检测基于GPU训练AI模型场景下的架构设计,包括核心资源ECS、NAS、OSS等与训练需求的匹配,确保符合任务要求。本文为您介绍ComplianceCheckOnTrainingArchitectureOfGPUAIModel中的默认规则。
规则名称 | 规则描述 |
ACK集群未设置公网连接端点,视为“合规”。 | |
ACK集群已升级到最新版本,视为“合规”。 | |
使用的ACK集群版本未停止维护,视为“合规”。 | |
ACK集群配置Secret的落盘加密,视为“合规”。非专业托管版集群视为“不适用”。 | |
运行中的ECS实例安装云监控插件而且插件状态为运行中,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 | |
通过在主机上安装云安全中心插件,为主机提供安全防护服务,视为“合规”。非运行中状态的实例不适用本规则,视为“不适用”。 | |
ECS实例开启释放保护,视为“合规”。 | |
ECS实例使用镜像的创建时间距今天数小于参数指定的天数,视为“合规”,参数默认值180天。 | |
ECS实例状态不是已停止状态,视为“合规”。已到期或者已设置为停机节省模式的实例视为“不适用”。 | |
ECS实例没有直接绑定IPv4公网IP或弹性公网IP,视为“合规”。 | |
ECS实例被授予了实例RAM角色,视为“合规”。 | |
ECS实例未绑定SSH密钥对,视为“合规”。适用于部分企业对访问实例的特殊管控场景。 | |
安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 | |
当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,降低服务器登录密码被暴力破解风险,视为“合规”。如果检测到的风险端口被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。默认检测风险端口为22、3389。 | |
NAS文件存储接入点启用RAM策略,视为“合规”。 | |
为NAS文件系统创建备份计划,视为“合规”。 | |
文件存储接入点根目录未设置为默认的目录,视为“合规”。 | |
NAS文件系统设置了加密,视为“合规”。 | |
OSS存储空间的ACL不开启公共读写,视为“合规”。OSS存储空间开启公共读写权限后,任何访问者均可写入,将面临恶意注入的数据风险,建议关闭。 | |
OSS存储空间的ACL不开启公共读,视为“合规”。OSS存储空间的公共读权限会增加存储数据在公网泄露的风险,建议关闭。 | |
OSS存储空间的ACL不开启公共读写,视为“合规”。OSS存储空间开启公共读写权限后,任何访问者均可写入,将面临恶意注入的数据风险,建议关闭。 | |
如果没有开启同城冗余存储,会导致当出现某个机房不可用时,OSS服务无法提供可用性、持久性服务,影响数据恢复目标。OSS存储空间开启同城冗余存储,视为“合规”。 | |
OSS存储空间开启服务端OSS完全托管加密,或者开启KMS加密,视为“合规”。 | |
OSS存储空间的日志管理中开启日志转存,视为“合规”。 | |
OSS存储空间开启服务端KMS加密,视为“合规”。 | |
如果没有开启版本控制,会导致数据被覆盖或删除时无法恢复。如果开启版本控制则视为“合规”。如果已经开启“保留策略”,视为“不适用”。 | |
OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS,或者拒绝访问的访问方式设置为HTTP,视为“合规”。权限策略为空的OSS存储空间视为“不适用”。 | |
VPC自定义网段在关联路由表中存在至少一条网段内IP的路由信息,视为“合规”。 | |
VPC已开启流日志(Flowlog)记录功能,视为“合规”。 | |
专有网络交换机可用IP数量大于指定数值,视为“合规”。 |