,不適用於生產環境。使用規格為1核2GB 的 Elasticsearch 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | MongoDB 執行個體使用了單節點執行個體規格 | MongoDB 採用單節點架構時,故障恢復較長且無 SLA 保障。未使用多可用性區域的 MongoDB 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | RDS 執行個體使用了基礎系列執行個體規格 | RDS 基礎系列執行個體只有一個資料庫節點,沒有備節點作為熱備份,因此當該節點意外宕機或者執行重啟執行個體、變更配置、版本升級等任務時,會出現較長時間的不可用。同時, RDS 的執行個體規格類型系列中共用規格和通用規格存在與同一物理機上其他執行個體共用資源的情況,僅適用與穩定性要求較低的應用情境。如果業務對資料庫的可用性要求較高,推薦產品系列使用高可用/叢集類型,執行個體規格類型系列使用獨享類型。當 RDS 的產品系列未使用高可用/叢集系列,或者 RDS 執行個體規格類型系列未使用獨享規格,視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | Redis 執行個體使用了開源版執行個體規格 | Redis 企業版提供更強的效能、更多的資料結構和更靈活的儲存方式。未使用 Redis 企業版,則視為不合規。 | 暫不支援快速修複。 | 否 |
執行個體規格 | 雲訊息佇列 RocketMQ 版執行個體使用了標準版執行個體規格 | 標準版 RocketMQ 版採用共用執行個體,不建議在生產環境使用。使用共用版 RocketMQ 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | ACK 叢集使用了到期的 Kubernetes 版本 | Kubernetes 社區每4個月左右發布一個次要版本,建議使用維護中的版本,到期版本叢集存在安全隱患和穩定性風險。叢集版本到期後,將無法享受新 Kubernetes 版本支援的功能特性及缺陷修複,無法獲得及時有效支援人員,面臨無法修複安全性漏洞的風險。使用的 ACK 叢集版本未停止維護,視為合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | ECS 執行個體使用了到期的 OS 版本 | ECS 執行個體使用停止支援的 OS 版本,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | Elasticsearch 執行個體使用了不推薦的版本 | 如果 Elasticsearch 執行個體使用的版本不在官方的推薦版本範圍內,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | MSE 引擎版本過低 | 使用最新的 MSE 引擎版本是確保 MSE 服務連續性的關鍵,如果引擎版本過低可能會導致:代碼存在缺陷引發 GC 無法回收,記憶體溢出導致記憶體持續上漲;啟動速度過慢,JSON 序列化缺陷等問題。如果 MSE-ZooKeepe r或者 MSE-ANS 引擎版本或者 MSE-ANS 用戶端版本過低,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | MSE-Ingress 網關版本過低 | 使用最新版本的 Ingress 是確保網關服務連續性的關鍵,如果版本過低可能會導致:存在安全或穩定風險;可能導致訂閱 Nacos 服務的執行個體列表不準確等問題。如果 MSE-Ingress 版本過低,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | RDS 執行個體 MySQL 資料庫大版本過低(3.0模型新增) | 使用生命週期已經停止或者即將停止的 MySQL 版本會導致系統面臨安全風險、效能瓶頸、相容性以及支援人員缺失等問題。及時升級至受支援的 MySQL 版本可獲得最新的安全補丁、效能提升以及功能增強,降低營運風險並提升整體系統可靠性。當前RDS執行個體使用5.5或5.6版本的版本,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | Function Compute FC 2.0 函數使用了廢棄的運行時(3.0模型新增) | 隨著運行時的版本迭代,Function Compute會停止對部分運行時的維護,不再繼續提供對該運行時的支援人員和安全更新。建議將函數遷移至最新支援的運行時,以便獲得支援人員和安全更新。 FC 2.0 函數使用的運行時為 nodejs12 , nodejs10 , nodejs8 , dotnetcore2.1 , python2.7 , nodejs6 或 nodejs4.4 內的任意一種,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | ACK 叢集巡檢節點 Kubelet 組件版本落後於控制面(3.0模型新增) | ACK 叢集節點 Kubelet 組件版本落後於控制面會導致相容性故障,控制面(如 API Server)可能因新特性或協議升級無法與舊版 Kubelet 正常通訊,引發節點狀態異常、Pod 調度失敗或節點被標記為不可用;此外,舊版本 Kubelet 可能未修複已知安全性漏洞,增加節點被攻擊風險,同時阻礙叢集版本整體升級能力,長期可能導致功能缺失或維護困難,需立即升級 Kubelet 至相容版本以恢複通訊穩定性並消除安全隱患。存在 ACK 叢集節點 Kubelet 組件版本落後於控制面,則視為不合規。 | 暫不支援快速修複。 | 否 |
穩定版本 | PolarDB 叢集資料庫未使用穩定的小版本 | PolarDB 資料庫小版本狀態不為 Stable 或 Beta ,則視為不合規。 | 此項修複將開啟指定執行個體的小版本自動升級,當您的核心小版本低於最新核心小版本時,系統將會不定期地下發主動營運任務來升級核心小版本。自動升級操作將會在您設定的設定可維護時間段內進行,升級過程中會重啟資料庫代理Proxy或核心引擎DB,可能會導致資料庫連接閃斷。請您盡量在業務低峰期執行升級操作,並且確保您的應用有自動重連機制。 | 否 |
穩定版本 | RDS 執行個體未開啟核心小版本自動升級(3.0模型新增) | 雲資料庫 RDS 支援自動升級或手動升級核心小版本。當核心小版本低於最新核心小版本時,系統將會不定期地下發主動營運任務來升級核心小版本。執行個體將獲得包含效能提升、新功能支援和安全問題解決的最新版本,能夠確保資料庫服務的持續最佳化和安全。RDS執行個體未開啟自動升級核心小版本,則視為不合規。 | 此項修複將為選中的 RDS 執行個體自動開啟核心小版本自動升級,當 RDS 執行個體的核心小版本低於最新核心小版本時,系統將會不定期地下發主動營運任務來升級核心小版本。自動升級操作將會在您設定的設定可維護時間段內進行,系統下發的升級任務資訊將通過訊息中心內設定的簡訊、郵件等渠道進行通知。 | 否 |
穩定版本 | Redis 執行個體未升級至最新小版本 | Redis 執行個體未升級至最新小版本,則視為不合規。 | 此項修複將開啟選中執行個體的小版本自動升級,開啟後系統會周期性檢查版本發布狀態,如發現新版本則將在60天內的可升級時段內進行自動升級。升級資料庫版本時,執行個體將先升級備(Replica)執行個體或準備新執行個體,到達指定的執行時間後,執行主備切換或執行個體切換,完成升級操作。在執行個體切換階段,執行個體最多將存在60秒以內的唯讀狀態(等待資料完全同步),同時會發生秒級的串連閃斷,請確保應用程式具備重連機制。 | 否 |
到期風險 | AnalyticDB MySQL版數倉版執行個體存在到期風險 | AnalyticDB MySQL版數倉版執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的ADB預付費執行個體資源開啟自動續約。 | 否 |
到期風險 | DDoS 高防執行個體存在到期風險 | DDoS 執行個體的到期時間距離目前時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的DDoSCOO預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | ECS 執行個體存在到期風險 | ECS 預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的ECS預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | EIP 執行個體存在到期風險 | EIP 預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的EIP預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | KMS 執行個體存在到期風險(3.0模型新增) | 確保為 KMS 執行個體預付費執行個體及時續約,避免因費用到期而中斷業務運行。KMS 執行個體預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的 KMS 預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | MongoDB 執行個體存在到期風險 | MongoDB 預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的MongoDB預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | PolarDB 叢集存在到期風險 | PolarDB 預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的PolarDB預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | PolarDB-X 執行個體存在到期風險 | PolarDB-X 1.0 以及 PolarDB-X 2.0 執行個體的到期時間距離目前時間小於7天且未開啟自動續約,則視為不合規。 | 暫不支援快速修複。 | 否 |
到期風險 | RDS 執行個體存在到期風險 | RDS 預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的RDS預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | Redis 執行個體存在到期風險 | Redis 預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的Redis預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | SLB 執行個體存在到期風險 | SLB 預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的SLB預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | VPN 閘道存在到期風險(3.0模型新增) | 確保為 VPN 閘道執行個體預付費執行個體及時續約,避免因費用到期而中斷業務運行。VPN 閘道執行個體預付費執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的VPN預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | 雲企業網 CEN 頻寬包存在到期風險 | 雲企業網頻寬包的到期時間距離目前時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的CEN預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | 共用頻寬執行個體存在到期風險 | 共用頻寬執行個體的到期時間距離目前時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的CBWP資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
到期風險 | Bastionhost執行個體存在到期風險 | Bastionhost執行個體到期時間距離檢查時間小於7天且未開啟自動續約,則視為不合規。 | 此修複將會為您選擇的Bastionhost預付費執行個體資源開啟自動續約。開啟自動續約後,功能將在次日生效,請至少在預付費執行個體到期前 2 天開通自動續約,如果您的執行個體將於下一日到期,建議前往產品控制台選擇人工續約。自動續約周期將以設定的自動續約時間長度為準,例如續約時間長度選擇 1 個月,執行個體即在每次到期前自動續約 1 個月,請確保帳號餘額、代金券等足夠抵扣續約金額。 | 否 |
