专项检测（Lens）

专项检测-Lens

检测项

检测项说明

容器构建

ACK集群存在单可用区部署风险

使用区域级集群能够实现跨区域的容灾能力。使用区域级 ACK 集群，节点分布在3个及以上可用区，视为“合规”。

容器构建

ACK集群未启用成本套件

传统方式面对云原生场景缺少有效的成本洞察和成本控制的手段，成本套件提供了资源浪费检查、资源费用预测等功能。存在ACK集群未启用成本套件功能，则视为不符合最佳实践。

容器构建

ACK集群未使用稳定版本

ACK集群未升级到最新版本，则视为“不合规”。

容器构建

ACK集群未开启删除保护

ACK集群未开启删除保护，则视为“不合规”。

容器构建

ACK集群未配置Secret落盘加密

Secret落盘加密可以使用您密钥管理服务KMS中创建的密钥加密Kubernetes Secret密钥，提升敏感信息的安全性。若存在未使用阿里云KMS进行Secret的落盘加密的ACK Pro集群，则视为“不合规”。

容器构建

ACK集群未通过ack-ram-authenticator实现基于RAM的鉴权

ack-ram-authenticator组件基于Kubernetes原生Webhook Token认证方式，实现通过RAM完成集群APIServer的请求认证。在SSO角色对接场景下，支持更安全地审计不同用户在扮演相同角色时对集群APIServer的访问请求。若存在未开通ack-ram-authenticator组件的ACK集群，则视为“不合规”。

容器构建

ACK集群未通过策略治理限制容器特权配置

开启策略治理可以帮助企业安全运维管理人员更好地使用容器安全策略。若存在未开启任何策略管理的ACK集群，则视为“不合规”。

容器构建

ACK集群未通过RRSA实现应用Pod维度的云资源访问权限隔离

通过RRSA可以在集群内实现Pod维度的OpenAPI权限隔离，从而实现云资源访问权限的细粒度隔离，降低安全风险。若存在未开启RRSA功能的ACK集群，则视为“不合规”。

容器构建

ACK 集群未开启 APIServer 审计日志

在Kubernetes集群中，API Server的审计日志可以帮助集群管理人员记录或追溯不同用户的日常操作，是集群安全运维中重要的环节。若存在未开启APIServer审计日志的ACK集群，则视为“不合规”。

容器构建

ACK集群未开启控制平面组件日志

将日志从ACK控制层采集到您账号中的SLS日志服务的Log Project中，使您可以更方便进行运维审计、异常排查。若存在未开启控制平面组件日志的ACK集群，则视为“不合规”。

容器构建

ACK集群未开启容器智能运维（CIS）集群配置巡检

容器智能运维CIS帮助您发现集群中存在的潜在风险，例如：云资源配额余量、Kubernetes集群关键资源水位等，排查风险项并根据推荐的解决方案修复问题。若存在未开启智能运维（CIS）集群配置巡检的ACK集群，则视为“不合规”。

容器构建

ACK集群未开启集群安全配置巡检

配置巡检功能可以扫描集群中Workload配置的安全隐患并输出巡检报告。若存在未开启安全配置巡检的ACK集群，则视为“不合规”。

容器构建

ACK集群未开启容器内部操作审计日志

容器内部操作审计功能可以方便您审计组织内成员或应用程序进入容器后执行的命令操作。若存在未开启内部操作审计日志的ACK集群，则视为“不合规”。

容器构建

ACK集群未使用托管节点池

托管节点池可以自动完成部分节点运维操作，例如高危CVE漏洞自动修复、部分故障修复等，从而降低您的节点运维负担。若存在未开启节点池托管功能的ACK集群，则视为“不合规”。

容器构建

ACK集群节点池未开启弹性伸缩

弹性伸缩可以按需弹出按量计费的实例，帮助您经济地自动调整弹性计算资源。若存在未开启节点池弹性伸缩功能的ACK集群，则视为“不合规”。

容器构建

ACK集群使用了托管集群基础版

ACK 托管集群分为基础版和 Pro 版。Pro 版相比基础版进一步增强了集群的可靠性、安全性和调度性，更适合生产环境下运行大规模业务。若未使用 Pro 版的托管集群类型，则视为“不合规”。

