檢測基於GPU訓練AI模型情境下的架構設計,包括核心資源ECS、NAS、OSS等與訓練需求的匹配,確保符合任務要求。本文為您介紹ComplianceCheckOnTrainingArchitectureOfGPUAIModel中的預設規則。
規則名稱 | 規則描述 |
ACK叢集未設定公網串連端點,視為“合規”。 | |
ACK叢集已升級到最新版本,視為“合規”。 | |
使用的ACK叢集版本未停止維護,視為“合規”。 | |
ACK叢集配置Secret的落盤加密,視為“合規”。非專業託管版叢集視為“不適用”。 | |
運行中的ECS執行個體安裝CloudMonitor外掛程式而且外掛程式狀態為運行中,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
通過在主機上安裝Security Center外掛程式,為主機提供安全防護服務,視為“合規”。非運行中狀態的執行個體不適用本規則,視為“不適用”。 | |
ECS執行個體開啟釋放保護,視為“合規”。 | |
ECS執行個體使用鏡像的建立時間距今天數小於參數指定的天數,視為“合規”,參數預設值180天。 | |
ECS執行個體狀態不是已停止狀態,視為“合規”。已到期或者已設定為停機節省模式的執行個體視為“不適用”。 | |
ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 | |
ECS執行個體被授予了執行個體RAM角色,視為“合規”。 | |
ECS執行個體未綁定SSH金鑰組,視為“合規”。適用於部分企業對訪問執行個體的特殊管控情境。 | |
安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,降低伺服器登入密碼被暴力破解風險,視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。預設檢測風險連接埠為22、3389。 | |
NAS檔案儲存體存取點啟用RAM策略,視為“合規”。 | |
為NAS檔案系統建立備份計劃,視為“合規”。 | |
檔案儲存體存取點根目錄未設定為預設的目錄,視為“合規”。 | |
NAS檔案系統設定了加密,視為“合規”。 | |
OSS儲存空間的ACL不開啟公用讀寫,視為“合規”。OSS儲存空間開啟公用讀寫許可權後,任何訪問者均可寫入,將面臨惡意注入的資料風險,建議關閉。 | |
OSS儲存空間的ACL不開啟公用讀取,視為“合規”。OSS儲存空間的公用讀取許可權會增加儲存資料在公網泄露的風險,建議關閉。 | |
OSS儲存空間的ACL不開啟公用讀寫,視為“合規”。OSS儲存空間開啟公用讀寫許可權後,任何訪問者均可寫入,將面臨惡意注入的資料風險,建議關閉。 | |
如果沒有開啟同城冗餘儲存,會導致當出現某個機房不可用時,OSS服務無法提供可用性、持久性服務,影響資料恢複目標。OSS儲存空間開啟同城冗餘儲存,視為“合規”。 | |
OSS儲存空間開啟服務端OSS完全託管加密,或者開啟KMS加密,視為“合規”。 | |
OSS儲存空間的日誌管理中開啟日誌轉存,視為“合規”。 | |
OSS儲存空間開啟服務端KMS加密,視為“合規”。 | |
如果沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。如果開啟版本控制則視為“合規”。如果已經開啟“保留原則”,視為“不適用”。 | |
OSS儲存空間權限原則中包含了讀寫操作的訪問方式設定為HTTPS,或者拒絕訪問的訪問方式設定為HTTP,視為“合規”。權限原則為空白的OSS儲存空間視為“不適用”。 | |
VPC自訂網段在關聯路由表中存在至少一條網段內IP的路由資訊,視為“合規”。 | |
VPC已開啟流日誌(Flowlog)記錄功能,視為“合規”。 | |
專用網路交換器可用IP數量大於指定數值,視為“合規”。 |