本文为您介绍治理成熟度检测支持的检测项,方便您查询和使用。
安全
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
主账号管理 | 主账号未开启多因素认证 MFA | 对于主账号身份,建议启用 MFA 提供更高级的安全保护。当前主账号未开启 MFA,则视为不合规。 | 暂不支持快速修复。 | 否 |
主账号管理 | 主账号存在启用的 AccessKey | 主账号 AccessKey 等同于主账号权限,无法进行条件限制(如访问来源 IP、访问时间等),一旦泄漏风险极大。有存在的主账号 AccessKey,则视为不合规。 | 暂不支持快速修复。 | 否 |
主账号管理 | 近90天主账号登录过控制台 | 主账号权限极大,无法进行条件限制(如访问来源IP、访问时间等),一旦泄漏风险极大。当前主账号在一个月内登录次数超过3次,则视为不合规。 | 暂不支持快速修复。 | 否 |
用户管理 | 未启用 RAM SCIM 同步用户 | 通过 SCIM 可以便捷地将企业内的人员身份同步到阿里云上,无需手动创建用户。当前账号下未配置 SCIM 同步,或同步的用户在 2 个月内无登录行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
用户管理 | 未启用 RAM SSO 方式登录控制台 | 通过 SSO 集中化管控人员身份,能够提升人员身份的管理效率,降低风险。当前账号下未配置 RAM SSO,或在 30 天内有无通过 SSO 的登录行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
用户管理 | 存在既启用控制台登录又保有 AccessKey 的 RAM 用户 | 在任何场景下,我们都推荐单一职责原则。当前账号下有 RAM 用户存在 AccessKey 并且开启了控制台登录,则视为不合规。 | 暂不支持快速修复。 | 是 |
用户管理 | 未使用 RAM 管理身份 | 主账号权限极大,一旦泄漏风险极大。日常操作建议通过 RAM 身份的方式进行。当前账号下未存在任何 RAM 身份,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 未设置完全的密码强度规则 | 通过提升密码强度可以有效降低密码被撞库和暴力破解的风险。未设置较强的密码强度、密码有效期和历史密码检查策略以及密码重试约束,则视为不合规。 | 此修复将修改访问控制(RAM)的密码强度的关键设置。其中包含密码长度大于等于8位、包含的元素大于等于三个、有效期小于90天、一小时最大重试登录小于等于5次。以上为最佳实践推荐设置,根据企业实际需求,可通过修改参数实现更严格的密码强度要求。设置成功后将适用于所有RAM用户。 | 否 |
人员身份管理 | 存在 RAM 用户未启用 MFA | MFA 将为 RAM 用户提供更高的安全保护。RAM 用户启用了控制台登录后,如果未设置 MFA,则视为不合规。 | 暂不支持快速修复。 | 是 |
人员身份管理 | 存在闲置的 RAM 用户 | RAM 用户启用控制台登录时会设置登录密码。时间越长,密码暴露的风险就越高。如果存在超过 90 天未登录的闲置 RAM 用户,则视为不合规。 | 暂不支持快速修复。 | 是 |
程序身份管理 | ECS实例未使用加固模式的Metadata Service(2.0模型新增) | 确保ECS实例使用加固模式的Metadata Service(V2版本),以防止V1版本可能导致的STS Token泄漏。若ECS实例使用V1版本的Metadata Service,则视为不合规。客户需将Metadata Service升级至V2版本进行治理。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 存在 AccessKey 定期未轮转 | 通过定期轮转,降低 AccessKey 暴露时长,进而降低 AccessKey 泄漏风险。RAM 用户 AccessKey 使用超过 90 天,则视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 程序访问未采用无 AccessKey 方案 | 当前账号下 ECS 未配置实例角色,或者 ACK 未开启 RRSA 插件,或者函数计算服务中未配置服务角色,则视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | AccessKey 存在泄露未处理 | AccessKey 泄漏后,攻击者可以利用该 AccessKey 访问您的资源或数据,造成安全事故。有未处理的 AccessKey 泄漏事件,则视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 存在同时启用两个 AccessKey 的 RAM 用户 | 一个 RAM 用户启用两个 AccessKey,会导致 RAM 用户丧失轮转能力,带来更大的风险。单个 RAM 用户存在两个 AccessKey,则视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 存在 AccessKey 闲置的 RAM 用户 | RAM 用户 AccessKey 具备访问阿里云 API 的能力,在外部暴露的时间越长,则泄漏风险越高。RAM 用户 AccessKey 超过 90 天未使用,则视为不合规。 | 暂不支持快速修复。 | 是 |
使用细粒度授权 | 不存在对访问操作范围进行收敛的 RAM 身份 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。在当前阿里云账号下,RAM 身份绑定了某个云服务的部分操作权限,则认为满足要求。 | 暂不支持快速修复。 | 否 |
使用细粒度授权 | 不存在对 OSS、SLS 访问进行收敛的 RAM 身份 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。尤其对于数据类产品的访问,例如:OSS、SLS 等,建议精细化授权,降低身份泄露导致的数据泄露风险。在当前阿里云账号下,如果 RAM 身份绑定了数据类产品相关的操作权限,必须进行精细化授权,请勿通过通配符*进行批量授权,则认为满足要求。 | 暂不支持快速修复。 | 否 |
使用细粒度授权 | 不存在细粒度授权的 RAM 身份(2.0模型删除) | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过自定义策略可以对 RAM 身份进行精细化授权。不存在 RAM 身份绑定了自定义策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
使用登录凭证报告 | 未定期获取身份权限检测报告(2.0模型删除) | 在当前账号下,近 90 天内未查看了身份权限治理报告、用户凭证报告或云治理成熟度报告任意一种报告,则视为不合规。 | 暂不支持快速修复。 | 否 |
使用登录凭证报告 | 未启用 “AccessKey 及权限治理最佳实践” 合规包(2.0模型删除) | 未启用配置审计中 “AccessKey 及权限治理最佳实践” 合规包,则视为不合规。 | 此修复将基于“AccessKey及权限治理最佳实践”模板,为您在配置审计产品创建合规包。此后可以在配置审计查看相关的检测结果。 | 否 |
管控日志归档 | 操作审计日志未设置长周期留存 | 未创建跟踪或者创建的跟踪中未归档所有地域、未归档所有读写操作或者归档存储周期少于180天,则视为不合规。 | 此修复将会完善当前账号已有的跟踪设置,其中包含启用完整的管控类读写事件和所有地域事件。请选择列表中至少一个已有跟踪完善设置。在修复后新产生的读写和全地域事件将会投递到跟踪的目标存储,在存储中历史事件不受影响。 | 否 |
配置变更检测 | 未启用配置审计 | 如果当前账号未开启配置审计,则视为不合规。 | 暂不支持快速修复。 | 否 |
配置变更检测 | 未设置资源变更或快照的投递 | 配置审计未设置资源变更或快照的投递,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测覆盖 | 配置审计合规规则未覆盖所有云上资源 | 根据规则覆盖的资源比率进行评估,如果覆盖率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测覆盖 | 未启用配置审计合规规则 | 如果当前账号未启用配置审计规则,则视为不合规。 | 暂不支持快速修复。 | 否 |
不合规告警响应 | 未定期获取合规检测数据 | 若配置审计未设置不合规事件投递或查看检测结果,则视为不合规。 | 暂不支持快速修复。 | 否 |
不合规告警响应 | 未对风险操作事件设置告警规则 | 未启用任何一条操作审计事件告警里支持的账号安全相关的规则或 Actiontrail 操作合规相关的规则,则视为不合规。 | 暂不支持快速修复。 | 否 |
告警事件处理 | 云上资源存在不合规情况 | 配置审计已经启用的规则检测,如合规资源率低于100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