容器构建

ACK集群巡检CoreDNS服务后端服务器数为 0

ACK 集群中 CoreDNS 后端服务器数为 0 会导致服务发现完全失效，集群内服务间通信中断（如微服务调用、数据库访问），应用无法通过服务名称解析地址，直接影响业务可用性。同时引发集群稳定性风险。存在 ACK 集群 CoreDNS 服务后端服务器数为 0，则视为“不合规”。

容器构建

ACK 集群巡检 API Server CLB 实例后端状态异常

ACK 集群 API Server CLB 实例后端状态异常会导致控制平面通信中断，直接引发集群管理完全失效，客户端（如 kubectl）无法访问 API Server，导致无法执行部署应用、查看状态等操作。存在 ACK 集群 API Server CLB 实例后端状态异常，则视为“不合规”。

容器构建

ACK 集群巡检 API Server 绑定的 CLB 端口监听配置异常

ACK 集群 API Server 绑定的 CLB 端口监听配置异常会导致 API 服务访问中断，客户端（如 kubectl）无法连接集群，运维操作完全失效。存在 ACK 集群 APIServer 绑定的 CLB 端口监听配置异常，则视为“不合规”。

容器构建

ACK 集群巡检 API Server 绑定的 CLB 实例不存在

ACK 集群 API Server 未绑定 CLB 实例将导致 API 服务流量入口缺失，外部客户端（如 kubectl）无法通过负载均衡访问 API Server，集群管理完全中断。存在 ACK 集群 API Server 绑定的 CLB 实例不存在，则视为“不合规”。

容器构建

ACK 集群巡检 API Server 绑定的 CLB 实例状态异常

ACK 集群 API Server 绑定的 CLB 实例状态异常会导致 API 服务流量转发失败，客户端（如 kubectl）无法建立稳定连接，集群管理完全阻断。存在 ACK 集群 APIServer 绑定的 CLB 实例状态异常，则视为“不合规”。

容器构建

ACK 集群巡检节点 Kubelet 组件版本落后于控制面

ACK 集群节点 Kubelet 组件版本落后于控制面会导致兼容性故障，控制面（如 API Server）可能因新特性或协议升级无法与旧版 Kubelet 正常通信，引发节点状态异常、Pod 调度失败或节点被标记为不可用。存在 ACK 集群节点 Kubelet 组件版本落后于控制面，则视为“不合规”。

容器构建

ACK 集群巡检节点池伸缩配置不可用

ACK 集群节点池伸缩配置不可用将导致集群无法自动调整节点数量，高负载时无法扩容引发资源耗尽，Pod调度失败或服务中断。存在 ACK 集群节点池伸缩配置不可用，则视为“不合规”。

容器构建

ACK 集群巡检节点池伸缩组不可用

ACK 集群节点池伸缩组不可用将导致集群完全丧失自动扩缩容能力，高负载时无法动态扩容，引发节点资源枯竭、Pod调度失败或服务响应延迟。存在 ACK 集群节点池伸缩组不可用，则视为“不合规”。

容器构建

ACK 集群巡检节点池安全组不可用

ACK 集群节点池安全组不可用将导致网络访问规则失效，集群组件间通信（如 kubelet 与 API Server、Pod 间服务发现）可能因端口封锁或规则缺失而中断。存在 ACK 集群节点池安全组不可用，则视为“不合规”。

容器构建

ACK 集群巡检节点池交换机不可用

ACK 集群节点池交换机不可用将导致节点间网络通信中断，Pod 与服务无法跨节点交互，引发服务发现失败或数据传输停滞。存在 ACK 集群节点池交换机不可用，则视为“不合规”。

容器构建

ACK 集群巡检 APIService 不可用

ACK 集群 APIService 不可用将导致扩展 API 功能失效，自定义资源（如CRD）无法与控制面通信，引发 Operator、服务网格等依赖扩展 API 的组件管理异常。存在 ACK 集群 APIService 不可用，则视为“不合规”。