刪除保護 | ACK 叢集未開啟刪除保護 | ACK 叢集未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | ALB 執行個體未開啟刪除保護 | ALB 執行個體未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | EIP 執行個體未開啟刪除保護 | EIP 執行個體未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | MongoDB 執行個體未開啟釋放保護 | MongoDB 執行個體未開啟釋放保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | PolarDB 叢集未開啟叢集保護鎖 | PolarDB 執行個體未開啟叢集保護鎖,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | RDS 執行個體未開啟釋放保護 | RDS 執行個體未開啟釋放保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
刪除保護 | SLB 執行個體未開啟刪除保護 | SLB 執行個體未開啟刪除保護,則視為不合規。 | 此修複將會為您啟用選中資源的刪除保護功能,將無法通過控制台、API或命令列等方式釋放。如果需要釋放該執行個體,需請先至執行個體詳情頁面關閉刪除保護開關。 | 否 |
風險巡檢 | ACK 叢集巡檢 API Server 綁定的 CLB 執行個體不存在(3.0模型新增) | ACK 叢集 API Server 未綁定 CLB 執行個體將導致 API 服務流量入口缺失,外部客戶端(如 kubectl)無法通過負載平衡訪問 API Server,叢集管理完全中斷;叢集內組件(如 kubelet、控制器)因無法建立穩定通訊,可能引發節點狀態異常、Pod 調度失敗及服務不可用;同時,API Server 節點直接暴露 IP 位址,喪失流量分發與容錯移轉能力,存在單點故障風險,且增加未授權訪問或 DDoS 攻擊威脅,需立即建立並綁定 CLB 執行個體以恢複高可用性及安全訪問。存在 ACK 叢集 API Server 綁定的 CLB 執行個體不存在,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢 API Server 綁定的 CLB 執行個體狀態異常(3.0模型新增) | ACK 叢集 API Server 綁定的 CLB 執行個體狀態異常會導致 API 服務流量轉寄失敗,用戶端(如 kubectl)無法建立穩定串連,叢集管理完全阻斷;內部組件(如 kubelet、控制器)因通訊中斷引發節點狀態異常、Pod調度停滯及服務不可用;同時,CLB 健全狀態檢查失效可能造成流量集中於故障節點,加劇單點風險,且異常狀態若伴隨安全配置錯誤(如未加密或連接埠暴露),可能引發未授權訪問或中間人攻擊,需立即修複 CLB 健康狀態並驗證安全性原則,避免叢集癱瘓與資料泄露。存在 ACK 叢集 APIServer 綁定的 CLB 執行個體狀態異常,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢 API Server 綁定的 CLB 連接埠監聽配置異常(3.0模型新增) | ACK 叢集 API Server 綁定的 CLB 連接埠監聽配置異常會導致 API 服務訪問中斷,用戶端(如 kubectl)無法串連叢集,營運操作完全失效;同時,叢集內組件(如 kubelet、控制器)因無法與 APIServer 通訊,引發節點狀態異常、Pod調度失敗及服務不可用;若監聽協議錯誤或安全性群組限制缺失,可能造成未授權訪問或流量劫持風險,需立即修複監聽連接埠配置、驗證協議類型及安全性原則,避免叢集癱瘓與資料泄露。存在 ACK 叢集 APIServer 綁定的 CLB 連接埠監聽配置異常,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢 CoreDNS 服務後端伺服器數為 0(3.0模型新增) | ACK 叢集中 CoreDNS 後端伺服器數為 0 會導致服務發現完全失效,叢集內服務間通訊中斷(如微服務調用、資料庫訪問),應用無法通過服務名稱解析地址,直接影響業務可用性。同時引發叢集穩定性風險。存在 ACK 叢集 CoreDNS 服務後端伺服器數為 0,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ALB 5xx 錯誤佔比過大(3.0模型新增) | ALB 執行個體的 5xx 錯誤佔比在某段時間內持續超過指定閾值,說明後端服務頻繁出現內部錯誤,可能由應用異常、資源不足、配置錯誤或依賴服務故障引起。這將直接導致使用者體驗下降、業務中斷風險上升,並影響系統穩定性與可用性。ALB 執行個體的 5xx 錯誤佔比在過去某個時間範圍內,有至少8小時大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ALB TLS 握手失敗率過大(3.0模型新增) | ALB TLS 握手失敗率過高可能表明用戶端與服務端之間的加密通訊存在問題,例如認證配置錯誤、協議版本不相容、密鑰套件不匹配或用戶端使用了不受支援的密碼編譯演算法等。這不僅會導致使用者訪問失敗,影響業務可用性,還可能暴露安全性漏洞,增加中間人攻擊的風險。ALB 執行個體的 TLS 握手失敗率在過去某個時間範圍內,有至少8小時大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ALB 串連失敗率過高(3.0模型新增) | 應用型負載平衡(ALB)串連失敗率過高可能表明後端服務存在異常、網路不穩定或配置錯誤,可能導致使用者訪問失敗、業務中斷和使用者體驗下降。通過巡檢 ALB 串連失敗率指標,可以及時發現並定位問題根源。從而提升系統可用性與穩定性,最佳化流量調度效率,保障商務持續性和服務品質,為客戶帶來更可靠的雲上應用交付能力。ALB 執行個體的串連失敗率在過去某個時間範圍內,有至少8小時大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | CDN 網域名稱中 OSS 來源站點網域名稱配置異常(3.0模型新增) | 若 CDN 網域名稱中來源站點網域名稱配置不存在,會導致資源請求失敗,影響業務功能。同時,回源失敗會導致 CDN 不斷重試,增加無意義的網路開銷。CDN 網域名稱中來源站點資訊使用了 OSS 網域名稱,並且對應的 OSS Bucket 資源狀態不為保有中,則視為不合規。未使用 OSS 網域名稱作為來源站點資訊的 CDN 網域名稱不納入檢測範圍。 | 暫不支援快速修複。 | 否 |
風險巡檢 | DNS 網域名稱解析中 CNAME 記錄配置的OSS 網域名稱異常(3.0模型新增) | 若 DNS 網域名稱解析的 CNAME 記錄配置了錯誤的 OSS 網域名稱,通過該網域名稱訪問資源時將導致資源無法正常載入,影響正常業務功能。 DNS 中的 CNAME 記錄配置了 OSS 網域名稱,且對應的 OSS Bucket 不為保有中,則視為不合規。 CNAME 記錄中未使用 OSS 網域名稱的 DNS 網域名稱不納入檢測範圍。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ECS 執行個體啟動模板配置的自訂鏡像異常(3.0模型新增) | 執行個體啟動模板是一種用於快速建立執行個體的工具,提升效率及使用體驗。當啟動模板配置的自訂鏡像不存在時,將導致啟動模板執行失敗。ECS 執行個體啟動模板關聯的自訂鏡像不為保有中資源,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ESS Auto Scaling組關聯的負載平衡異常(3.0模型新增) | 伸縮組關聯Server Load Balancer執行個體後,無論是伸縮組自動建立執行個體,還是向伸縮組手動添加執行個體,執行個體都會自動添加到Server Load Balancer執行個體的後端伺服器。如果負載平衡或負載平衡伺服器組不存在,將導致伸縮組擴縮容失敗。Auto Scaling組關聯的傳統型負載平衡或者應用負載平衡不為保有中資源,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | RDS 唯讀執行個體與主執行個體延遲時間過大(3.0模型新增) | RDS 唯讀執行個體採用 MySQL 原生的基於日誌複製技術(非同步複製或半非同步複製),必然會有同步延遲。延遲會導致唯讀執行個體與主執行個體的資料出現不一致,從而導致業務出現問題。另外,延遲也有可能引起日誌堆積,導致唯讀執行個體空間被迅速消耗。7天內 RDS 唯讀執行個體與主執行個體延遲時間最大值超過60秒,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | VPC 執行個體中可用 IP 數量不足(3.0模型新增) | 確保專用網路交換器有足夠的可用 IP 數量,避免因資源不足無法擴充業務。專用網路交換器 IPV4 可用 IP 數量小於或等於指定數值(預設為10個),視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | 存在因欠費或因安全封鎖被關機的 ECS 執行個體 | ECS 執行個體出現被動停機會造成服務中斷、資料丟失、資料不一致,影響系統效能或產生安全隱患。當前帳號下存在因欠費或安全封鎖被關機的 ECS 執行個體,則視為存在風險。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢 API Server CLB 執行個體後端狀態異常(3.0模型新增) | ACK 叢集 API Server CLB 執行個體後端狀態異常會導致控制平面通訊中斷,直接引發叢集管理完全失效,用戶端(如 kubectl)無法訪問 API Server,導致無法執行部署應用、查看狀態等操作;同時,kubelet、控制器等組件因與 API Server 斷連,將觸發節點狀態異常、Pod 調度失敗及自動化恢複機制失效,進而使叢集穩定性崩潰,商務服務因 API 不可達而中斷;此外,監控工具(如 Prometheus)無法採集指標資料,導致異常無法及時警示與排查;更嚴重的是,API Server 長期不可用可能造成叢集狀態與 etcd 儲存資料不一致,引發資料丟失或操作異常,最終需立即檢查 CLB 配置、後端節點健康狀態及網路連通性,確保流量正常分發,避免叢集徹底癱瘓。存在 ACK 叢集 API Server CLB 執行個體後端狀態異常,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢 APIService 不可用(3.0模型新增) | ACK 叢集 APIService 不可用將導致擴充 API 功能失效,自訂資源(如CRD)無法與控制面通訊,引發 Operator、服務網格等依賴擴充 API 的組件管理異常;API 請求(如資源狀態更新、配置下發)因服務中斷失敗,可能造成監控資料丟失、自動化策略失效或叢集管理命令報錯;若核心擴充 API(如Admission Webhook)受影響,將阻斷資源建立流程,加集群操作阻塞風險,需緊急恢複APIService以避免關鍵功能癱瘓與資料不一致。存在 ACK 叢集 APIService 不可用,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢 LoadBalancer Service 付費模式與實際執行個體不一致(3.0模型新增) | ACK 叢集 LoadBalancer Service 付費模式與實際執行個體不匹配將導致計費異常,可能引發意外交付(如預期訂用帳戶卻隨用隨付)或資源意外釋放(如包年到期未續約),造成服務中斷;同時,資源管理混亂會干擾自動擴縮容策略,增加營運成本與風險,需立即校準付費模式配置以避免賬單偏差和業務可用性下降。存在 ACK 叢集 LoadBalancer Service 付費模式與實際執行個體不一致,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢 LoadBalancer Service 認證執行個體ID與實際執行個體不一致(3.0模型新增) | ACK 叢集 LoadBalancer Service 認證執行個體 ID 與實際綁定認證不匹配將導致 TLS 配置失效,引發 HTTPS 服務串連拒絕或安全警告,使用者訪問中斷;認證無效可能暴露未加密流量,增加中間人攻擊風險,同時健全狀態檢查異常會誤判後端服務狀態,加劇流量分配紊亂,需立即同步認證配置以恢複安全通訊與服務可用性。