开启自动修正 | 未采用自动化方式修正不合规问题 | 用户未启用任一规则的自动修正,则视为不合规。 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 存在过多 RAM 身份被授予 OSS、SLS 高危权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。拥有 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 存在过多 RAM 身份被授予 Admin 权限 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。Admin权限可以对账号下的任意资源执行任意操作,避免给过多的RAM身份授予Admin权限,以免身份泄露对业务造成影响。在当前阿里云账号下,拥有Admin权限的RAM身份数小于等于3个,则认为满足要求。 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 存在过多 RAM 身份被授予费用中心高危权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。对于拥有账单和费用中心产品(BSS)写权限的 RAM 身份来说,可以修改订单、发票、合同、账单等信息,执行交易、提现等资金操作,管理不善可能会造成资产损失。在当前阿里云账号下,拥有 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 存在过多 RAM 身份被授予 RAM 高危权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。具有 RAM 产品写权限的 RAM 身份,可以创建新的身份或修改已有身份的权限,造成过度授权,为账号内资源的安全性和保密性带来风险。在当前阿里云账号下,拥有 | 暂不支持快速修复。 | 否 |
避免特权滥用 | RAM 身份都被授予了 Admin 权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限,避免给所有的 RAM 身份都赋予 Admin 权限,导致身份泄漏后对业务造成影响。如果 RAM 身份被授予了非 Admin 权限,则认为满足要求。 | 暂不支持快速修复。 | 否 |
授权效率与受控 | 无RAM用户继承RAM用户组的授权(2.0模型新增) | 默认情况下,RAM用户、组和角色无法访问任何资源。通过RAM策略为用户、组或角色授予权限。建议直接将RAM策略应用于组和角色,而不是用户。通过组或角色级别分配权限,可以降低随着用户数量的增长带来的管理复杂性,同时降低无意间扩大某个RAM用户权限的风险。如果任何一个RAM用户继承了RAM用户组授权则认为符合最佳实践。 | 暂不支持快速修复。 | 否 |
授权效率与受控 | 为RAM身份授予的自定义策略生效范围未指定资源组(2.0模型新增) | 默认情况下,给RAM身份授予自定义策略时的生效范围为账号级别。这种情况下,如果在自定义策略中未明确限制指定资源,也未明确指定权限生效条件,那么该RAM身份会有该账号下所有资源的指定权限。按照云上资源管理最佳实践,应将资源按照资源组进行分组,在分组的基础上为RAM身份授权。在授权过程中,通过限制生效范围为资源组,可以更好地限制RAM身份所拥有的权限范围,实现精细化授权。为RAM身份授予的自定义策略,如果生效范围为资源组,或在策略条件中指定了资源组,则认为符合最佳实践。 | 暂不支持快速修复。 | 否 |
授权效率与受控 | 不存在有 Admin 权限的 RAM 身份授权被收敛到资源组 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。在当前账号下,拥有 AdministratorAccess 权限的 RAM 身份,授权范围为资源组,则认为满足要求。 | 暂不支持快速修复。 | 否 |
授权效率与受控 | 不存在有服务级系统策略的 RAM 身份授权被收敛到资源组 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。在当前阿里云账号下,拥有服务级系统策略(例如:AliyunECSFullAccess 等)的 RAM 身份,授权范围为资源组,则认为满足要求。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | OSS Bucket未禁止公共读(2.0模型新增) | 防止OSS Bucket内容对公众开放读取,确保数据机密性和安全性。若OSS Bucket设置为公共读权限,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | OSS Bucket存在为匿名账号授予的访问权限(2.0模型新增) | 实施最小权限原则是降低安全风险及减少错误或恶意行为影响的基础。如果OSS Bucket策略允许匿名账号访问,可能会导致攻击者进行数据外泄。此外,如果外部账号被恶意攻击者控制,那么您的数据可能会被篡改或删除。这不仅威胁到数据的完整性和保密性,也可能导致业务中断和法律问题。最佳实践建议通过策略禁止匿名账号访问OSS Bucket。如果Bucket policy中存在允许匿名账号访问的策略,即授权用户为所有账号*且效力为允许,则认为不满足最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | OSS Bucket设置了公共写(2.0模型新增) | OSS支持通过设置Bucket Policy以及ACL的方式实现公共访问。公共写是指无需特定权限或身份验证即可修改任意OSS资源或在Bucket内上传新的文件对象。公共写意味着任何人都可以上传和修改OSS Bucket中的数据,容易引发数据泄露以及被恶意访问而产生大量成本的风险。最佳实践建议关闭OSS Bucket公共写权限,仅通过URL签名或者API的形式访问OSS Bucket中的数据。当OSS Bucket Policy或ACL任意一种包含公共写的语义时,即可视为该OSS Bucket可能存在被公共写的安全风险,不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据传输过程应使用TLS | SLB未开启HTTPS监听(2.0模型新增) | 确保负载均衡器(SLB)启用了HTTPS监听,以保障数据在传输过程中使用TLS加密协议。若SLB未启用HTTPS监听,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | PolarDB实例设置了公网连接地址(2.0模型新增) | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。集群开启了公网访问地址,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据传输过程应使用TLS | Elasticsearch实例未使用HTTPS传输协议(2.0模型新增) | Elasticsearch实例仅使用HTTP协议提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,进而导致数据泄漏。最佳实践建议是在应用程序或者客户端内使用HTTPS协议访问Elasticsearch,确保数据传输过程中都是加密的。Elasticsearch实例的集群网络设置打开了使用HTTPS协议开关,则认为符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | PolarDB实例IP白名单设置了0.0.0.0/0(2.0模型新增) | IP白名单指允许访问PolarDB集群的IP清单。若将IP白名单设置为%或者0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让PolarDB集群得到高级别的访问安全保护。集群IP白名单设置了0.0.0.0/0或%,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | Elasticsearch实例IP白名单设置了0.0.0.0/0(2.0模型新增) | 实例IP白名单指允许访问Elasticsearch实例的IP清单。若将IP白名单设置为 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | Redis实例IP白名单设置了0.0.0.0/0(2.0模型新增) | IP白名单指允许访问Redis实例的IP清单。若将IP白名单设置为0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让数据库实例得到高级别的访问安全保护。实例IP白名单设置了0.0.0.0/0,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据传输过程应使用TLS | SSL证书管理服务中的证书将在30天内到期(2.0模型新增) | SSL证书到期后,客户端将无法验证服务器的身份,可能会导致用户无法访问服务或者出现警告,影响用户体验。未能及时更新证书可能导致服务可用性下降,客户信任度降低,甚至可能导致数据泄露。此外,证书续费、更新往往需要一定周期,建议预留充足的时间更新证书,避免服务中断。数字证书管理服务中的证书,如果到期时间<=30天,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 安全组入网设置0.0.0.0/0和任意端口(2.0模型新增) | 禁止安全组规则允许所有IP地址 (0.0.0.0/0) 从任意端口访问,必须限制为特定IP段和端口。若安全组的入网规则中存在0.0.0.0/0且未指定具体端口,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | RDS实例IP白名单设置了0.0.0.0/0(2.0模型新增) | IP白名单指允许访问RDS实例的IP清单。若将IP白名单设置为0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让数据库实例得到高级别的访问安全保护。实例IP白名单设置了0.0.0.0/0,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | Elasticsearch实例开启了公网访问(2.0模型新增) | 为Elasticsearch开放公网访问可能会带来安全风险。