容器构建

ACK 集群巡检存在异常的 CoreDNS Pod

ACK 集群存在异常 CoreDNS Pod 将导致 DNS 解析服务不稳定，服务间通过域名通信可能出现超时或失败，引发应用调用中断。存在 ACK 集群存在异常的 CoreDNS Pod，则视为“不合规”。

容器构建

ACK 集群巡检弹性组件状态异常

ACK 集群弹性组件状态异常将导致自动扩缩容、故障自愈等机制失效，高负载时无法动态扩容引发资源瓶颈，服务响应延迟或中断。存在 ACK 集群弹性组件状态异常，则视为“不合规”。

容器构建

ACK 集群巡检 LoadBalancer Service 付费模式与实际实例不一致

ACK 集群 LoadBalancer Service 付费模式与实际实例不匹配将导致计费异常，可能引发意外交付（如预期包年包月却按量计费）或资源意外释放。存在 ACK 集群 LoadBalancer Service 付费模式与实际实例不一致，则视为“不合规”。

容器构建

ACK 集群巡检 LoadBalancer Service 证书实例ID与实际实例不一致

ACK 集群 LoadBalancer Service 证书实例 ID 与实际绑定证书不匹配将导致 TLS 配置失效，引发 HTTPS 服务连接拒绝或安全警告，用户访问中断。存在 ACK 集群 LoadBalancer Service 证书实例 ID 与实际实例不一致，则视为“不合规”。

容器构建

ACK 集群巡检 CoreDNS 只有一个副本

ACK 集群 CoreDNS 仅保留单副本配置将丧失高可用性，Pod 故障时 DNS 服务完全中断，引发集群内服务域名解析失败，导致应用间通信阻断。存在 ACK 集群 CoreDNS 只有一个副本，则视为“不合规”。

机器学习

ECS实例未禁止绑定公网地址

防止ECS实例直接暴露在公网以减少被攻击的风险，建议通过NAT网关或负载均衡器接入公网。若存在ECS实例绑定了公网地址，则视为“不合规”。

机器学习

安全组入网设置0.0.0.0/0和任意端口

禁止安全组规则允许所有IP地址（0.0.0.0/0）从任意端口访问，必须限制为特定IP段和端口。若安全组的入网规则中存在0.0.0.0/0且未指定具体端口，则视为“不合规”。

机器学习

安全组对公网开放高危端口（22/3389/……）

禁止安全组规则允许公网访问SSH（22）和RDP（3389）等高危端口，以防网络攻击和未经授权访问。若安全组对公网开放SSH（22）、RDP（3389）等高危端口，则视为“不合规”。

机器学习

ACK集群存在未使用稳定版本

ACK集群未升级到最新版本，则视为“不合规”。

机器学习

OSS资源存在未使用多可用区架构

OSS存储空间未开启同城冗余存储，则视为“不合规”。

机器学习

ECS资源存在未开启释放保护

ECS实例未开启释放保护，则视为“不合规”。

机器学习

OSS存储空间存在未开启版本控制

如果OSS实例没有开启版本控制，会导致数据被覆盖或删除时无法恢复。OSS实例未开启版本控制，则视为“不合规”。

机器学习

NAS文件系统未创建备份计划

为避免存储在NAS文件系统中的数据丢失或受损影响业务，建议您通过云备份服务定期备份通用型NAS中的所有目录及文件。云备份服务支持配置灵活备份策略，将数据备份至云端，您可以随时查看和恢复数据。为NAS文件系统创建备份计划，视为“合规”。

机器学习

存在ACK集群未配置Secret落盘加密

Secret落盘加密可以使用您密钥管理服务KMS中创建的密钥加密Kubernetes Secret密钥，提升敏感信息的安全性。若存在未使用阿里云KMS进行Secret的落盘加密的ACK Pro集群，则视为“不合规”。

机器学习

VPC未开启流日志记录

VPC提供流日志功能，通过记录VPC中弹性网卡ENI传入和传出的流量信息，帮助您检查访问控制规则、监控网络流量和排查网络故障。VPC已开启流日志（Flowlog）记录功能，视为“合规”。

