本文为您介绍治理成熟度检测3.0模型支持的检测项,方便您查询和使用。
安全
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
人员身份管理 | 主账号未开启多因素认证MFA | 对于主账号身份,建议启用MFA提供更高级的安全保护。当前主账号未开启MFA,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 主账号近 90 天登录过控制台 | 主账号权限极大,无法进行条件限制(如访问来源IP、访问时间等),一旦泄漏风险极大。当前主账号在近三个月内登录过,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 建议对多账号身份进行统一管理 | 通过使用云SSO,可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对资源目录RD(Resource Directory)成员账号的访问权限。如果存在超过 90 天未登录使用云SSO,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 未使用 RAM 管理身份 | 主账号权限极大,一旦泄漏风险极大。日常操作建议通过 RAM 身份的方式进行。当前账号下未存在任何 RAM 身份,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 未启用 RAM SSO 方式登录控制台 | 通过 SSO 集中化管控人员身份,能够提升人员身份的管理效率,降低风险。当前账号下未配置 RAM SSO,或在 30 天内有无通过 SSO 的登录行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 未启用 RAM SCIM 同步用户 | 通过 SCIM 可以便捷地将企业内的人员身份同步到阿里云上,无需手动创建用户。当前账号下未配置 SCIM 同步,或同步的用户在 2 个月内无登录行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 存在未启用 MFA 的 RAM 用户 | MFA 将为 RAM 用户提供更高的安全保护。RAM 用户启用了控制台登录后,如果未设置 MFA,则视为不合规。 | 暂不支持快速修复。 | 是 |
人员身份管理 | 存在闲置的 RAM 用户 | RAM 用户启用控制台登录时会设置登录密码。时间越长,密码暴露的风险就越高。如果存在超过 90 天未登录的闲置 RAM 用户,则视为不合规。 | 此项修复将禁用选中的 RAM 用户的控制台登录配置,禁用后该 RAM 用户将无法正常通过控制台登录,请确保选中的 RAM 用户不再需要登录。 | 是 |
人员身份管理 | RAM 用户未设置完全的密码强度规则 | 通过提升密码强度可以有效降低密码被撞库和暴力破解的风险。未设置较强的密码强度、密码有效期和历史密码检查策略以及密码重试约束,则视为不合规。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 存在启用控制台登录同时又保有AccessKey 的 RAM 用户 | 在任何场景下,我们都推荐单一职责原则。当前账号下有 RAM 用户存在 AccessKey 并且开启了控制台登录,则视为不合规。如果当前账号开启了用户SSO,将忽略控制台登录配置,若用户在近7天内登录过,且存在AccessKey,则视为不合规。 | 此项修复将禁用选中的 RAM 用户的控制台登录配置,禁用后该 RAM 用户将无法正常通过控制台登录,请确保选中的 RAM 用户不再需要登录。 | 是 |
程序身份管理 | 主账号存在启用的 AccessKey | 主账号 AccessKey 等同于主账号权限,无法进行条件限制(如访问来源 IP、访问时间等),一旦泄漏风险极大。有存在的主账号 AccessKey,则视为不合规。 | 暂不支持快速修复。 | 是 |