存在 ACK 叢集 LoadBalancer Service 認證執行個體 ID 與實際執行個體不一致,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢存在異常的 CoreDNS Pod(3.0模型新增) | ACK 叢集存在異常 CoreDNS Pod 將導致 DNS 解析服務不穩定,服務間通過網域名稱通訊可能出現逾時或失敗,引發應用調用中斷;異常 Pod 可能觸發控制器持續重啟,增加控制平面負載,同時佔用節點資源卻無法提供有效服務;若 Pod 因配置錯誤或鏡像漏洞異常,可能引發 DNS 劫持或解析汙染,造成服務路由錯誤或資料泄露,需立即排查 Pod 狀態並修複配置以恢複 DNS 服務可靠性。存在 ACK 叢集存在異常的 CoreDNS Pod,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢彈性組件狀態異常(3.0模型新增) | ACK 叢集彈性組件狀態異常將導致自動擴縮容、故障自愈等機制失效,高負載時無法動態擴容引發資源瓶頸,服務響應延遲或中斷;節點/ Pod 故障時無法自動替換,加劇可用性風險;同時,叢集無法根據策略最佳化資源分派,造成成本浪費或營運效率下降,長期可能引發關鍵商務程序阻塞,需緊急修複彈性組件狀態以恢複叢集自適應能力。存在 ACK 叢集彈性組件狀態異常,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢節點池交換器不可用(3.0模型新增) | ACK 叢集節點池交換器不可用將導致節點間網路通訊中斷,Pod 與服務無法跨節點互動,引發服務發現失敗或資料轉送停滯;控制平面與工作節點通訊斷開,節點被標記為不可用,可能觸發錯誤驅逐或叢集規模異常收縮;同時,節點無法訪問外部儲存、 資料庫等資源,導致應用功能癱瘓;網路磁碟分割風險加劇,可能造成叢集腦裂或資料不一致,營運層面則因監控資料中斷而無法及時定位故障,需緊急恢複交換器服務以保障網路連通性。存在 ACK 叢集節點池交換器不可用,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢節點池伸縮組不可用(3.0模型新增) | ACK 叢集節點池伸縮組不可用將導致叢集完全喪失自動擴縮容能力,高負載時無法動態擴容,引發節點資源枯竭、Pod調度失敗或服務響應延遲;低負載時無法縮容,造成資源閑置與成本浪費;節點故障時自動替換機制失效,可能引發節點長期離線,加集群單點故障風險;同時,伸縮組異常會阻礙叢集彈性應對突發流量或維護需求,長期導致服務穩定性下降與營運效率降低,需立即修複伸縮組狀態以恢複叢集彈效能力。存在 ACK 叢集節點池伸縮組不可用,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢節點池伸縮配置不可用(3.0模型新增) | ACK 叢集節點池伸縮配置不可用將導致叢集無法自動調整節點數量,高負載時無法擴容引發資源耗盡,Pod調度失敗或服務中斷;低負載時無法縮容造成資源浪費與成本激增;同時,節點故障時自動替換機制失效,可能引發節點長期不可用,降低叢集高可用性,長期更會導致HPA(Horizontal Pod Autoscaler)等自動化策略失效,叢集狀態失衡且營運成本攀升,需立即修複伸縮配置以恢複彈效能力。存在 ACK 叢集節點池伸縮配置不可用,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ACK 叢集巡檢節點池安全性群組不可用(3.0模型新增) | ACK 叢集節點池安全性群組不可用將導致網路訪問規則失效,叢集組件間通訊(如 kubelet 與 API Server、Pod 間服務發現)可能因連接埠封鎖或規則缺失而中斷;同時,未授權流量可能突破防護,增加節點被入侵或 DDoS 攻擊風險;若出站規則異常,節點無法訪問外部儲存、鏡像倉庫或監控服務,引發依賴服務調用失敗;安全性群組失效還會導致節點被誤隔離,影響 Pod 調度與商務持續性,需立即修複規則配置以恢複網路隔離與通訊安全。存在 ACK 叢集節點池安全性群組不可用,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ALB 4xx 錯誤佔比過大(3.0模型新增) | ALB 執行個體的 4xx 錯誤佔比在某段時間內持續超過指定閾值,通常意味著用戶端請求存在大量異常,如無效請求、參數錯誤、身分識別驗證失敗或訪問頻率過高(如 DDoS 攻擊)。這不僅會影響正常使用者的使用體驗,還可能暴露系統介面設計缺陷或安全風險。ALB 執行個體的 4xx 錯誤佔比在過去某個時間範圍內,有至少8小時大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | CEN 執行個體未配置 VBR 健全狀態檢查(3.0模型新增) | 雲企業網的健全狀態檢查功能探測 VBR 執行個體關聯的物理專線的連通性。在雲企業網和本機資料中心存在冗餘路由的情境下,健全狀態檢查探測到物理專線故障後支援自動切換到可用路由,保障流量傳輸不中斷。雲企業網執行個體關聯的 VBR 未設定健全狀態檢查,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | DNS 網域名稱郵箱解析中 SPF 記錄異常(3.0模型新增) | SPF 是一種基於 DNS 的郵件驗證協議,用於定義哪些郵件伺服器(IP 位址或網域名稱)被授權代表某個網域名稱發送郵件。當郵件伺服器收到一封郵件時,會通過 SPF 記錄驗證寄件者的 IP 位址是否在允許的列表中,從而判斷郵件是否合法。設定合理有效 SPF 度量可以防止郵件偽造,降低垃圾郵件風險並提升郵件送達率。對 DNS 網域名稱內的每個 MX 記錄,檢查是否至少包含一個具有有效 SPF 度量(以 v=spf1 開頭)的 TXT 記錄。不滿足上述條件的 DNS 網域名稱,則視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | ECS 執行個體存在待處理的營運事件 | 未及時響應並處理 ECS 的計劃內營運事件可能導致 ECS 執行個體在業務高峰期出現重啟,進而影響 ECS 執行個體上的業務穩定性。當前帳號下有待處理的 ECS 營運事件(事件狀態為 inquering/scheduled/executing)未處理,則視為存在風險。 | 暫不支援快速修複。 | 否 |
風險巡檢 | OSS Bucket 未設定自訂網域名 | 使用自訂網域名可以提升品牌形象和專業性,並且提升穩定性。自訂網域名可以通過 CNAME 綁定實現 CDN 加速,提升訪問效能;同時支援 HTTPS 安全訪問,增強資料轉送的安全性。當 OSS Bucket 未設定自訂網域名,視為不合規。 | 暫不支援快速修複。 | 否 |
風險巡檢 | RDS PostgreSQL版執行個體資料複製未採用強同步或半同步模式(3.0模型新增) | RDS PostgreSQL 支援非同步、強同步以及半同步三種資料複製模式。其中非同步模式響應速度最快,但僅適用於資料持久性不高的情境,當資料庫崩潰時可能會出現資料丟失的問題,面臨持久性的風險。當 RDS PostgreSQL 執行個體資料複製方式採用非同步模式(synchronous_commit 參數為 off)時,視為不合規。 | 此項修複將修改 RDS PostgreSQL 資料庫的資料複製方式修改為半同步或強同步模式,其中強同步模式提供最大保護層級,適合資料持久性要求極高的情境,但響應速度較慢;半同步模式提供最高可用性的保護層級,兼顧資料持久性和響應速度。如需修改資料複製方式為半同步,則需要執行個體核心版本為20220228及以上版本。修改參數的執行動作將在執行個體設定的可營運時間段內執行。 | 否 |
風險巡檢 | Redis 執行個體串連數使用率過高(3.0模型新增) | Redis 執行個體的串連數使用率在某段時間內持續超過指定閾值,說明當前串連資源接近或達到上限,可能導致新的用戶端無法建立串連、請求被拒絕或響應延遲增加,進而影響業務效能和穩定性。這種情況還可能暗示存在串連泄漏、不合理串連池配置或突發流量壓力等問題。 Redis 執行個體的串連數使用率在過去某個時間範圍內,有至少8小時的平均使用率大於等於50%時,視為不合規。 | 暫不支援快速修複。 | 否 |
資料備份與快照 | AnalyticDB MySQL版執行個體未開啟記錄備份 | AnalyticDB MySQL版叢集未開啟記錄備份,則視為不合規。 | 此修複將會為選中AnalyticDB MySQL版叢集開啟記錄備份,預設儲存周期為7天。 | 否 |
資料備份與快照 | AnalyticDB PostgreSQL版沒有可用的資料備份集(3.0模型新增) | AnalyticDB PostgreSQL版的資料備份檢測旨在確保執行個體有可用備份組,以防止因資料丟失或誤操作導致的業務中斷。通過定期檢查備份策略和備份狀態,可以有效提升資料安全性和恢複能力。運行中的非 Serverless 類型 AnalyticDB PostgreSQL版儲存執行個體過去的指定小時內無可用的資料備份集,預設7天(168小時)則視為不合規。 | 開啟後 AnalyticDB PostgreSQL 執行個體將按照備份配置進行資料備份,產生可用的備份組。AnalyticDB PostgreSQL版通過一個完整的基礎備份以及連續的記錄備份,可以將新執行個體恢複到某一記錄點,保證了該時間的資料安全性。 | 否 |
資料備份與快照 | ECS 執行個體資料備份保護存在風險(3.0模型新增) | 針對不同的情境如日常資料保護,高危操作護航、地區性災害防護、整機恢複等,應當選擇不同的快照和備份方案,否則可能會導致無法恢複資料,備份方案不完整也會導致核心檔案的可恢複性和效率無法達到預期。如果 ECS 執行個體未開啟以下任何一種備份方案,則視為不合規:1. 開啟雲端硬碟快照方案;2. 配置“檔案/自建Database Backup”備份方案。 | 暫不支援快速修複。 | 否 |
資料備份與快照 | ECS 磁碟未設定自動快照策略 | ECS 磁碟未設定自動快照策略,則視為不合規。 | 此修複將會為選中ECS磁碟執行個體啟用指定的快照策略,由於每個地區的快照策略相互獨立,如選中磁碟所在地區存在同名策略將會使用已存在策略,否則將會建立快照策略。 | 否 |
資料備份與快照 | MongoDB 執行個體未開啟記錄備份 | MongoDB 執行個體未開啟記錄備份,則視為不合規。 | 此修複將會為選中MongoDB叢集啟用記錄備份,預設儲存周期為7天。 | 否 |
資料備份與快照 | NAS 檔案系統資料備份策略存在風險(3.0模型新增) | 若未開啟 NAS 資源回收筒及雲備份,則當您的檔案意外刪除或者被篡改時,無法及時恢複。備份庫未開啟跨地區複製時,無法實現多版本異地備份,同時無法在異地恢複資料,嚴重影響業務可持久性。如果NAS檔案系統未開啟以下任何一種備份方案,則視為不合規:1. 開啟 NAS 資源回收筒;2. 開啟 NAS 備份。 | 此項修複將開啟 NAS 資源回收筒功能,為避免誤刪除通用型NAS檔案系統中的檔案導致業務受阻或資料永久丟失,建議您開啟資源回收筒功能。開啟後,被刪除的檔案或目錄將暫存在資源回收筒中,並在規定的保留時間之後徹底刪除。您可以在保留時間期間恢複這些檔案及其UID、GID和ACL等中繼資料資訊。 | 否 |
資料備份與快照 | OSS Bucket 資料備份策略存在風險 | 應針對儲存空間層級的資料進行保護,如未開啟版本控制,則資料覆蓋和刪除操作的歷史版本可能無法被儲存,一旦出現問題,無法將儲存在 Bucket 中的 Object 恢複至具體時刻。同時若未開啟跨地區複製,則相同或不同帳號下的操作不會被同步至另一地區,當災害或故障發生時,會嚴重傷害業務可持久性。OSS 儲存空間應至少開啟以下一種備份方案,否則視為不合規:1. 開啟 OSS 版本控制;2. 開啟 OSS 庫備份。 | 此修複將會為選中OSS執行個體啟用版本控制。開啟版本控制後,針對資料的覆蓋和刪除操作將會以歷史版本的形式儲存下來。您在錯誤覆蓋或者刪除對象(Object)後,能夠將Bucket中儲存的Object恢複至任意時刻的歷史版本。 | 否 |
資料備份與快照 | PolarDB 叢集未開啟二級備份 | PolarDB 叢集未開啟二級備份,且保留周期大於等於30,則視為不合規。 | 此修複將會為選中PolarDB叢集設定資料的二級備份周期和二級備份保留周期(預設為30天),如果當前未啟用二級備份,將會會自動開啟。 | 否 |