机器学习

OSS存储空间未开启服务端加密

OSS通过服务器端加密机制，提供静态数据保护。适合于对于文件存储有高安全性或者合规性要求的应用场景。OSS存储空间开启服务端KMS加密或OSS完全托管加密，视为“合规”。

机器学习

VPC自定义网段未设置路由

您可以在专有网络VPC（Virtual Private Cloud）内创建自定义路由表，并在自定义路由表中添加自定义路由条目，然后将自定义路由表绑定至交换机来控制该交换机的流量，方便您更灵活地进行网络管理。VPC自定义网段在关联路由表中存在至少一条网段内IP的路由信息，视为“合规”。

机器学习

ECS实例使用的镜像未定期更新加固

定期更新镜像可以确保操作系统和软件始终包含最新的安全补丁，减少被攻击的风险，同时确保服务器运行在最佳性能状态，在快速部署或恢复时快速启动并运作。ECS实例使用镜像的创建时间距当前的天数，当小于指定天数时，视为“合规”，参数默认值180天。

机器学习

OSS存储空间权限策略未设置安全访问

相对于HTTP，HTTPS具有更高的安全性。OSS存储空间权限策略中包含了读写操作的访问方式设置为HTTPS，或者拒绝访问的访问方式设置为HTTP，视为“合规”。权限策略为空的OSS存储空间视为“不适用”。

机器学习

NAS文件存储接入点未启用RAM策略

接入点策略是阿里云NAS推出的针对接入点客户端的自定义授权策略，可直接授权给同账号下的不同RAM用户或RAM角色挂载读写或允许使用root账号访问文件系统内资源的权限，更大程度地满足您的细粒度权限要求，从而实现更灵活的权限管理。NAS文件存储接入点启用RAM策略，视为“合规”。

机器学习

ECS实例未被授予实例RAM角色

实例RAM角色是指为ECS实例授予的RAM角色，该RAM角色是一个受信服务为云服务器的普通服务角色。使用实例RAM角色可以实现在ECS实例内部无需配置AccessKey即可获取临时访问凭证（STS Token），从而调用其他云产品的API。由于临时身份凭证仅可在实例内部获取，并且无需配置AccessKey，这不仅确保了云账号AccessKey的安全性，还能够通过访问控制RAM实现精细化的控制与权限管理。ECS实例被授予了实例RAM角色，视为“合规”。

机器学习

运行中的ECS实例未安装云监控插件

云监控的主机监控服务通过在主机上安装云监控插件，为您提供主机的系统监控服务。当您需要通过云监控采集主机操作系统层面的监控指标，并对重要监控指标设置报警规则，以便及时关注其动态时，需要为主机安装云监控插件。运行中的ECS实例安装云监控插件而且插件状态为运行中，视为“合规”。非运行中状态的实例不适用本规则，视为“不适用”。

机器学习

NAS文件系统未设置加密

当您对文件存储有高安全性或者合规性要求时，建议您开启服务器端加密功能。开启该功能后，NAS会对存储在文件系统中的数据进行加密，访问数据时，NAS自动将加密数据解密后返回给用户。NAS文件系统设置了加密，视为“合规”。

机器学习

运行中的ECS实例未开启云安全中心防护

云安全中心的安全防护能力，包括资产清点、风险发现、入侵检测、合规基线等，用于收集和分析多种日志和数据，以监控和检测服务器中潜在的安全威胁。通过在主机上安装云安全中心插件，提供主机的安全防护服务。如果有安装云安全中心插件则视为"合规"。非运行中状态的实例不适用本规则，视为“不适用”。

机器学习

OSS存储空间未开启日志转存

访问OSS的过程中会产生大量的访问日志。您可以通过日志转存功能将这些日志按照固定命名规则，以小时为单位生成日志文件写入您指定的存储空间（Bucket）。对于已存储的日志，您可以通过阿里云日志服务或搭建Spark集群等方式进行分析。OSS存储空间的日志管理中开启日志转存，视为“合规”。