程序身份管理 | 程序访问未采用无 AccessKey 方案 | 当前账号下 ECS 未配置实例角色,且 ACK 未开启 RRSA 插件,则视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | ECS实例未使用加固模式的Metadata Service | 确保ECS实例使用加固模式的Metadata Service(V2版本),以防止V1版本可能导致的STS Token泄漏。若ECS实例使用V1版本的Metadata Service,则视为不合规。客户需将Metadata Service升级至V2版本进行治理。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 存在闲置的 AccessKey | RAM 用户 AccessKey 具备访问阿里云 API 的能力,在外部暴露的时间越长,则泄漏风险越高。RAM 用户 AccessKey 超过 365 天未使用,则视为不合规。 | 此项修复将会禁用选中的 AccessKey,禁用后该 AccessKey 将无法正常使用,请确保选中的 AccessKey 未在任何程序或应用中使用。 | 是 |
程序身份管理 | 存在未定期轮转的 AccessKey | 通过定期轮转,降低 AccessKey 暴露时长,进而降低 AccessKey 泄漏风险。RAM 用户 AccessKey 使用超过 365 天,则视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 存在同时启用两个 AccessKey 的 RAM 用户 | 一个 RAM 用户启用两个 AccessKey,会导致 RAM 用户丧失轮转能力,带来更大的风险。单个 RAM 用户存在两个 AccessKey,则视为不合规。 | 此项修复将会禁用选中的 AccessKey,禁用后该 AccessKey 将无法正常使用,请确保选中的 AccessKey 未在任何程序或应用中使用。 | 是 |
程序身份管理 | 存在泄露且未处理的 AccessKey | AccessKey 泄漏后,攻击者可以利用该 AccessKey 访问您的资源或数据,造成安全事故。有未处理的 AccessKey 泄漏事件,则视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | Redis实例未开启密码认证(3.0模型新增) | 如果Redis实例未在专有网络下开启密码认证或配置不当,可能会导致数据泄露、未经授权的恶意操作、网络安全隐患以及业务中断等风险。Redis实例在专有网络下关闭密码认证,视为不合规。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 存在待删除的 KMS 密钥(3.0模型新增) | 确保使用中的主密钥未设置为待删除,避免因误操作被删除,影响业务运行。KMS主密钥已设置为待删除,视为不合规。 | 暂不支持快速修复。 | 否 |
权限管理 | 存在过多非管理员的 RAM 身份被授予费用中心高风险权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。对于拥有账单和费用中心产品(BSS)写权限的 RAM 身份来说,可以修改订单、发票、合同、账单等信息,执行交易、提现等资金操作,管理不善可能会造成资产损失。在当前阿里云账号下,拥有 bss:*、bssapi:*、bss:PayOrder、bss:Modify*、bss:Create*、bss:*Order*、bss:Delete* 等写类型权限的 RAM 身份数小于等于3个,则认为满足要求。 | 暂不支持快速修复。 | 否 |
权限管理 | 所有 RAM 身份都被授予了 Admin 权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限,避免给所有的 RAM 身份都赋予 Admin 权限,导致身份泄漏后对业务造成影响。有 RAM 身份被授予了非 Admin 权限,则认为满足要求。 | 暂不支持快速修复。 | 否 |
权限管理 | 存在过多 RAM 身份被授予 Admin 权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。Admin 权限可以对账号下的任意资源执行任意操作,避免给过多的 RAM 身份授予 Admin 权限,以免身份泄露对业务造成影响。在当前阿里云账号下,拥有 Admin 权限的 RAM 身份数小于等于3个,则认为满足要求。 | 暂不支持快速修复。 | 否 |