一旦实例对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许Elasticsearch实例从VPC内网访问,并设置合适的IP白名单,同时配置合适的访问控制。实例开启了公网访问地址,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据传输过程应使用TLS | CDN域名未配置HTTP强制跳转到HTTPS(2.0模型新增) | CDN仅使用HTTP协议对外提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,如用户凭证和私人数据,进而导致数据泄漏。最佳实践建议对外提供服务的CDN域名,使用HTTPS协议,并将HTTP监听上的请求强制跳转到HTTPS协议的监听,确保数据传输过程中都是加密的。CDN域名HTTPS配置的强制跳转类型未设置成HTTPS -> HTTP,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | ECS实例未禁止绑定公网地址(2.0模型新增) | 防止ECS实例直接暴露在公网以减少被攻击的风险,建议通过NAT网关或负载均衡器接入公网。若存在ECS实例绑定了公网地址,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | Redis实例设置了公网连接地址(2.0模型新增) | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中。另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。实例开启了公网访问地址,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据传输过程应使用TLS | CDN域名未配置HTTPS(2.0模型新增) | CDN仅使用HTTP协议对外提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,如用户凭证和私人数据,进而导致数据泄漏。最佳实践建议对外提供服务的CDN域名,使用HTTPS协议,并将HTTP监听上的请求强制跳转到HTTPS协议的监听,确保数据传输过程中都是加密的。CDN域名未开启HTTPS安全加速功能,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | RDS实例设置了公网连接地址(2.0模型新增) | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中。另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。实例开启了公网访问地址,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | Elasticsearch实例的Kibana服务开启了公网访问(2.0模型新增) | 为Kibana开放公网访问可能会带来安全风险。一旦实例对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许Kibana实例从VPC内网访问,并设置合适的IP白名单,同时配置合适的访问控制。Elasticsearch实例的Kibana服务开启了公网访问,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | 表格存储实例设置了公网访问(2.0模型新增) | 表格存储默认会为每个实例创建一个公网域名、一个VPC域名以及一个经典网域名。其中,公网域名对互联网可见,任意用户可以在互联网通过公网域名访问表格存储资源。经典网域名是对同地域的ECS服务器可见,应用程序从同地域的经典网络ECS服务器上可以通过经典网域名访问该实例。最佳实践建议实例只允许来源于控制台或VPC的访问。限制实例无法通过公网或者经典网来访问实例,能够提供更好的网络隔离能力,提升数据安全性。表格存储实例网络类型设置为“限定控制台或VPC访问”或“限定绑定VPC访问”,则认为符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据传输过程应使用TLS | API网关中开启公网访问的API未配置HTTPS(2.0模型新增) | 对外提供的API仅使用HTTP协议对外提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,如用户凭证和私人数据,进而导致数据泄漏。最佳实践建议对外提供服务的API,使用HTTPS协议,并将HTTP监听上的请求强制跳转到HTTPS协议的监听,确保数据传输过程中都是加密的。API网关关联的域名未配置HTTPS协议,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 安全组对公网开放高危端口(22/3389/……)(2.0模型新增) | 禁止安全组规则允许公网访问SSH(22)和RDP(3389)等高危端口,以防网络攻击和未经授权访问。若安全组对公网开放SSH(22)、RDP(3389)等高危端口,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | MongoDB实例设置了公网连接地址(2.0模型新增) | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。实例开启了公网访问地址,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | MongoDB实例IP白名单设置了0.0.0.0/0(2.0模型新增) | IP白名单指允许访问MongoDB实例的IP清单。若将IP白名单设置为0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让数据库实例得到高级别的访问安全保护。实例IP白名单设置了0.0.0.0/0,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据传输过程应使用TLS | SLB服务器证书距离到小于30天(2.0模型新增) | 确保SLB使用的服务器证书在30天内不会过期,以避免证书到期导致的传输加密失效。若SLB服务器证书的剩余有效期小于或等于30天,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据存储实例应避免开放公网访问 | OSS Bucket允许组织外的账号访问(2.0模型新增) | 确保OSS Bucket仅限于组织内部账号访问,防止数据泄露风险。若OSS Bucket允许组织外的账号访问,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络边界防护 | VPC互访流量未完全接入VPC边界防火墙防护(2.0模型新增) | 该检测项要求所有VPC的互访流量都必须通过云防火墙的VPC边界防火墙进行防护,以降低私网内部流量的风险。如果使用了云防火墙,但存在未开启VPC防火墙的VPC互访流量,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
主机漏洞 | 未开启防病毒功能(2.0模型新增) | 开启病毒查杀功能可有效清理服务器的各类恶意威胁,可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等风险进行有效防护。若购买了云安全中心防病毒,企业版,旗舰版,未配置病毒查杀周期性扫描策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙IPS未开启虚拟补丁(2.0模型新增) | 云防火墙的入侵防御模块(IPS)应当开启虚拟补丁功能。云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙可用授权数不足(2.0模型新增) | 该检测项确保云防火墙的规格在可用授权数方面是合理的。如果使用了云防火墙,但未开启互联网边界防火墙防护的公网IP资产的数量超过了可用防护的授权数,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
告警处理 | 存在待处理云安全中心告警(2.0模型新增) | 安全告警事件是指云安全中心检测到的您服务器或者云产品中存在的威胁,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型,及时处理告警可提升资产安全态势。若未处理告警数大于0,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | 网站类的DDoS AI智能防护设置为严格模式(2.0模型新增) | AI智能防护旨在提升网站的安全性能,然而,在策略配置中启用严格模式时,需注意其可能会对业务造成一定的误拦截。因此,严格模式更适用于网站性能较差或防护效果不尽如人意的网站场景。值得注意的是,网站域名类业务接入对常见四层攻击已有天然的防护能力。所以对于大多数网站业务,建议不要开启AI智能防护中的严格模式,而应采用默认的正常模式以平衡防护效果和业务连续性。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙策略未创建ACL策略(2.0模型新增) | 开启防火墙开关后,如果您未配置访问控制(ACL)策略,云防火墙在访问控制策略匹配环节中默认放行所有流量。您可以根据业务需要,配置不同防火墙的流量拦截和放行策略,以便更好地管控资产的未授权访问。如果使用了云防火墙但未创建过访问控制策略,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | NAT网关未完全接入NAT边界防火墙防护(2.0模型新增) | 为了降低私网访问公网的风险,所有NAT网关实例都应当接入云防火墙NAT边界防火墙防护。如果使用了云防火墙,但存在未开启防护的NAT网关,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙IPS未开启拦截模式(2.0模型新增) | 云防火墙的入侵防御模块(IPS)应配置为拦截模式,以便对恶意流量进行拦截,阻断入侵活动。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙IPS未开启威胁情报(2.0模型新增) | 云防火墙的入侵防御模块(IPS)应开启威胁情报功能,以便扫描侦查威胁情报,并提供中控情报阻断。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