資料備份與快照 | RDS 執行個體未開啟記錄備份 | RDS 執行個體未開啟記錄備份,則視為不合規。 | 此修複將會為選中RDS執行個體開啟記錄備份,預設儲存周期為7天。 | 否 |
資料備份與快照 | Table Store Tablestore 執行個體資料備份策略存在風險(3.0模型新增) | 若未開啟 Tablestore 備份及跨地區備份,則無法通過簡單、高效、安全可靠的方式快速恢複重要資料,一旦故障發生,則業務可持久性將受到嚴重影響。如果 Tablestore Table Store未開啟備份方案,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料備份與快照 | ECI 彈性執行個體容器組未掛載資料卷 | ECI 彈性執行個體容器組未掛載資料卷,則視為不合規。 | 暫不支援快速修複。 | 否 |
資料備份與快照 | Elasticsearch 執行個體未開啟自動備份 | Elasticsearch 執行個體未開啟自動備份,則視為不合規。 | 執行當前操作將會開啟選中 Elasticsearch自動備份功能,系統將按照設定的備份周期和時間自動備份資料,如果遇到資料誤刪除、應用邏輯錯誤等情況時,您可以通過自動備份恢複功能,將特定時間點的備份資料恢複到原ES執行個體中,保證資料的安全性。請注意,自動備份只保留最近7天的快照資料,並且自動備份資料只能用於恢複到原叢集。 | 否 |
資料備份與快照 | Redis 執行個體未設定增量備份 | Redis 執行個體(Tair 企業版)未開啟增量備份,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ACK 叢集存在單可用性區域部署風險 | 使用地區級叢集能夠實現跨地區的容災能力。使用地區級 ACK 叢集,節點分布在3個及以上可用性區域,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ALB 執行個體存在單可用性區域部署風險 | 如果只選擇了一個可用性區域,當這個可用性區域出現故障時,會影響 ALB 執行個體,進而影響業務穩定性。ALB 執行個體為多可用性區域執行個體,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ALB 伺服器組掛載的資源都在單一可用性區域 | 為 ALB 負載平衡伺服器組添加多個可用性區域資源,可以確保即使一個可用性區域出現故障,應用程式仍然可以在其他可用性區域繼續運行,提供更好的容錯能力。ALB 負載平衡的伺服器組掛載資源分布在多個可用性區域,視為“合規”。ALB 伺服器組無掛載任何資源或者 IP 或者Function Compute類型的伺服器組不適用本規則。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | API Gateway執行個體存在單可用性區域部署風險 | 建議使用多可用性區域的 API Gateway執行個體,具備多可用性區域容災能力。使用多可用性區域的網關執行個體,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ECS 執行個體在地區內可用性區域分布不均衡(3.0模型新增) | 所有 ECS 執行個體部署在同一個可用性區域下,將面臨著單點故障的風險。當該可用性區域發生故障時(如硬體損壞、網路中斷等),該地區下所有 ECS 執行個體將同時不可用,導致業務中斷。相同地區下的 ECS 執行個體全部部署在同一可用性區域,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | Flink 執行個體未使用跨可用性區域 CU 類型 | 建議 Flink 的 CU 啟用跨可用性區域,具備多可用性區域容災能力。Flink 執行個體未使用多可用性區域的 CU,視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | GWLB 執行個體存在單可用性區域部署風險 | 建議 GWLB 執行個體開啟多可用性區域,具備多可用性區域容災能力。未使用多可用性區域的網關型Server Load Balancer執行個體,視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | GWLB 伺服器組掛載的資源都在單一可用性區域(3.0模型新增) | 多可用性區域的伺服器組掛載資源可以提高系統的容災能力,減少業務中斷風險。 GWLB 執行個體為單可用性區域,或者 GWLB 執行個體下存在監聽使用的伺服器組中未添加多個可用性區域的資源,則視為不合規。伺服器組中無資源或者資源類型為IP時,不適用本規則。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | MSE 相關組件存在單可用性區域部署風險 | 建議 MSE 的相關組件採用多可用性區域部署架構,來提升其穩定性。如果 MSE 相關組件是單可用性區域部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | MSE 網關存在單可用性區域部署風險 | 當前網關所有執行個體副本均部署在同一個可用性區域(AZ)中,這樣的部署形態不具備高可用能力,極端情況下您的業務可能會受損。請儘快升級到新版本,以將網關執行個體打散到多個可用性區域。如果 MSE Ingress 網關組件是單可用性區域架構,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | MongoDB 執行個體存在單可用性區域部署風險 | 未使用多可用性區域的 MongoDB 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | NLB 執行個體存在單可用性區域部署風險 | 對於網路負載平衡執行個體強烈建議配置多可用性區域,滿足多可用性區域容災。使用單可用性區域的網路負載平衡執行個體,視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | NLB 伺服器組掛載的資源都在單一可用性區域 | 建議為網路負載平衡伺服器組添加多個可用性區域的資源,具備多可用性區域容災能力。網路負載平衡的伺服器組中資源分布在多個可用性區域,視為合規。伺服器組中無資源或者資源類型為IP時不適用。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | OSS Bucket 未開啟同城冗餘儲存 | OSS 儲存空間未開啟同城冗餘儲存,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | PolarDB 叢集未開啟儲存熱備叢集 | PolarDB 叢集未開啟儲存熱備叢集,資料分布在單可用性區域,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | Privatelink 終端節點服務存在單可用性區域部署風險 | 為終端節點服務配置多個可用性區域,可以大大減少服務中斷的風險,流量更均勻地分配,避免單一可用性區域過載,同時就近訪問,從而降低網路延遲,提高訪問速度。終端節點服務配置多個可用性區域,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | RDS 執行個體存在單可用性區域部署風險 | 未使用多可用性區域的 RDS 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | Redis 執行個體存在單可用性區域部署風險 | 未使用多可用性區域的 Redis 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | SLB 執行個體以及監聽的伺服器組存在單點部署風險 | SLB 執行個體為單可用性區域,或者 SLB 執行個體下存在監聽使用的伺服器組中未添加多個可用性區域的資源,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | 訊息佇列 Kafka 版執行個體存在單可用性區域部署風險 | 當您使用的是專業版執行個體,且部署時僅選擇了單可用性區域部署,可以通過編輯備可用性區域,升級叢集為多可用性區域架構部署,從而增強叢集的容災能力。使用多可用性區域的訊息佇列 Kafka 版執行個體,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | 轉寄路由器存在單可用性區域部署風險 | 對於存量轉寄路由器,強烈建議配置多可用性區域,以滿足多可用性區域容災能力。若轉寄路由器的 VPC 串連僅設定一個可用性區域的交換器,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | AnalyticDB PostgreSQL版執行個體存在單可用性區域部署風險 | 建議 AnalyticDB PostgreSQL版執行個體開啟跨可用性區域容災,當主可用性區域出現故障時,系統會自動將備可用性區域節點切換為主節點,繼續對外提供服務,保障商務持續性。如果 AnalyticDB PostgreSQL版執行個體未開啟跨可用性區域容災,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ClickHouse 叢集存在單可用性區域部署風險 | 建議使用多可用性區域的 ClickHouse 叢集執行個體,具備多可用性區域容災能力。使用多可用性區域的 ClickHouse 叢集執行個體,視為合規,當前僅支援檢測社區版本是否為多可用性區域架構。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | HBase 執行個體存在單可用性區域部署風險 | 建議採用多可用性區域部署架構,具備更高的容災能力。如果 HBase 執行個體未採用多可用性區域部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | Lindorm 執行個體存在單可用性區域部署風險 | 建議將 Lindorm 執行個體部署在多個可用性區域,多可用性區域執行個體具備更高的容災能力,同時 Lindorm 執行個體可以實現多個可用性區域之間資料的強一致,也可以在資料最終一致下發出請求返回最快的結果,從而提高線上業務的服務品質。如果 Lindorm 執行個體未採用多可用性區域部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | PolarDB-X 2.0 執行個體存在單可用性區域部署風險 | 建議使用多可用性區域的 PolarDB-X2 執行個體,具備多可用性區域容災能力。 PolarDB-X 2.0執行個體為多可用性區域架構,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | Table Store Tablestore 執行個體存在單可用性區域部署風險 | 如果Table Store Tablestore 執行個體未使用多可用性區域部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ACK 叢集巡檢 CoreDNS 只有一個副本(3.0模型新增) | ACK 叢集 CoreDNS 僅保留單副本配置將喪失高可用性,Pod 故障時 DNS 服務完全中斷,引發叢集內服務網域名稱解析失敗,導致應用間通訊阻斷;單點架構無法容忍節點故障或維護操作,升級或重啟期間可能出現服務閃斷,長期運行風險加劇,需立即擴充副本數以確保服務冗餘與穩定性。存在 ACK 叢集 CoreDNS 只有一個副本,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ACR 關聯的 OSS Bucket 未開啟同城冗餘儲存 | 建議採用企業版 ACR 執行個體,並且關聯開啟同城冗餘儲存的 OSS 儲存空間。如果 ACR 關聯的是本地備援儲存體的 OSS 儲存空間,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | ACS 叢集存在單可用性區域部署風險 | 建議使用地區級多可用性區域 ACS 叢集,具備多可用性區域容災能力。使用地區級 ACS 叢集,節點分布在3個及以上可用性區域,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | Elasticsearch 執行個體存在單可用性區域部署風險 | 未使用多可用性區域的 Elasticsearch 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | SLS Project 未使用同城冗餘儲存 | Log Service提供本地備援儲存體和同城冗餘儲存兩種儲存冗餘類型,覆蓋從單可用性區域到多可用性區域的資料冗餘機制,以保證資料的持久性和可用性。使用同城冗餘的記錄項目,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | VPN 閘道存在單可用性區域部署風險 | 對於存量單隧道執行個體強烈建議您在控制台開啟 AZ 高可靠,並同時配置雙隧道與對端建立串連。如果 VPN 使用了單隧道執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | VPN 閘道未使用雙隧道模式 | 雙隧道模式的 IPsec-VPN 串連擁有主備兩條隧道,在主隧道故障後,流量可以通過備隧道進行傳輸,提高了 IPsec-VPN 串連的高可用性。使用雙隧道的 VPN 閘道同時主備隧道都已和對端建立串連,視為合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | 雲Bastionhost存在單可用性區域部署風險 | 建議採用企業雙擎或者國密版Bastionhost,滿足多可用性區域容災能力。使用基礎版Bastionhost,則視為不合規。 | 暫不支援快速修複。 | 否 |