机器学习

未使用维护中的ACK版本

Kubernetes社区每4个月左右发布一个次要版本，建议使用维护中的版本，过期版本集群存在安全隐患和稳定性风险。集群版本过期后，将无法享受新Kubernetes版本支持的功能特性及缺陷修复，无法获得及时有效的技术支持，面临无法修复安全漏洞的风险。使用的ACK集群版本未停止维护，视为“合规”。

机器学习

ACK集群不应设置公网连接端点

开放的公网端点容易成为网络攻击的目标，通过访问控制，可以更好地限制访问权限。此外，通过公网传输敏感数据可能会违反合规要求。ACK集群未设置公网连接端点，视为“合规”。

网络服务

EIP资源存在闲置

EIP未绑定资源实例，且创建时间超过7天，则视为“不合规”。

网络服务

VPN实例存在未使用多可用区架构

对于存量单隧道实例强烈建议您在控制台开启AZ高可靠，并同时配置双隧道与对端建立连接。如果VPN使用了单隧道实例，则视为“不合规”。

网络服务

NLB实例存在未使用多可用区架构

对于网络负载均衡实例强烈建议配置多可用区，满足多可用区容灾。使用单可用区的网络负载均衡实例，视为“不合规”。

网络服务

EIP资源存在运行状态异常

检查弹性EIP是否存在运行异常的资源。若EIP处于禁用或未激活状态，视为“不合规”。

网络服务

NAT网关存在处理水位异常

检查在巡检周期间NAT网关的处理水位情况，包括识别并发连接数、新建连接数、流量处理速率和SNAT源端口超负载使用情况，帮助评估目前资源配置是否满足业务发展诉求，识别因资源水位不足导致业务受损的网络风险。在最近一次巡检间隔周期内，触发过“NAT会话超限丢弃连接”或“NAT新建会话超限丢弃告警”或“SNAT源端口分配失败告警”，或者NAT实例流量处理率过高，视为“不合规”。

网络服务

VPN服务存在水位异常

检查在巡检周期间VPN服务水位情况，统计带宽超限风险和BGP动态路由传播超限的发生频次，帮助评估目前VPN服务健康度，识别因资源配置不足导致业务受损的网络风险。VPN实例SSL连接数过高或SSL VPN服务端客户端网段地址不足；或者在最近一次巡检间隔周期内，触发过BGP动态路由数量超限或者VPN带宽超限风险告警。以上情况，视为“不合规”。

网络服务

ALB虚拟IP处理存在水位异常

检查在巡检周期间ALB虚拟IP的负载情况，包括识别会话、连接、QPS和带宽的负载情况，帮助评估目前资源配置是否满足业务发展诉求，识别因资源负载不足导致业务受损的网络风险。在最近一次巡检间隔周期内，触发过ALB会话超限导致新建连接丢失告警或连接失败数骤增告警或QPS超限告警或带宽超限丢包告警，视为“不合规”。

网络服务

NLB虚拟IP处理存在水位异常

检查在巡检周期间NLB虚拟IP的负载情况，包括识别新建连接和并发连接的负载情况，帮助评估目前资源配置是否满足业务发展诉求，识别因资源负载不足导致业务受损的网络风险。在最近一次巡检间隔周期内，触发过NLB失败连接数骤增或新建连接丢弃告警或新建连接超限告警或并发连接超限告警，视为“不合规”。

网络服务

VBR资源的BGP连接状态存在异常

检查在巡检周期间专线BGP连接的运行状态，统计专线端口异常的发生频次，帮助观测运营商专线链路的质量，及时发现稳定性风险。在最近一次巡检间隔周期内，触发过BGP连接故障，视为“不合规”。

网络服务

CLB处理存在水位异常

检查在巡检周期间CLB的负载情况，包括识别会话、连接和带宽的负载情况，帮助评估目前资源配置是否满足业务发展诉求，识别因资源负载不足导致业务受损的网络风险。在最近一次巡检间隔周期内，触发过CLB带宽超限丢包告警或会话超限新建连接丢失告警或连接失败数骤增告警，视为“不合规”。

网络服务

TR配置路由存在风险

基础版TR路由表路由条目数量已达到最大配额的80%，超出后新增路由将无法加载到TR路由表中，可能导致网络不通。基础版TR路由Quota已达到80%。

网络服务

VBR未配置健康检查

VBR上配置了静态路由指向云下，但是没有配置健康检查。若专线故障无法自动进行切换。CEN或者VBR上联未配置健康检查或者VBR上联没有配置健康检查，视为“不合规”。