监控和审计 | 未收集云防火墙日志并存储180天及以上(2.0模型新增) | 云防火墙自动记录所有流量,并通过可视化日志审计页面提供便捷的攻击事件、流量细节和操作日志查询功能,使得攻击溯源和流量审查变得简单快捷。云防火墙默认存储7天的审计日志,以满足基本的审计和分析需求。然而,为了更好地满足合规性要求和提升安全性能,我们推荐将日志存储期限延长至180天以上。如果购买了包年包月版本云防火墙但未收集云防火墙日志并存储180天及以上,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
主机漏洞 | 存在待修复漏洞(2.0模型新增) | 漏洞管理是一个持续、主动的过程,可保护系统、网络、企业应用程序,防范网络攻击和数据泄漏,通过及时解决潜在的安全弱点可防止攻击并在发生攻击时将损害降到最低。若阿里云账号下待修复的漏洞数量大于0,则视为不合规。 | 暂不支持快速修复。 | 否 |
业务风控 | 未开启网页防篡改(2.0模型新增) | 网页防篡改功能可实时监控网站目录或文件,并可在网站被恶意篡改时通过备份数据恢复被篡改的文件或目录,防止网站被植入非法信息,保障网站正常运行。若购买了防篡改功能,绑定服务器台数为0,则视为不合规。 | 暂不支持快速修复。 | 否 |
主机漏洞 | 存在待修复主机基线(2.0模型新增) | 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,及时修复基线风险可加固系统安全,降低入侵风险并满足安全合规要求。若阿里云账号下未修复的基线数量大于0,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙IPS未开启基础防御(2.0模型新增) | 云防火墙的入侵防御模块(IPS)应开启基础防御功能。基础防御可提供基础的入侵防御能力,包括暴力破解拦截、命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙防护带宽规格不足(2.0模型新增) | 该检测项确保云防火墙的规格在防护带宽规格方面是合理的。如果使用了云防火墙,但近30天实际带宽峰值超过了购买的防护带宽,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙未配置默认拒绝策略(2.0模型新增) | 为了确保网络安全,云防火墙应配置默认拒绝策略(即在入向/出向上访问源与目的均为0.0.0.0/0,动作为拒绝的 IPv4 地址版本策略)。除了明确允许的可信流量外,所有其他流量都应被默认阻止。如果使用了云防火墙但未配置默认拒绝策略,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 云防火墙未防护所有的公网资产(2.0模型新增) | 该检测项确保所有公网资产均受到云防火墙的保护。如果使用了云防火墙,但存在未开启互联网边界防火墙防护的公网IP资产,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | 原生防护未添加相应的防护对象(2.0模型新增) | 购买DDoS原生防护或高防实例后,您需要将公网IP资产添加为防护对象,DDoS才可以为其提供DDoS防护能力。否则无法起到防护效果,并且造成一定的成本浪费。 | 暂不支持快速修复。 | 否 |
容器漏洞 | 未配置容器镜像扫描(2.0模型新增) | 当镜像自身存在系统漏洞、应用漏洞,或者镜像被替换为带有恶意样本的带毒镜像,基于“问题镜像”创建的服务则存在漏洞,对镜像仓中的镜像执行安全扫描,安全人员可将扫描结果推送到开发人员,修复镜像问题,确保业务的安全。若购买了容器镜像扫描,扫描设置中没有配置扫描范围,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用运行时安全 | 未创建应用防护配置(2.0模型新增) | 通过在应用运行时检测攻击并进行应用保护,可有效保护Java应用,预防0Day漏洞攻击,为应用提供安全防御。若购买应用防护的客户未创建应用配置,分组为0,则视为不合规。 | 暂不支持快速修复。 | 否 |
主机漏洞 | 未开启防勒索策略(2.0模型新增) | 勒索病毒入侵会对客户业务数据进行加密勒索,导致业务中断、数据泄露、数据丢失等,从而带来严重的业务风险,及时配置防勒索策略可有效降低此类风险。若购买了防勒索功能,未创建防护策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络边界防护 | 未使用云防火墙防护网络流量(2.0模型新增) | 阿里云云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。若未使用云防火墙,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议对多账号身份进行统一管理 | 通过使用云SSO,可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对资源目录RD(Resource Directory)成员账号的访问权限。如果存在超过 90 天未登录使用云SSO,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议对多账号操作日志进行中心化归集 | 操作审计仅默认为每个阿里云账号记录最近90天的事件,创建跟踪可以帮助企业持久化存储操作记录,满足内外合规需求。多账号跟踪帮助企业管理员集中对企业内多账号进行日志的统一跟踪和审计,当前未检测到存在多账号跟踪,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议使用管控策略进行多账号边界防护 | 资源目录管控策略,使得组织可以限制成员账号能够访问的云服务以及能够执行的操作,集中管理成员账号的权限边界,确保整个组织遵守统一的安全和合规性标准。当前未检测该账号创建自定义管控策略并绑定到资源目录的资源夹或成员,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
实例规格 | ECS 资源存在未使用高可用实例规格 | 使用 ECS 共享型或已停售的实例规格,无法保证实例计算性能的稳定。使用已停售或者共享型的 ECS 规格族实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ElasticSearch 资源存在未使用高可用实例规格 | 1核2GB的 Elasticsearch 规格实例只适合于测试场景,不适用于生产环境。使用规格为1核2GB的 ElasticSearch 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | RDS 资源存在未使用高可用实例规格 | 未使用独享类型、集群版或高可用版 RDS 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ACK 资源存在未使用高可用实例规格 | ACK Pro 托管版集群相比原托管版进一步增强了集群的可靠性、安全性和调度性,适合生产环境下有着大规模业务。未使用专业版的托管类型集群,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | Redis 资源存在未使用高可用实例规格 | Redis 企业版提供更强的性能、更多的数据结构和更灵活的存储方式。未使用 Redis 企业版,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | MongoDB 资源存在未使用高可用实例规格 | MongoDB 采用单节点架构时,故障恢复时间较长且无 SLA 保障。未使用多可用区的 MongoDB 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ONS 资源存在未使用高可用实例规格 | 标准版 RocketMQ 版采用共享实例,不建议在生产环境使用。使用共享版 RocketMQ 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | PolarDB 资源存在未使用稳定版本 | PolarDB 数据库小版本状态不为 stable,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | Redis 资源存在未使用稳定版本 | Redis 实例未升级至最新小版本,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ACK 资源存在未使用稳定版本 | ACK 集群未升级到最新版本,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | MSE引擎版本存在风险(2.0模型新增) | 使用最新的MSE引擎版本是确保MSE服务连续性的关键,如果引擎版本过低可能会导致:代码存在缺陷引发GC无法回收,内存溢出导致内存持续上涨;启动速度过慢,Json序列化缺陷等问题。如果MSE-ZK或者MSE-Ans引擎版本或者MSE-Ans客户端版本过低,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ElasticSearch 资源存在未使用稳定版本 | Elasticsearch 实例所使用的版本在不推荐版本范围内,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ECS 资源存在未使用稳定版本 | ECS 实例使用停止支持的 OS 版本,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | MSE-Ingress网关版本存在安全或稳定风险(2.0模型新增) | 使用最新版本的Ingress是确保网关服务连续性的关键,如果版本过低可能会导致:存在安全或稳定风险;可能导致订阅Nacos服务的实例列表不准确等问题。如果MSE-Ingress版本过低,则视为不合规。 | 暂不支持快速修复。 | 否 |