多可用性區域架構 | 雲訊息佇列 RocketMQ 版執行個體未使用叢集高可用版 | 建議採用叢集高可用版,具備多可用性區域容災能力。未使用多可用性區域的訊息佇列 RocketMQ 5.0 版執行個體,視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | ESS Auto Scaling組只關聯了單個交換器 | 通過關聯多個交換器,Auto Scaling組能夠提高應用的整體健壯性、可靠性和效能,從而更好地滿足業務要求。如果一個交換器因網路問題或其他狀況無法訪問,使用者流量仍然可以通過其他交換器訪問應用。Auto Scaling組關聯至少兩個交換器,視為合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | MSE 相關組件存在單點部署風險 | 對於 MSE ZooKeeper 組件,建議擴容到3節點及以上;對於 Nacos-ANS組件,建議擴容到3節點以上。如果 MSE 相關組件是單節點部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | MSE 網關存在單點部署風險 | 單節點執行個體存在架構風險,單點故障會導致服務不可用。建議擴容到2節點及以上。如果 MSE Ingress 組件是單節點部署,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | PolarDB 執行個體存在單點部署風險 | 如果 PolarDB 執行個體未使用叢集版或多主架構叢集版,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | RDS 執行個體未開啟主備自動切換(3.0模型新增) | 當執行個體主節點異常無法使用,或執行個體存在潛在風險並在備節點中進行了緊急修複時, RDS 會自動觸發主備切換,將主節點和備節點進行互換,切換後執行個體串連地址保持不變,應用自動連接到新的主節點(原備節點),從而保障執行個體的高可用性。RDS執行個體未開啟主備自動切換功能,則視為不合規。 | 此項修複將開啟 RDS 執行個體的主備自動切換功能,當執行個體主節點異常無法使用,或執行個體存在潛在風險並在備節點中進行了緊急修複時,RDS會自動觸發主備切換,將主節點和備節點進行互換,切換後執行個體串連地址保持不變,應用自動連接到新的主節點(原備節點),從而保障執行個體的高可用性。 | 否 |
叢集架構 | RDS 叢集的主備節點未配置為相同的執行個體大小(3.0模型新增) | 如果 RDS 叢集的主備節點未配置為相同的執行個體大小,可能會導致在主節點故障時,備節點無法平滑接管,從而引發效能瓶頸或服務中斷。此外,不同執行個體規格可能導致資源不匹配,影響資料同步效率和恢複速度,降低系統的高可用性與容災能力。檢測並確保主備節點執行個體大小一致,有助於提升系統穩定性、增強故障切換能力,並保障商務持續性,為客戶帶來更高的可靠性與營運可控性。RDS 叢集的主備節點配置為不同的執行個體大小,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | RDS 叢集的主備節點未配置為相同的執行個體類型(3.0模型新增) | 如果 RDS 叢集的主備節點未配置為相同的執行個體類型,可能會導致在主節點故障時,備節點無法平滑接管,從而引發效能瓶頸或服務中斷。此外,不同執行個體規格可能導致資源不匹配,影響資料同步效率和恢複速度,降低系統的高可用性與容災能力。檢測並確保主備節點執行個體類型一致,有助於提升系統穩定性、增強故障切換能力,並保障商務持續性,為客戶帶來更高的可靠性與營運可控性。RDS 叢集的主備節點配置為不同的執行個體類型,則視為不合規。 | 暫不支援快速修複。 | 否 |
叢集架構 | 未使用高可靠模式的Express Connect(3.0模型新增) | 利用高可靠模式的Express Connect在同地區內建立兩個存取點,以實現網路冗餘,確保資料轉送的穩定性和可靠性,符合合規要求。同地區的Express Connect申請存取點小於2個,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | RDS 執行個體剩餘空間容量不足(3.0模型新增) | RDS 執行個體剩餘空間容量不足可能導致資料庫寫入失敗、效能下降,甚至引發服務中斷或資料丟失風險。需要及時擴容或清理資料,避免業務異常,保障資料庫穩定運行,提升系統的可靠性和營運的前瞻性。 RDS 執行個體7天裡的任意1小時記憶體在剩餘空間容量不足10%的情況,則視為不合規。 | 此項修複將開啟 RDS 執行個體的儲存空間自動擴容功能,開啟後在儲存空間達到閾值時自動進行擴容。在擴容期間無需重啟執行個體,對業務無影響。 | 否 |
限額&容量 | 調用 ACK API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 ALB API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 CDN API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 ECS API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 NAS API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 PolarDB API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 RDS API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 Redis API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 RocketMQ API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 SLB API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用 VPC API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 調用雲企業網 CEN API 被流控 | 調用 API 被流控,導致調用失敗,可能會影響業務穩定。近7天內 API 呼叫存在流控異常問題,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | ACK 叢集總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 ACK 叢集數量相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | ALB 執行個體總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 ALB 執行個體總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | CDN URL 重新整理次數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 CDN URL 重新整理次數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | CDN 支援加速網域名稱數量的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 CDN 支援加速網域名稱數量相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | CDN 目錄重新整理次數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 CDN 目錄重新整理次數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | CDN 預熱條數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 CDN 預熱條數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | EBS 雲端硬碟總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 EBS 雲端硬碟總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | ECS 訂用帳戶執行個體 vCPU 的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 ECS 訂用帳戶執行個體 vCPU 相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | ECS 搶佔式執行個體 vCPU 的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 ECS 搶佔式執行個體 vCPU 相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | ECS 隨用隨付執行個體 vCPU 的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 ECS 隨用隨付執行個體 vCPU 額度相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | EIP 總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 EIP 總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | ESS 伸縮組總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 ESS 伸縮組總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | MSE 相關組件存在容量風險 | 確保資源容量在一個合理的範圍內,如果超過了容量上限可能會導致穩定性風險。