治理健康检测可以持续检测企业的云上IT治理水平,并提供友好的治理引导,帮助企业完善云上IT治理的配置,降低云上IT治理的风险。当您开启治理健康检测功能后,系统就可以对企业资源目录下的成员进行自动检测,帮助您及时发现治理缺失和潜在风险。

开通治理健康检测

首次使用时,您需要先开通治理健康检测。

  1. 登录云治理中心控制台
  2. 在左侧导航栏,单击概览
  3. 单击治理健康检测页签。
  4. 治理成熟度区域,单击开启服务
    开启服务时,系统会执行以下操作:
    • 开启配置审计服务。
    • 在配置审计创建全局账号组,默认为enterprise。如果已经存在其他全局账号组,将会复用。
      说明 请您不要删除对应的全局账号组,否则后续的检测可能会出现异常。
    • 启用CloudGovernanceCenter_Evaluation合规包。

开通治理健康检测后,系统就会开始检测账号资源。由于数据来源于多个云产品,您需要等待T+1天后,才能查看检测结果。

查看治理健康检测的数据

等待检测完成后,您就能查看治理项的详细数据。

  1. 单击治理健康检测页签。
  2. 治理成熟度区域,查看评测结果。
    • 如果评测结果为良好,表示当前各项治理指标正常,您无需治理。
    • 如果评测结果为中等风险,表示当前各项治理指标较低,建议您针对风险指标进行治理。
  3. 治理成熟度区域,单击下载报告,下载详情的检测数据到本地查看。
  4. 治理提升区域,查看存在风险的治理项。
    关于治理项,请参见检测项
  5. 单击目标治理项。
  6. 查看治理指引,然后跳转到对应的控制台完善治理项。

检测项

在开通治理健康检测功能后,云治理中心每天会进行一次云上的治理健康状况的检测。当前支持的检测项如下表所示。

一级分类 二级分类 检测项 说明 相关文档
身份权限安全 身份管理风险 闲置RAM用户数量(90天无登录无使用) 为了降低安全风险,对于超过90天无登录且无程序调用的RAM用户,建议您确认这些账号是否需要保留,使用正确的方式清理临时授权或删除冗余RAM用户。 删除RAM用户
人员用户和程序用户混用的RAM用户数量 程序访问与控制台登录的RAM用户通常有不同的授权。根据最佳实践,建议您分别为程序访问和控制台登录用户创建不同的RAM用户,并分别授权。避免权限过大或者由于授权的失效导致业务异常。 创建RAM用户
未设置MFA的RAM用户数量 多因素认证MFA(Multi Factor Authentication)是一种简单有效的最佳安全实践,在用户名和密码之外再增加一层安全保护。启用虚拟MFA或U2F安全密钥这两种多因素认证设备之一,可以为您的账号提供更高的安全保护,建议开启。 为RAM用户启用多因素认证
阿里云账号(主账号)下闲置超过90天的AK数量 阿里云账号(主账号)具有该账号下所有云资源的完全操作权限,一旦泄露访问密钥AK(AccessKey),将会导致您账号资产的极大风险。强烈建议您创建并使用RAM用户来进行日常工作,遵循最小授权原则,使用RAM用户的AK来调用API。如果已创建主账号AK,在删除前请先确认该AK是否在使用中,避免因删除影响现有业务。 创建RAM用户的AccessKey
RAM用户下闲置超过90天的AK数量 为了降低安全风险,建议您尽可能少地创建AK,对长期未使用的AK建议适当清理,以避免泄露后对企业信息和业务安全造成风险。当前检测项帮助您发现超过90天未使用的RAM用户AK。 禁用RAM用户的AccessKey
RAM用户下180天内未定期轮转的AK数量 检测到AK已经使用180天以上,建议您及时轮换,降低AK被泄露的风险。每个RAM用户可以最多可以创建2个AK。 轮换RAM用户的AccessKey
当前泄露的AK数量 企业员工如果将不可公开的公司源码上传至GitHub等平台,会导致企业的AK信息在代码中直接外泄。基于云安全中心AK泄露检测功能,使用搭建在网络空间中的威胁情报采集系统,通过网络爬虫对GitHub等平台进行实时检测,捕获并判定被公开的源代码(多为企业员工私自上传并不小心公开)中是否含有AK信息并提供实时告警,帮助您及时规避数据外泄的风险。 AK泄露检测
权限管理风险 拥有管理权限的RAM用户或RAM角色数量 AdministratorAccess或FullAccess一般为管理员使用的高危权限策略,建议只在少量的RAM用户中使用或不使用。在删除前请先确认对应RAM用户是否在使用中,避免因删除影响现有业务。 创建自定义权限策略
拥有ram:*权限的RAM用户或RAM角色数量 ram:*的权限策略近似于管理员使用的高危的权限策略,建议只在少量的RAM用户中使用或不使用。在删除前请先确认对应RAM用户是否在使用中,避免因删除影响现有业务。 创建自定义权限策略
拥有bss:*权限的RAM用户或RAM角色数量 bss:*的权限策略近似于管理员使用的高危的权限策略,建议只在少量的RAM用户中使用或不使用。在删除前请先确认对应RAM用户是否在使用中,避免因删除影响现有业务。 创建自定义权限策略
单点登录设置缺失 最近30天是否使用RAM SSO单点登录控制台 建议使用SSO单点登录方式管理企业的登录和身份。根据企业在本地IdP中加入的组或者用户的某个特殊属性,来区分云上拥有的权限。可以避免在云端重新创建和管理用户,降低用户同步带来的工作量。 SSO方式的适用场景
监控及审计分析 操作日志丢失风险 操作审计跟踪用户审计日志是否收集读写事件 建议对所有事件启用跟踪,以便用于后续的监控分析。面对内部的运维问题通常需要依赖更长期的审计日志进行排查、分析和溯源,如疑似AK泄露、异常的停机宕机、计划外的资源增删、违法员工操作盘查、故障排查、资源生命周期追溯、异地登录等。 创建单账号跟踪
操作审计是否统一收集全地域管控事件 建议对全地域开启事件跟踪,以便用于后续的监控分析。面对内部的运维问题通常需要依赖更长期的审计日志进行排查、分析和溯源,如疑似AK泄露、异常的停机宕机、计划外的资源增删、违法员工操作盘查、故障排查、资源生命周期追溯、异地登录等。 保障审计的安全性
操作审计是否至少180天长期留存 操作审计仅默认为每个阿里云账号记录最近90天的事件,建议您开启审计的投递,保障日志的长期存储且可用于后续的监控分析。面对内部的运维问题通常需要依赖更长期的审计日志进行排查、分析和溯源,如疑似AK泄露、异常的停机宕机、计划外的资源增删、违法员工操作盘查、故障排查、资源生命周期追溯、异地登录等。 保障审计的安全性