到期风险 | DDoSCOO 资源存在到期风险 | DDos 实例的到期时间距离当前时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的DDoSCOO预付费实例资源开启自动续费。 | 否 |
到期风险 | EIP 资源存在到期风险 | EIP 预付费实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的EIP预付费实例资源开启自动续费。 | 否 |
到期风险 | CEN 资源存在到期风险 | 云企业网带宽包的到期时间距离当前时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的CEN预付费实例资源开启自动续费。 | 否 |
到期风险 | RDS 资源存在到期风险 | RDS 预付费实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的RDS预付费实例资源开启自动续费。 | 否 |
到期风险 | ADB 资源存在到期风险 | ADB 数仓版实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的ADB预付费实例资源开启自动续费。 | 否 |
到期风险 | PolarDB 资源存在到期风险 | PolarDB 预付费实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的PolarDB预付费实例资源开启自动续费。 | 否 |
到期风险 | 堡垒机资源存在到期风险 | 堡垒机实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的堡垒机预付费实例资源开启自动续费。 | 否 |
到期风险 | SLB 资源存在到期风险 | SLB 预付费实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的SLB预付费实例资源开启自动续费。 | 否 |
到期风险 | Redis 资源存在到期风险 | Redis 预付费实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的Redis预付费实例资源开启自动续费。 | 否 |
到期风险 | MongoDB 资源存在到期风险 | MongoDB 预付费实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的MongoDB预付费实例资源开启自动续费。 | 否 |
到期风险 | DRDS 资源存在到期风险 | PolarDB-X1.0 以及 PolarDB-X2.0 实例的到期时间距离当前时间小于30天且未开启自动续费,则视为不合规。 | 暂不支持快速修复。 | 否 |
到期风险 | CBWP 资源存在到期风险 | 共享带宽实例的到期时间距离当前时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的CBWP资源开启自动续费。 | 否 |
到期风险 | ECS 资源存在到期风险 | ECS 预付费实例到期时间距离检查时间小于30天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的ECS预付费实例资源开启自动续费。 | 否 |
删除保护 | EIP 资源存在未开启删除保护 | EIP 实例未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | PolarDB 资源存未开启集群保护锁 | PolarDB 实例未开启集群保护锁,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | MongoDB 存在资源未开启释放保护 | MongoDB 实例未开启释放保护,则视为不合规。 | 暂不支持快速修复。 | 否 |
删除保护 | ALB 资源存在未开启删除保护 | ALB 实例未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | ACK 资源存在未开启删除保护 | ACK 集群未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | RDS 资源存在未开启释放保护 | RDS 实例未开启释放保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | SLB 资源存在未开启删除保护 | SLB 实例未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | ECS 资源存在未开启释放保护 | ECS 实例未开启释放保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | Redis 资源存在未开启释放保护 | Redis 实例未开启释放保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,请先至实例详情页面关闭删除保护开关。 | 否 |
变更管理 | RDS 资源可维护时间段存在不合理窗口 | RDS 实例的可维护时间段不在02:00-06:00,06:00-10:00范围内,则视为不合规。 | 此修复将会为您统一修改选中实例的可维护时间段。根据最佳实践已为您推荐了一个可维护时段建议,您可以根据企业实际需求修改此参数。 | 否 |
变更管理 | PolarDB 资源可维护时间段存在不合理窗口 | PolarDB 集群的可维护时间段不在02:00-04:00,06:00-10:00范围内,则视为不合规。 | 此修复将会为您统一修改选中实例的可维护时间段。根据最佳实践已为您推荐了一个可维护时段建议,您可以根据企业实际需求修改此参数。 | 否 |
变更管理 | ECS 资源可维护时间段存在不合理窗口 | ECS 实例创建快照会暂时降低块存储I/O性能,自动快照策略中设置的快照创建时间点不在1,2范围内,则视为不合规。 | 此修复将会为您统一修改选中快照策略中自动创建时间,使快照时间处于合理范围内,避免对业务产生影响。根据最佳实践已为您推荐了一个创建时间,您可以根据企业实际需求修改此参数。 | 否 |
变更管理 | Redis 资源可维护时间段存在不合理窗口 | Redis 实例自动备份的时间段不在04:00-05:00,05:00-06:00,12:00-13:00范围内,则视为不合规。 | 暂不支持快速修复。 | 否 |
变更管理 | ADB 资源可维护时间段存在不合理窗口 | ADB 集群的可维护时间段不在02:00-04:00,06:00-08:00,12:00-13:00范围内,则视为不合规。 | 此修复将会为您统一修改选中实例的可维护时间段。根据最佳实践已为您推荐了一个可维护时段建议,您可以根据企业实际需求修改此参数。 | 否 |
数据备份 | ECI 资源存在未设置数据备份 | ECI 弹性实例容器组未挂载数据卷,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份 | Redis 资源存在未设置数据备份 | Tair 类型的Redis实例未开启增量备份,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份 | ElasticSearch 资源存在未设置数据备份 | Elasticsearch 实例未开启自动备份,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份 | MongoDB 资源存在未开启日志备份 | MongoDB 实例未开启日志备份,则视为不合规。 | 此修复将会为选中MongoDB集群启用日志备份,默认存储周期为7天。 | 否 |
数据备份 | AnalyticDB MySQL 版存在未开启日志备份 | ADB 集群未开启日志备份,则视为不合规。 | 此修复将会为选中AnalyticDB MySQL版集群开启日志备份,默认存储周期为7天。 | 否 |
数据备份 | RDS 资源存在未开启日志备份 | RDS 实例未开启日志备份,则视为不合规。 | 此修复将会为选中RDS实例开启日志备份,默认存储周期为7天。 | 否 |
数据备份 | OSS 存储空间存在未开启版本控制 | 如果 OSS 实例没有开启版本控制,会导致数据被覆盖或删除时无法恢复。OSS 实例未开启版本控制,则视为不合规。 | 此修复将会为选中OSS实例启用版本控制。开启版本控制后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。您在错误覆盖或者删除对象(Object)后,能够将Bucket中存储的Object恢复至任意时刻的历史版本。 | 否 |
数据备份 | PolarDB 资源存在未设置数据备份 | PolarDB 集群未开启二级备份,且保留周期大于等于30,则视为不合规。 | 此修复将会为选中PolarDB集群设置数据的二级备份周期和二级备份保留周期(默认为30天),如果当前未启用二级备份,将会会自动开启。 | 否 |