如果 MSE 有相關指標對應的容量超限,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | NAT Gateway中可保有的 SNAT 條目數量的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 NAT Gateway中可保有的 SNAT 條目數量相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | NAT Gateway可綁定的 EIP 數量的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 NAT Gateway可綁定的 EIP 數量相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | NLB 執行個體總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 NLB 執行個體總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | RDS 按量執行個體的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 RDS 按量執行個體相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | ROS 資源棧總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 ROS 資源棧總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | SLB 執行個體保有的監聽數量的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 SLB 執行個體保有的監聽數量相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | SLB 執行個體後端可掛載的伺服器數量的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 SLB 執行個體後端可掛載的伺服器數量相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | SLB 執行個體總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當 SLB 執行個體總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 安全性群組總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當安全性群組總數相關的配額項達到其上限的 80% ,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 彈性網卡總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當彈性網卡總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
限額&容量 | 部署集總數的配額用量接近上限(3.0模型新增) | 資源額度不足可能會導致產品資源的建立、變更或擴充操作受到限制。當部署集總數相關的配額項達到其上限的80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控管理 | 雲產品的資源未設定監控警示規則 | 實現資源監控全覆蓋是保證業務持久性的基礎與關鍵,為雲產品資源設定警示規則是實現雲產品資源監控的必要手段。如果存在雲產品資源未被任何警示規則覆蓋的情況,則視為不合規。 | 此修複為未配置CloudMonitor的雲資源類型,自動啟用基於最佳實務的警示規則。預設通知到“雲帳號警示連絡人”類型的訊息接收人,請確認設定正確。啟用完成後可以在CloudMonitor的一鍵警示功能中查看啟用狀態或更新警示參數。 | 否 |
監控管理 | 在 ARMS 中未配置高優警示規則 | 配置有效警示規則可在業務系統在不符合運行預期時及時收到通知,以便及時做出應急響應。如果在阿里雲 ARMS 服務中沒有配置應用監控或者 Prometheus 監控對應的 P1 等級警示規則,或沒有配置對應的通知策略,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控管理 | 未及時處理 ARMS 中的高優警示 | MTTx (Mean time to xx,平均XX時間,如 MTTR :警示平均恢複耗時)指標可作為警示處理效率的重要衡量指標,高優警示的及時響應可有效提高警示甚至是故障的恢複效率,從而提升業務系統的服務品質。如果沒有配置應用監控或者 Prometheus 監控對應的 P1 等級警示規則,或存在30分鐘內未解決(待認領、處理中、超過30分鐘解決)的阿里雲 ARMS 服務中的警示,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控管理 | 未及時處理持續警示的警示規則 | 警示規則長期持續處於警示狀態是需要關注和治理的問題。通常情況下,需要儘快排除問題讓監控指標恢複正常水位,或者需要結合實際情況調整警示規則,避免因大量警示資訊或著警示疲勞幹擾影響正常的監控營運工作。對所有在CloudMonitor設定的警示規則,如果存在持續處於警示狀態超過24小時的警示規則即視為不合規。 | 暫不支援快速修複。 | 否 |
監控管理 | ACK 叢集未配置 Prometheus 監控 | ACK 叢集接入監控,可以協助開發營運人員查看系統的運行狀態,包括基礎設施層、容器效能層等。對所有 ACK 叢集,如果未配置“開啟阿里雲 Prometheus 監控”,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控管理 | ACK 叢集未配置應用監控 | 針對分布式、微服務化應用,可通過接入 ARMS 應用即時監控服務進行全鏈路追蹤及代碼級即時效能監測,協助營運人員隨時掌握應用健康情況。對於部署在 ACK 或者 ECS 中的應用,如果未接入 ARMS 應用即時監控服務,則視為不合規。 | 暫不支援快速修複。 | 否 |
監控管理 | 建議對 ARMS 跨阿里雲帳號的資源統一監控 | 通過建立全域彙總執行個體,實現跨帳號統一監控。當前未檢測到該帳號使用 ARMS 並建立 GlobalView 執行個體,則視為不合規。 | 暫不支援快速修複。 | 否 |
成本
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
成本監控 | 帳號未開啟可用額度預警(3.0模型新增) | 如果帳號在費用與成本中心未開啟“可用額度預警”,可能導致賬戶餘額耗盡時無法及時收到通知,從而引發服務因欠費被暫停、資料丟失或業務中斷等風險。此外,缺乏預警機制還可能造成成本失控,影響企業預算管理與財務合規性。帳號在費用與成本中心未開啟“可用額度預警”,視為不合規。 | 此項修複將會開啟可用額度預警功能,當您的賬戶資金可用額度低於預警閾值時,會通過簡訊、郵件和站內信方式通知到帳號連絡人(最多連續提醒5天) | 否 |
付費方式最佳化 | ECS 執行個體推薦使用訂用帳戶付費方案或將隨用隨付的資源加入節省計劃 | 長期穩定使用的資源建議採用訂用帳戶付費的方案,正常情況下 ECS 執行個體訂用帳戶的費用會低於隨用隨付的費用。節省計劃是一種折扣權益計劃,通過承諾在一定期限內使用穩定數量的資源,來換取較低的隨用隨付折扣。ECS執行個體存在隨用隨付的計費方案且未購買節省計劃執行個體,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
付費方式最佳化 | RDS 執行個體推薦使用訂用帳戶付費方案 | 長期穩定使用的資源建議採用訂用帳戶付費的方案。正常情況下 RDS 執行個體訂用帳戶計費的費用會低於隨用隨付的費用。RDS 執行個體存在隨用隨付的計費方案,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在異常狀態的 ESA 網站 | 該檢測項確保網站已啟用,以保證 ESA 可以為網站提供加速和保護。如果未啟用,則視為不符合應用資源最佳化的最佳實務。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | ECS 執行個體資源使用率偏低 | 維護 ECS 執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的 ECS 執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現 ECS 執行個體的成本管控。如果 ECS 執行個體存在 CPU 使用率與記憶體使用量率連續30天均低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | ECS 磁碟資源使用率偏低 | 維護 ECS 執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的 ECS 執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現 ECS 執行個體的成本管控。如果 ECS 磁碟存在使用率連續30天低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | RDS 執行個體資源使用率偏低 | 維護 RDS 執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的 RDS 執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現 RDS 執行個體的成本管控。如果 RDS 執行個體存在 CPU 使用率、記憶體使用量率以及磁碟使用率連續30天低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | RDS 磁碟資源使用率偏低 | 維護 RDS 執行個體資源使用率長期保持在合理水位是雲上成本管理重要工作。雲平台為企業提供了各種規格的 RDS 執行個體,企業需要根據實際業務的周期情況選擇合適規格的執行個體,實現 RDS 執行個體的成本管控。如果 RDS 磁碟存在使用率連續30天低於3%的情況,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 ALB 執行個體 | ALB 負載平衡存在監聽未添加後端伺服器,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 ECS 執行個體 | ECS執行個體狀態為已停止狀態,且未設定停機節省模式,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 ECS 磁碟 | 雲端硬碟狀態不為使用中,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 EIP 執行個體 | EIP 未綁定資源執行個體,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 NAS 檔案系統執行個體 | NAS 檔案系統未添加掛載點,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 NAT Gateway | NAT Gateway未綁定 EIP 或綁定的 EIP 未設定 SNAT / DNAT 條目,且網關建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 SLB 執行個體 | SLB 負載平衡不存在運行中的監聽,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 VPC NAT Gateway執行個體 | VPC NAT Gateway未綁定 EIP,或綁定的 EIP 未設定 SNAT / DNAT 條目,且網關建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的 VPN 閘道 | VPN 閘道未配置目的路由策略或未開啟路由自動傳播,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的共用頻寬執行個體 | 共用頻寬未綁定資源執行個體,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
應用資源最佳化 | 存在閑置的容器鏡像執行個體 | 容器鏡像執行個體未建立命名空間或建立鏡像倉庫,且建立時間超過7天,則視為不合規。 | 暫不支援快速修複。 | 否 |
成本策略 | ACK 叢集未啟用成本套件 | 傳統方式面對雲原生情境缺少有效成本洞察和成本控制的手段,成本套件提供了資源浪費檢查、資源費用預測等功能。若 ACK 叢集未啟用成本套件功能,則視為不符合最佳實務。 | 暫不支援快速修複。 | 否 |
效率
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