网络服务

VBR存在冗余缺失

检查VBR冗余配置的完整性，识别专线场景稳定性风险。VPC到VBR部分网段未配置冗余线路或完全未配置冗余线路。或者云企业网上的转发路由器（TR）到VBR部分网段未配置冗余线路或完全未配置冗余线路，视为“不合规”。

网络服务

物理专线存在端口异常

检查在巡检周期间物理专线端口的运行状态，统计BGP连接异常的发生频次，帮助观测运营商专线链路的质量，及时发现稳定性风险。在最近一次巡检间隔周期内，触发过专线端口或链路故障告警，视为“不合规”。

网络服务

EIP带宽存在水位异常

检查在巡检周期间EIP带宽水位的使用情况，统计带宽利用率过高，或带宽超限丢包的发生频次，帮助评估目前资源带宽是否满足业务发展诉求，识别因带宽不足导致业务受损的网络风险。最近一次巡检间隔周期内，触发过公网带宽即将超限风险预警或超限丢包告警。最近一次巡检间隔周期内，弹性公网IP未检测出异常，若触发过公网带宽即将超限风险预警或超限丢包告警，视为”不合规“。

网络服务

跨地域带宽存在水位异常

检查在巡检周期间云企业网跨地域带宽水位的使用情况，统计带宽利用率过高或带宽超限丢包的发生频次，帮助评估目前资源带宽是否满足业务发展诉求，识别因带宽不足导致业务受损的网络风险。在最近一次巡检间隔周期里，触发过跨域连接带宽超限丢包告警或者跨地域连接的流量调度队列存在超过带宽限速导致丢包。

数据保护

高规格的数据库实例未开启SQL审计日志

审计日志全面记录数据库的操作与访问，可用于运维故障的诊断复盘，并落实中国等保法规，以及欧洲/东南亚金融监管要求。账号下高规格数据实例未开启SQL审计日志，则认为存在风险。高规格实例是指"大于等于4C8G"或"属于金融行业账号下实例"。

数据保护

高规格的数据库实例未开启安全审计

安全审计全面检测数据库实例是否有被拖库/SQL流入/异常访问与数据库下载等攻击风险，保护企业数据资产安全。账号下高规格数据实例未开启安全审计，则认为存在风险。高规格实例是指"大于等于4C8G"或"全量SQL日志大于100GB/天"。

数据保护

高规格的数据库实例未开启统一安全协同

开启安全协同用于在数据库变更过程中采取无锁、分批等方式，有助于研发规范，在数据库使用、变更过程中防止非标操作导致数据库稳定性受到影响。高规格实例是指"大于等于4C8G"。

数据保护

数据库实例未开启异地容灾

数据库可能会在地域中断或故障时面临不可服务的风险。进入DTS控制台-数据同步页面 或 API查询具体数据库实例是否创建DTS同步功能。

数据保护

数据库实例慢SQL数量过多

在定位数据库的性能问题时，查找慢SQL（消耗较高的SQL语句）是比较常用且有效的方法。高CPU消耗、高执行时间、高IO消耗以及高扫描行数的SQL语句都有可能是慢SQL。慢SQL除了其本身运行较慢外，也可能因为它锁定的资源，影响其它SQL的高效运行，加剧CPU与负载，可能造成业务服务不稳定。检测账号下"近1天内慢SQL明细数量大于100条"的数据库实例，则认为存在风险。"无账号密码/QPS低于50的实例"不适用本检测规则。

数据保护

高规格的数据库实例未开启敏感数据保护

开启敏感数据保护有助于企业实现敏感数据动态安全防护，避免出现敏感数据泄漏以及数据合规风险。

数据保护

数据库实例未开启异地备份

数据库可能会在地域中断或故障时面临数据丢失的风险。进入数据库引擎控制台-实例详情【备份恢复】页面 或 通过API查询具体数据库实例的跨地域备份功能开关状态。