主机快照 | ECS 资源存在未开启主机快照 | ECS 磁盘未设置自动快照策略,则视为不合规。 | 此修复将会为选中ECS磁盘实例启用指定的快照策略,由于每个地域的快照策略相互独立,如选中磁盘所在地域存在同名策略将会使用已存在策略,否则将会新建快照策略。 | 否 |
多可用区架构 | ElasticSearch 资源存在未使用多可用区架构 | 未使用多可用区的 Elasticsearch 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | Redis 资源存在未使用多可用区架构 | 未使用多可用区的 Redis 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | RDS 资源存在未使用多可用区架构 | 未使用多可用区的 RDS 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | MSE相关组件存在单可用区部署风险(2.0模型新增) | 建议MSE的相关组件采用多可用区部署架构,来提升其稳定性。如果MSE相关组件是单可用区部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | OSS 资源存在未使用多可用区架构 | OSS 存储空间未开启同城冗余存储,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | MongoDB 资源存在未使用多可用区架构 | 未使用多可用区的 MongoDB 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | MSE网关存在单可用区架构风险(2.0模型新增) | 当前网关所有实例副本均部署在同一个可用区(AZ)中,这样的部署形态不具备高可用能力,极端情况下您的业务可能会受损。请尽快升级到新版本,以将网关实例打散到多个可用区。如果MSE Ingress网关组件是单可用区架构,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | SLB 资源存在未使用多可用区架构 | SLB 实例为单可用区,或者 SLB 实例下存在监听使用的服务器组中未添加多个可用区的资源,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | PolarDB 资源存在未使用多可用区架构 | PolarDB 集群未开启存储热备集群,数据分布在单可用区,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | CEN 资源存在未使用集群架构 | 云企业网实例关联的 VBR 未设置健康检查,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | ACK集群存在单点部署风险(2.0模型新增) | 使用区域级集群能够实现跨区域的容灾能力。若存在未使用区域级集群的ACK集群,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | PolarDB 资源存在未使用集群架构 | 未使用的 PolarDB 产品系列为集群版或者多主架构集群版,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | MSE网关存在单点部署风险(2.0模型新增) | 单节点实例存在架构风险,单点故障会导致服务不可用。建议扩容到2节点及以上。如果MSE Ingress组件是单节点部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | MSE相关资源存在单点部署风险(2.0模型新增) | 对于MSE ZK组件,建议扩容到3节点及以上;对于Nacos-Ans组件建议扩容到3节点以上。如果MSE相关组件是单节点部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控发现 | 核心云产品资源存在未设置监控报警规则 | 实现资源监控全覆盖是保证业务持续性的基础与关键,为云产品资源设置报警规则是实现云产品资源监控的必要手段。如果存在云产品资源未被任何报警规则覆盖的情况,则视为不合规。 | 此修复为未配置云监控的云资源类型,自动启用基于最佳实践的报警规则。默认通知到“云账号报警联系人”类型的消息接收人,请确认设置正确。启用完成后可以在云监控的一键报警功能中查看启用状态或更新报警参数。 | 否 |
监控发现 | ACK 集群存在未配置 Prometheus 监控 | ACK 集群接入监控,可以帮助开发运维人员查看系统的运行状态,包括基础设施层、容器性能层等。对所有 ACK 集群,如果未配置“开启阿里云 Prometheus 监控”,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控发现 | ACK 集群存在未配置应用监控 | 针对分布式、微服务化应用,可通过接入 ARMS 应用实时监控服务进行全链路追踪及代码级实时性能监测,帮助运维人员随时掌握应用健康状况。对于部署在容器服务 Kubernetes 版或者云服务器 ECS 中的应用,如果未接入 ARMS 应用实时监控服务,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控告警 | 对持续告警的报警规则未进行及时处理 | 报警规则长期持续处于报警状态是需要关注和治理的问题。通常情况下,需要尽快排除问题让监控指标恢复正常水位,或者需要结合实际情况调整报警规则,避免因大量报警信息或着报警疲劳干扰影响正常的监控运维工作。对所有在云监控设置的报警规则,如果存在持续处于报警状态超过24小时的报警规则即视为不合规。 | 暂不支持快速修复。 | 否 |
监控告警 | 未配置高优告警规则 | 配置有效的告警规则可在业务系统在不符合运行预期时及时收到通知,以便及时做出应急响应。如果在阿里云 ARMS 服务中没有配置应用监控或者 Prometheus 监控对应的 P1 等级告警规则,或没有配置对应的通知策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控告警 | 高优告警未在指定时间内(30分钟)处理 | MTTx(Mean time to xx,平均XX时间,如 MTTR:告警平均恢复耗时)指标可作为告警处理效率的重要衡量指标,高优告警的及时响应可有效提高告警甚至是故障的恢复效率,从而提升业务系统的服务品质。如果没有配置应用监控或者 Prometheus 监控对应的 P1 等级告警规则,或存在30分钟内未解决(待认领、处理中、超过30分钟解决)的阿里云 ARMS 服务中的告警,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议对ARMS跨阿里云账号的资源统一监控 | 通过创建全局聚合实例,实现跨账号统一监控。当前未检测到该账号使用ARMS并创建globalview实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议开启多账号统一的资源配置检测 | 当前检测到此账号不满足以下两个条件,则视为不合规:1. 若存在账号组且账号组下已创建规则;2. 将不合规事件投递到SLS。 | 暂不支持快速修复。 | 否 |
实例容量 | MSE相关组件存在容量风险(2.0模型新增) | 确保资源容量在一个合理的范围内,如果超过了容量上限可能会导致稳定性风险。如果MSE有相关指标对应的容量超限,则视为不合规。 | 暂不支持快速修复。 | 否 |
异常事件监控 | 存在因欠费或因安全封禁被关机的ECS实例(2.0模型新增) | ECS实例出现被动停机会造成服务中断、数据丢失、数据不一致,影响系统性能或产生安全隐患。当前账号下存在因欠费或安全封禁被关机的ECS实例,则视为存在风险。 | 暂不支持快速修复。 | 否 |
异常事件监控 | 存在待处理的运维事件的ECS实例(2.0模型新增) | 未及时响应并处理ECS的计划内运维事件可能导致ECS实例在业务高峰期出现重启,进而影响ECS实例上的业务稳定性。当前账号下有待处理的ECS运维事件(事件状态为inquering/scheduled/executing)未处理,则视为存在风险。 | 暂不支持快速修复。 | 否 |
成本
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
资源成本优化 | RDS实例存在长时间资源使用率低的情况(2.0模型新增) | 维护RDS实例资源使用率长期保持在合理水位是云上成本管理重要工作。云平台为企业提供了各种规格的RDS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现RDS实例的成本管控。如果RDS实例存在CPU使用率、内存使用率以及磁盘使用率连续30天低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ECS实例存在长时间资源使用率低的情况(2.0模型新增) | 维护ECS实例资源使用率长期保持在合理水位是云上成本管理重要工作。云平台为企业提供了各种规格的ECS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现ECS实例的成本管控。如果ECS实例存在CPU使用率、内存使用率以及磁盘使用率连续30天低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ECS磁盘存在长时间资源使用率低的情况(2.0模型新增) | 维护ECS实例资源使用率长期保持在合理水位是云上成本管理重要工作。云平台为企业提供了各种规格的ECS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现ECS实例的成本管控。如果ECS磁盘存在使用率连续30天低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