資源管理 | 關聯資源被劃分到了不同的資源群組 | 有關聯的資源如果沒有放到統一資源群組會導致基於資源群組的許可權、財務、營運等管理無法覆蓋所有的目標資源。如果存在有關聯的資源,但是不在同一個自訂資源群組內,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源管理 | 未使用自訂標籤對資源進行打標 | 通過自訂標籤,使用者能更靈活地識別、排序和組織各類資源。若打上自訂標籤的資源佔總資源的比例小於75%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源管理 | 未使用自訂資源群組對資源進行分組 | 通過自訂資源群組,可以更靈活地控制資源的訪問和使用。若歸屬於自訂資源群組的資源佔總資源的比例小於75%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源管理 | 未使用預置標籤 | 預置標籤是指預先建立並作用於所有地區的一種標籤,使用預置標籤可以在資源實施階段方便地綁定和管理雲資源。若預置標籤占自訂標籤的比例小於80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源管理 | 未開啟建立者標籤 | 當企業在雲上的資源規模不斷擴大時,需要多人對雲上資源進行管理。在成本、安全等情境下,需要有效識別資源的建立者,便於進行成本劃分或者安全溯源,提高管理效率。若未開啟建立者標籤,則視為不合規。 | 建立者標籤是阿里雲自動產生並綁定到對應資源的一種系統標籤,用來標識資源的建立者。建立者標籤可以協助您分析費用和賬單,有效管理企業雲上成本。此項修複將為當前帳號開啟建立者標籤。 | 否 |
資源管理 | 建議開啟多帳號資源搜尋功能 | 使用資來源目錄管理多個阿里雲帳號,管理帳號或委派管理帳號可以查看和檢索資來源目錄內所有成員的雲上資源。如果未開啟跨帳號資源搜尋,則視為不合規。 | 暫不支援快速修複。 | 否 |
帳號體系 | 帳號未被資來源目錄納管 | 相比於多帳號分散管理,統一管理多帳號能夠給企業帶來許可權、安全、成本方面的價值。當前帳號不從屬於任何資來源目錄,則視為不合規。 | 暫不支援快速修複。 | 否 |
帳號體系 | 建議使用多帳號訊息連絡人的集中管理 | 通過資來源目錄訊息連絡人管理功能,實現跨帳號訊息連絡人的集中管理。當前未檢測到資來源目錄訊息連絡人或訊息連絡人未綁定到資來源目錄、資源夾或成員上,則視為不合規。 | 暫不支援快速修複。 | 否 |
帳號體系 | 建議對帳號所在資來源目錄設定委派管理員帳號 | 用委派管理員帳號可以將組織管理工作與業務管理工作相分離,管理帳號執行資源目錄的組織管理工作,委派管理員帳號執行可信服務的業務管理工作。如果資來源目錄管理帳號 ( MA ) 啟用的可信服務內未設定委派管理員帳號,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 ACK API | 被棄用的 ACK API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 ACK API行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 ALB API | 被棄用的 ALB API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 ALB API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 CDN API | 被棄用的 CDN API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 CDN API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 CEN API | 被棄用的 CEN API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 CEN API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 ECS API | 被棄用的 ECS API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 ECS API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 NAS API | 被棄用的 NAS API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 NAS API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 PolarDB API | 被棄用的 PolarDB API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 PolarDB API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 RDS API | 被棄用的 RDS API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 RDS API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 Redis API | 被棄用的 Redis API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 Redis API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 RocketMQ API | 被棄用的 RocketMQ API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 RocketMQ API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 SLB API | 被棄用的 SLB API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 SLB API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 存在使用者調用已棄用的 VPC API | 被棄用的 VPC API 不再維護,存在穩定性風險,且無法使用新特性。近30天記憶體在調用棄用 VPC API 行為,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 建議採用自動化方式實現對資源持續管理 | 近30天內使用非控制台調用 OpenAPI 持續管理資源的次數比率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 建議採用自動化方式實現日常資源供給 | 近1年內使用非控制台調用 OpenAPI 建立資源的次數比率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 建議採用自動化方式管控資源 | 近30天內使用 SDK 、 Terraform 、雲控制 API 、 CADT 、 ROS 、服務類別目錄等自動化手段調用 OpenAPI 的比率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 資源建立介面的調用成功率未達到 100% | 近30天使用自動化手段(OpenAPI 、 雲控制API 、 SDK 、 Terraform 等)建立基礎設施資源的成功率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
資源供給與編排 | 資源變更介面的調用成功率未達到 100% | 近30天使用自動化手段(OpenAPI 、雲控制 API 、 SDK 、 Terraform 等)變更基礎設施資源的成功率未達到100%,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能
分類 | 檢測項 | 檢測項說明 | 快速修複說明 | 是否支援輔助決策 |
效能監控 | ALB 關聯的 EIP 存在效能負載過高風險(3.0模型新增) | 當 ALB 執行個體關聯的 EIP 的流出頻寬使用率長時間過高時,會導致系統效能下降、穩定性降低甚至引發服務中斷等問題,建議及時關注並處理。ALB 執行個體關聯的任意一個 EIP 的流出頻寬使用率在過去24小時內,有至少8個小時的最大值大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | ALB 關聯的共用頻寬存在效能負載過高風險(3.0模型新增) | 當 ALB 執行個體關聯的共用頻寬的流出頻寬使用率長時間過高時,會導致系統效能下降、穩定性降低甚至引發服務中斷等問題,建議及時關注並處理。ALB 執行個體關聯的共用頻寬的流出頻寬使用率在過去24小時內,有至少8個小時的最大值大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | EBS 雲端硬碟存在因輸送量過高導致的效能風險 | 協助客戶預防效能瓶頸,評估儲存資源的分配是否合理,以及是否需要擴容,確保商務持續性。如果存在過去24小時內 EBS 雲端硬碟的 IOPS 或 BPS 使用率,超過該雲端硬碟類型對應 IOPS 或 BPS 的90%,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | EBS 雲端硬碟存在因空間使用率過高導致的效能風險 | 過高的磁碟空間使用率可能導致資料丟失的風險增加,協助客戶及早發現潛在的效能瓶頸,採取措施避免效能下降。如果存在 EBS 雲端硬碟的空間使用率超過80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | ECS 執行個體存在因CPU使用率過高導致的效能風險 | 保證核心雲產品 ECS 的CPU使用率處於健康水位,是保障業務效能穩定和持續啟動並執行基礎。高負載不僅會導致應用響應變慢,還可能觸發自動保護機制,如系統自動重啟或服務降級。如果存在ECS執行個體的CPU使用率過高,即在過去24小時內CPU使用率大於85%的時間累計超過8小時,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | ECS 執行個體存在因記憶體使用量率過高導致的效能風險 | 保證核心雲產品 ECS 的記憶體使用量率處於健康水位,避免因記憶體不足導致的效能下降或服務中斷風險。如果存在 ECS 執行個體的記憶體使用量率過高,即在過去24小時內,ECS 的記憶體使用量率大於85%的時間累計超過9小時,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | RDS 執行個體存在效能負載過高風險(3.0模型新增) | 當 RDS 執行個體 CPU 、記憶體以及串連數中任意一項長時間過高時,會導致系統效能下降、穩定性降低甚至引發服務中斷等問題,建議及時關注並處理。RDS 執行個體的 CPU ,記憶體,串連數使用率,IOPS 中的任意一項指標在最近7天內,有至少8個小時的平均使用率大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | Redis 執行個體存在效能負載過高風險(3.0模型新增) | 當 Redis 執行個體的 CPU 使用率或記憶體使用量率在任意一段時間內持續偏高時,可能會導致系統效能下降、穩定性降低,甚至引發服務中斷等問題,建議及時關注並處理。若 Redis 執行個體的 CPU 使用率或記憶體使用量率中的任意一項,在最近7天內有累計超過8小時的平均使用率大於等於80%,則視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | SLB 執行個體存在效能負載過高風險(3.0模型新增) | 當 SLB 執行個體最大串連數、建立串連數以及網路流出頻寬中任意一項使用率長時間過高時,會導致系統效能下降、穩定性降低甚至引發服務中斷等問題,建議及時關注並處理。SLB 執行個體的執行個體最大串連數使用率,建立串連數,網路流出頻寬使用率中的任意一項指標在過去7天內,有至少8個小時的平均使用率大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
效能監控 | VPN 閘道存在效能負載過高風險(3.0模型新增) | 當 VPN 閘道的流入或流出頻寬使用率長時間過高時,會導致系統效能下降、穩定性降低甚至引發服務中斷等問題,建議及時關注並處理。VPN網關的流入頻寬使用率、流出頻寬使用率在過去24小時內,有至少8個小時的最大值大於等於80%時,視為不合規。 | 暫不支援快速修複。 | 否 |