资源成本优化 | RDS实例磁盘存在长时间资源使用率低的情况(2.0模型新增) | 维护RDS实例资源使用率长期保持在合理水位是云上成本管理重要工作。云平台为企业提供了各种规格的RDS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现RDS实例的成本管控。如果RDS磁盘存在使用率连续30天低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
资源成本优化 | EIP 资源存在闲置 | EIP 未绑定资源实例,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | VPC NAT 资源存在闲置 | VPC NAT 网关未绑定 EIP,或绑定的 EIP 未设置 SNAT/DNAT 条目,且网关创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | SLB 资源存在闲置 | SLB 负载均衡不存在运行中的监听,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ECS实例推荐使用包年包月付费方案或将按量付费的资源加入节省计划(2.0模型新增) | 长期稳定使用的资源建议采用包年包月付费的方案,正常情况下ECS实例包年包月的费用会低于按量付费的费用。节省计划是一种折扣权益计划,通过承诺在一定期限内使用稳定数量的资源,来换取较低的按量付费折扣。ECS实例存在按量付费的计费方案且未购买节省计划实例,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ECS 资源存在闲置 | ECS实例状态为已停止状态,且未设置停机节省模式,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | CR 资源存在闲置 | 容器镜像实例未创建命名空间或创建镜像仓库,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | VPN 资源存在闲置 | VPN 网关未配置目的路由策略或未开启路由自动传播,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | NAS 资源存在闲置 | NAS 文件系统未添加挂载点,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | RDS实例推荐使用包年包月付费方案(2.0模型新增) | 长期稳定使用的资源建议采用包年包月付费的方案。正常情况下RDS实例包年包月计费的费用会低于按量付费的费用。RDS实例存在按量付费的计费方案,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ALB 资源存在闲置 | ALB 负载均衡存在监听未添加后端服务器,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | NAT 资源存在闲置 | NAT 网关未绑定 EIP或绑定的 EIP 未设置 SNAT/DNAT 条目,且网关创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | CBWP 资源存在闲置 | 共享带宽未绑定资源实例,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ECS 磁盘存在闲置 | 云盘状态不为使用中,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | 未启用 “资源空闲检测最佳实践” 合规包 | 未在配置审计中开启资源空闲检测合规包,则视为不合规。 | 暂不支持快速修复。 | 否 |
成本分摊和分析 | 存在ACK集群未启用成本套件(2.0模型新增) | 传统方式面对云原生场景缺少有效的成本洞察和成本控制的手段,成本套件提供了资源浪费检查、资源费用预测等功能。存在ACK集群未启用成本套件功能,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
效率
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
自动化程度 | 存在用户调用Redis的弃用API(2.0模型新增) | 被弃用的 Redis API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 Redis API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用ECS的弃用API(2.0模型新增) | 被弃用的 ECS API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 ECS API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用CEN的弃用API(2.0模型新增) | 被弃用的 CEN API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 CEN API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用PolarDB的弃用API(2.0模型新增) | 被弃用的 PolarDB API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 PolarDB API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用VPC的弃用API(2.0模型新增) | 被弃用的 VPC API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 VPC API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用RocketMQ的弃用API(2.0模型新增) | 被弃用的 RocketMQ API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 RocketMQ API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用NAS的弃用API(2.0模型新增) | 被弃用的 NAS API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 NAS API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用CDN的弃用API(2.0模型新增) | 被弃用的 CDN API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 CDN API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用RDS的弃用API(2.0模型新增) | 被弃用的 RDS API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 RDS API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用ACK的弃用API(2.0模型新增) | 被弃用的 ACK API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 ACK API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用SLB的弃用API(2.0模型新增) | 被弃用的 SLB API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 SLB API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 存在用户调用ALB的弃用API(2.0模型新增) | 被弃用的 ALB API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 ALB API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 建议采用自动化方式管控资源 | 近30天内使用 SDK、Terraform、云控制 API、CADT、ROS、服务目录等自动化手段调用 OpenAPI 的比率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 建议采用自动化方式实现日常资源供给 | 近1年内使用非控制台调用 OpenAPI 创建资源的次数比率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化程度 | 建议采用自动化方式实现对资源持续管理 | 近30天内使用非控制台调用 OpenAPI 持续管理资源的次数比率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用RDS OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用NAS OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用ECS OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用VPC OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用Redis OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用ALB OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用SLB OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用CEN OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用RocketMQ OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用ACK OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用PolarDB OpenAPI存在被流控风险(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 调用CDN API的流量在正常范围内(2.0模型新增) | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | ACK额度存在饱和风险(2.0模型新增) | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化质量 | CDN额度存在饱和风险(2.0模型新增) | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险 | 暂不支持快速修复。 | 否 |
自动化质量 | ECS额度存在饱和风险(2.0模型新增) | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化质量 | VPC额度存在饱和风险(2.0模型新增) | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化质量 | SLB额度存在饱和风险(2.0模型新增) | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化质量 | CEN额度存在饱和风险(2.0模型新增) | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化质量 | 资源变更接口调用成功率未达100% | 近30天使用自动化手段(OpenAPI、云控制 API、SDK、Terraform 等)变更基础设施资源的成功率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 资源创建接口调用成功率未达100% | 近30天使用自动化手段(OpenAPI、云控制API、SDK、Terraform 等)创建基础设施资源的成功率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 未使用诊断工具观测和诊断错误(2.0模型删除) | 近一年内,从未使用 Request ID 在 OpenAPI 门户自助诊断与核心产品相关的报错,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 未通过配额平台自助查看配额或调整配额(2.0模型删除) | 近一年内,核心产品未在配额平台查看配额或使用自助申请功能,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | API 调用存在流控异常风险(2.0模型删除) | 近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 云产品资源额度存在饱和风险(2.0模型删除) | 近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 | 暂不支持快速修复。 | 否 |
统一控制 | 账号未被资源目录纳管 | 相比于多账号分散管理,统一管理多账号能够给企业带来权限、安全、成本方面的价值。当前账号不从属于任何资源目录,则视为不合规。 | 暂不支持快速修复。 | 否 |
统一控制 | 未使用资源组或标签进行财务单元分配(2.0模型删除) | 成本分摊是企业财务中成本可见、预算以及成本优化的基础。存在未关联资源组或标签的财务单元,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 关联资源被划分到不同资源组(2.0模型新增) | 有关联的资源如果没有放到统一资源组会导致基于资源组的权限、财务、运维等管理无法覆盖所有的目标资源。如果存在有关联的资源,但是不在同一个自定义资源组内,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 同一组织未使用多账号来管理资源 | 阿里云账号有多层含义,每个云账号都是完全隔离的租户,默认在资源访问、网络部署和身份权限都是完全独立和隔离的;云账号还关联账单,可以将不同业务部署在不同的云账号,实现成本的独立核算和出账。采用多账号管理从环境隔离、安全合规、业务创新等方面都能够给企业带来收益。同一个实体下存在两个及以上阿里云账号,则满足条件。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 未使用自定义资源组对资源进行分组 | 通过自定义资源组,可以更灵活地控制资源的访问和使用。若归属于自定义资源组的资源占总资源的比例小于75%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 未开启创建者标签 | 当企业在云上的资源规模不断扩大时,需要多人对云上资源进行管理。在成本、安全等场景下,需要有效识别资源的创建者,便于进行成本划分或者安全溯源,提高管理效率。若未开启创建者标签,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 未使用自定义标签对资源进行打标 | 通过自定义标签,用户能更灵活地识别、排序和组织各类资源。若打上自定义标签的资源占总资源的比例小于75%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 未使用预置标签 | 预置标签是指预先创建并作用于所有地域的一种标签,使用预置标签可以在资源实施阶段方便地绑定和管理云资源。若预置标签占自定义标签的比例小于80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议开启多账号日志集中收集 | 当前未检测到SLS日志审计可信服务状态开启,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议对账号所在资源目录设置委派管理员账号 | 用委派管理员账号可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务。如果资源目录管理账号(MA)启用的可信服务内未设置委派管理员账号,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议开启多账号资源搜索功能 | 通过使用资源目录管理多个阿里云账号,管理账号或委派管理账号可以查看和检索资源目录内所有成员的云上资源。如果未开启跨账号资源搜索,则视为不合规。 | 暂不支持快速修复。 | 否 |
多账号集中管理 | 建议使用多账号消息联系人的集中管理 | 通过资源目录消息联系人管理功能,实现跨账号消息联系人的集中管理。当前未检测到资源目录消息联系人或消息联系人未绑定到资源目录、资源夹或成员上,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
性能异常监测 | EBS云盘存在因空间使用率过高导致的性能风险(2.0模型新增) | 过高的磁盘空间使用率可能导致数据丢失的风险增加,帮助客户及早发现潜在的性能瓶颈,采取措施避免性能下降。如果存在EBS云盘的空间使用率超过80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能异常监测 | ECS资源存在因内存使用率过高导致的性能风险(2.0模型新增) | 保证核心云产品ECS的内存使用率处于健康水位,避免因内存不足导致的性能下降或服务中断风险。如果存在ECS实例的内存使用率过高,即在过去24小时内,ECS的内存使用率大于85%的时间累计超过9小时,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能异常监测 | EBS云盘存在因吞吐量过高导致的性能风险(2.0模型新增) | 帮助客户预防性能瓶颈,评估存储资源的分配是否合理,以及是否需要扩容,确保业务连续性。如果存在过去24小时内EBS云盘的IOPS或BPS使用率,超过该云盘类型对应IOPS或BPS的90%,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能异常监测 | ECS资源存在因CPU使用率过高导致的性能风险(2.0模型新增) | 保证核心云产品ECS的CPU使用率处于健康水位,是保障业务性能稳定和持续运行的基础。高负载不仅会导致应用响应变慢,还可能触发自动保护机制,如系统自动重启或服务降级。如果存在ECS实例的CPU使用率过高,即在过去24小时内CPU使用率大于85%的时间累计超过8小时,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能异常监测 | ECS资源存在性能无法自动扩展风险(2.0模型新增) | 核心云产品如ECS资源能够根据性能负载自动增加或减少资源,保障业务在运行过程中的动态平衡。如果存在ECS未开启弹性扩展,或已开启弹性扩展且24小时内弹性伸缩组的成功率低于90%,则视为不合规。 | 暂不支持快速修复。 | 否 |