利用彈性資源 | ECS 伸縮組存在效能無法自動擴充風險 | 核心雲產品如 ECS 資源能夠根據效能負載自動增加或減少資源,保障業務在運行過程中的動態平衡。 | 暫不支援快速修複。 | 否 |
利用彈性資源 | RDS 未開啟自動擴縮容功能(3.0模型新增) | 如果 RDS 執行個體未開啟自動擴縮容功能,可能導致在業務高峰期無法及時擴充資源應對負載增長,或在低峰期無法釋放閑置資源,從而引發效能瓶頸、響應延遲甚至服務中斷,同時造成資源浪費和不必要的成本支出。開啟自動擴縮容功能,有助於客戶實現資源的彈性調度與高效利用,在保障資料庫穩定性和高可用性的同時,最佳化成本結構,提升雲資源管理的智能化水平。RDS 執行個體未開啟自動擴縮容,則視為不合規。 | 此項修複將開啟 RDS 執行個體的儲存空間自動擴容功能,開啟後在儲存空間達到閾值時自動進行擴容。在擴容期間無需重啟執行個體,對業務無影響。 | 否 |
網路設計 | 存在 ESA 網站未配置緩衝規則 | 該檢測項確保網站已配置緩衝規則,以減少回源的流量。如果未配置,則視為不符合網路最佳化的最佳實務。 | 暫不支援快速修複。 | 否 |
網路設計 | 存在全球地區的 ESA 網站未開啟智能路由 | 該檢測項確保網站已開啟智能路由,以提升 ESA 在全球地區的加速效果。如果未開啟,則視為不符合網路最佳化的最佳實務。 | 此項修複將啟用選中網站的智能路由服務,啟用該服務後將基於阿里雲全球邊緣節點進行即時網路探測,根據即時網路情況智能選擇最佳路由做請求資料轉送,並結合高效能協議棧等最佳化技術大幅降低全球網路延遲和請求失敗率,有效提升使用者體驗。智能路由按請求次數計費,具體收費標準請參考計費說明。 | 否 |
網路設計 | 未使用 CDN 加速 OSS 資源訪問(3.0模型新增) | 使用 CDN 分發 OSS 中的圖片、視頻、文檔等靜態資源,可以降低流量費用,提升資源載入速度。CDN 通過在全球多個地區部署緩衝節點,當使用者請求訪問 OSS 中的靜態資源時,CDN 會將使用者的請求路由至距離使用者最近的緩衝節點,無需遠距離請求直接存取 OSS 資源。與此同時,最近的 CDN 節點會將緩衝的資源返回給使用者,無需回源 OSS,這一過程會產生 CDN 下行流量費用。相較於 OSS 外網流出流量,CDN 下行流量單價更低。若當前 OSS Bucket 24小時內公網流入流量超過100B,但未使用 CDN 進行 OSS 資料轉送最佳化,視為不合規。 | 暫不支援快速修複。 | 否 |
移除的檢測項
以下2.0模型的部分檢測項能力已合并到新版3.0模型,新版3.0模型已覆蓋檢測相關風險,因此在新版3.0模型中將如下檢測項移除。
支柱 | 分類 | 檢測項 | 檢測項說明 |
安全 | 避免特權濫用 | 存在過多 RAM 身份被授予 OSS、SLS 高危許可權 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。擁有 oss:Delete* 或 log:Delete* 相關許可權的 RAM 身份,可以刪除儲存在 OSS 或 SLS 中的資料,管理不善可能會造成資料丟失。擁有 oss:PutBucketAcl、oss:PutObjectAcl、oss:PutBucketPolicy 等許可權的 RAM 身份,可以修改 OSS Bucket 內檔案的存取權限,導致 OSS 檔案被外部存取,可能會造成未經授權的資料訪問。在當前阿里雲帳號下,擁有 oss:Delete*、oss:PutAcl、oss:PutPolicy、log:Delete*、log:Update* 許可權的 RAM 身份數小於等於3個,則認為滿足要求。 |
安全 | 避免特權濫用 | 過多的RAM身份被授予了資來源目錄高危許可權 | 使用資來源目錄,您可以實現組織內帳號的統一管理,也可以基於當前組織建立新的帳號,或將已有帳號從當前組織中移除。按照最佳實務建議,僅組織內的管理員或者雲管理團隊負責人擁有資來源目錄的寫操作類許可權,如開啟/禁用資來源目錄、建立/邀請/刪除帳號、切換帳號類型等系統管理權限。通常情況下,企業內有該職能的人員應不超過3個。不建議為普通使用者賦予資來源目錄相應的寫入權限,否則,可能會因誤操作如刪除了雲帳號等導致業務受損。 |
安全 | 使用細粒度授權 | 存在對訪問操作範圍進行收斂的 RAM 身份 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。在當前阿里雲帳號下,RAM 身份綁定了某個雲端服務的部分操作許可權,則認為滿足要求。 |
安全 | 使用細粒度授權 | 不存在對 OSS、SLS 訪問進行收斂的 RAM 身份 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。尤其對於資料類產品的訪問,例如:OSS、SLS 等,建議精細化授權,降低身份泄露導致的資料泄露風險。在當前阿里雲帳號下,如果 RAM 身份綁定了資料類產品相關的操作許可權,必須進行精細化授權,請勿通過萬用字元*進行大量授權,則認為滿足要求。 |
安全 | 授權效率與受控 | 為RAM身份授予的自訂策略生效範圍未指定資源群組 | 預設情況下,給RAM身份授予自訂策略時的生效範圍為帳號層級。這種情況下,如果在自訂策略中未明確限制指定資源,也未明確指定許可權生效條件,那麼該RAM身份會有該帳號下所有資源的指定許可權。按照雲上資源管理最佳實務,應將資源按照資源群組進行分組,在分組的基礎上為RAM身份授權。在授權過程中,通過限制生效範圍為資源群組,可以更好地限制RAM身份所擁有的許可權範圍,實現精細化授權。為RAM身份授予的自訂策略,如果生效範圍為資源群組,或在策略條件中指定了資源群組,則認為符合最佳實務。 |
安全 | 授權效率與受控 | 不存在有服務級系統策略的 RAM 身份授權被收斂到資源群組 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。通過將雲上資源按照應用、環境等維度,使用資源群組進行資源劃分,授權時可以按照資源群組進行授權,進一步縮小許可權範圍,避免許可權過大帶來的風險。在當前阿里雲帳號下,擁有服務級系統策略(例如:AliyunECSFullAccess 等)的 RAM 身份,授權範圍為資源群組,則認為滿足要求。 |
安全 | 授權效率與受控 | 不存在有 Admin 許可權的 RAM 身份授權被收斂到資源群組 | 針對 RAM 身份的許可權管理,建議遵循最小化原則,僅授予必要的許可權。通過將雲上資源按照應用、環境等維度,使用資源群組進行資源劃分,授權時可以按照資源群組進行授權,進一步縮小許可權範圍,避免許可權過大帶來的風險。在當前帳號下,擁有 AdministratorAccess 許可權的 RAM 身份,授權範圍為資源群組,則認為滿足要求。 |
安全 | 不合規警示響應 | 未對風險操作事件設定警示規則 | 未啟用任何一條Action Trail事件警示裡支援的帳號安全相關的規則或 Actiontrail 操作合規相關的規則,則視為不合規。 |
安全 | 開啟自動修正 | 未採用自動化方式修正不合規問題 | 使用者未啟用任一規則的自動修正,則視為不合規。 |
安全 | 資料存放區執行個體應避免開放公網訪問 | PolarDB執行個體IP白名單設定了0.0.0.0/0 | IP白名單指允許訪問PolarDB叢集的IP清單。若將IP白名單設定為%或者0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓PolarDB叢集得到進階別的訪問安全保護。叢集IP白名單設定了0.0.0.0/0或%,則認為不符合最佳實務。 |
安全 | 資料存放區執行個體應避免開放公網訪問 | RDS執行個體IP白名單設定了0.0.0.0/0 | IP白名單指允許訪問RDS執行個體的IP清單。若將IP白名單設定為0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓資料庫執行個體得到進階別的訪問安全保護。執行個體IP白名單設定了0.0.0.0/0,則認為不符合最佳實務。 |
安全 | 資料存放區執行個體應避免開放公網訪問 | Redis執行個體IP白名單設定了0.0.0.0/0 | IP白名單指允許訪問Redis執行個體的IP清單。若將IP白名單設定為0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓資料庫執行個體得到進階別的訪問安全保護。執行個體IP白名單設定了0.0.0.0/0,則認為不符合最佳實務。 |
安全 | 資料存放區執行個體應避免開放公網訪問 | MongoDB執行個體IP白名單設定了0.0.0.0/0 | IP白名單指允許訪問MongoDB執行個體的IP清單。若將IP白名單設定為0.0.0.0/0,表示允許任何IP地址訪問資料庫叢集,該設定將極大降低資料庫的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓資料庫執行個體得到進階別的訪問安全保護。執行個體IP白名單設定了0.0.0.0/0,則認為不符合最佳實務。 |
安全 | 資料存放區執行個體應避免開放公網訪問 | Elasticsearch執行個體IP白名單設定了0.0.0.0/0 | 執行個體IP白名單指允許訪問Elasticsearch執行個體的IP清單。若將IP白名單設定為0.0.0.0/0或::/0,表示允許任何IP地址訪問該執行個體,該設定將極大降低執行個體的安全性,如非必要請勿使用。最佳實務建議遵循最小化原則,設定合適的IP白名單,讓執行個體得到進階別的訪問安全保護。執行個體IP白名單設定了0.0.0.0/0或::/0,則認為不符合最佳實務。 |
穩定 | 刪除保護 | Redis 資源存在未開啟釋放保護 | Redis 執行個體未開啟釋放保護,則視為不合規。 |
穩定 | 刪除保護 | ECS 資源存在未開啟釋放保護 | ECS 執行個體未開啟釋放保護,則視為不合規。 |
穩定 | 變更管理 | Redis 資源可維護時間段存在不合理視窗 | Redis 執行個體自動備份的時間段不在04:00-05:00,05:00-06:00,12:00-13:00範圍內,則視為不合規。 |
穩定 | 變更管理 | PolarDB 資源可維護時間段存在不合理視窗 | PolarDB 叢集的可維護時間段不在02:00-04:00,06:00-10:00範圍內,則視為不合規。 |
穩定 | 變更管理 | ADB 資源可維護時間段存在不合理視窗 | ADB 叢集的可維護時間段不在02:00-04:00,06:00-08:00,12:00-13:00範圍內,則視為不合規。 |
穩定 | 變更管理 | RDS 資源可維護時間段存在不合理視窗 | RDS 執行個體的可維護時間段不在02:00-06:00,06:00-10:00範圍內,則視為不合規。 |
穩定 | 變更管理 | ECS 資源可維護時間段存在不合理視窗 | ECS 執行個體建立快照會暫時降低Block StorageI/O效能,自動快照策略中設定的快照建立時間點不在1,2範圍內,則視為不合規。 |
成本 | 資源成本最佳化 | 未啟用 “資源空閑檢測最佳實務” 合規包 | 未在配置審計中開啟資源空閑檢測合規包,則視為不合規。 |
效率 | 資源分組及隔離 | 同一組織未使用多帳號來管理資源 | 阿里雲帳號有多層含義,每個雲帳號都是完全隔離的租戶,預設在資源訪問、網路部署和身份許可權都是完全獨立和隔離的;雲帳號還關聯賬單,可以將不同業務部署在不同的雲帳號,實現成本的獨立核算和出賬。採用多帳號管理從環境隔離、安全合規、業務創新等方面都能夠給企業帶來收益。同一個實體下存在兩個及以上阿里雲帳號,則滿足條件。 |
效率 | 自動化品質 | ECS額度存在飽和風險 | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 |
效率 | 自動化品質 | VPC額度存在飽和風險 | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 |
效率 | 自動化品質 | SLB額度存在飽和風險 | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 |
效率 | 自動化品質 | CEN額度存在飽和風險 | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 |
效率 | 自動化品質 | ACK額度存在飽和風險 | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 |
效率 | 自動化品質 | CDN額度存在飽和風險 | 產品資源建立、變更或產品功能使用可能會遇到異常。近7天內產品存在配額水位偏高的資源配額項,且遇到過quota_exceed報錯,則視為存在風險。 |