权限管理 | 存在过多非管理员的 RAM 身份被授予高危特权 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。具有 RAM 产品写权限的 RAM 身份,可以创建新的身份或修改已有身份的权限,造成过度授权,为账号内资源的安全性和保密性带来风险。在当前阿里云账号下,拥有 ram:*、ram:Create*、ram:Update*、ram:Delete* 等写类型权限的 RAM 身份数小于等于3个,则认为满足要求。 | 暂不支持快速修复。 | 否 |
权限管理 | 存在非管理员的 RAM 身份被授予所有 KMS Key 的解密权限 | 使用KMS,您可以控制谁可以使用您的KMS密钥并访问您的加密数据。RAM策略定义了身份(用户,组或角色)可以对哪些资源执行哪些操作。按照安全最佳实践,建议权限最小化,即只应授予身份所需的权限,且只能对需要使用的密钥进行授权,否则可能会造成数据的越权访问。不要为用户授予所有密钥的访问权限,而是确定用户访问加密数据所需的最小密钥集,然后给用户仅授予这些密钥的访问策略。例如,不要允许对所有KMS密钥使用kms:Decrypt权限。相反,只在您的账号的特定区域的特定密钥上允许该权限。通过采用最少权限原则,您可以降低无意泄露数据的风险。 | 暂不支持快速修复。 | 否 |
权限管理 | RAM身份存在闲置的产品级权限 | 在为RAM身份授予权限策略后,如果该策略中定义的权限在指定时间内未被使用,则认为该权限闲置。出现这种情况的原因可能是当前RAM身份的职能发生变化,或之前定义的权限范围过大。最佳实践建议定期回收闲置权限,以实现精细化授权。如果该RAM身份有180天未使用的产品级权限,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
权限管理 | RAM身份存在闲置的高危操作权限 | 在为RAM身份授予权限策略后,如果该策略中定义的操作(即Action)在指定时间内未被使用,则认为该操作权限闲置。出现这种情况的原因可能是当前RAM身份的职能发生变化,或之前定义的权限范围过大。最佳实践建议定期回收闲置权限,以实现精细化授权。对于一些高危操作(如RAM的创建用户)的闲置情况,更应该及时回收,避免一些安全事件的产生。如果该RAM身份有180天未使用的高危操作权限,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
权限管理 | 没有 RAM 用户继承用户组的授权 | 默认情况下,RAM用户、组和角色无法访问任何资源。通过RAM策略为用户、组或角色授予权限。建议直接将RAM策略应用于组和角色,而不是用户。通过组或角色级别分配权限,可以降低随着用户数量的增长带来的管理复杂性,同时降低无意间扩大某个RAM用户权限的风险。有任何一个RAM用户继承了RAM用户组授权则认为符合最佳实践。 | 暂不支持快速修复。 | 否 |
权限管理 | 建议使用管控策略进行多账号边界防护 | 资源目录管控策略,使得组织可以限制成员账号能够访问的云服务以及能够执行的操作,集中管理成员账号的权限边界,确保整个组织遵守统一的安全和合规性标准。当前未检测该账号创建自定义管控策略并绑定到资源目录的资源夹或成员,则视为不合规。 | 暂不支持快速修复。 | 否 |
权限管理 | 未使用访问分析器进行权限管理(3.0模型新增) | 访问分析器可以帮助用户识别当前账号或资源目录内与外部账号共享的资源,帮助您识别非预期的资源分享,降低企业安全风险;同时可以帮助您识别和查看资源目录或当前账号内过度授权的身份,对存在过度授权的身份生成对应的分析结果。 | 暂不支持快速修复。 | 否 |
日志收集与归档 | 操作审计日志未设置长周期留存 | 未创建跟踪或者创建的跟踪中未归档所有地域、未归档所有读写操作或者归档存储周期少于180天,则视为不合规。 | 此修复将会完善当前账号已有的跟踪设置,其中包含启用完整的管控类读写事件和所有地域事件。请选择列表中至少一个已有跟踪完善设置。在修复后新产生的读写和全地域事件将会投递到跟踪的目标存储,在存储中历史事件不受影响。 | 否 |
日志收集与归档 | 建议对多账号操作日志进行中心化归集 | 操作审计仅默认为每个阿里云账号记录最近90天的事件,创建跟踪可以帮助企业持久化存储操作记录,满足内外合规需求。多账号跟踪帮助企业管理员集中对企业内多账号进行日志的统一跟踪和审计,当前未检测到存在多账号跟踪,则视为不合规。 | 暂不支持快速修复。 | 否 |
日志收集与归档 | 未收集云防火墙日志并存储180天及以上 | 云防火墙自动记录所有流量,并通过可视化日志审计页面提供便捷的攻击事件、流量细节和操作日志查询功能,使得攻击溯源和流量审查变得简单快捷。云防火墙默认存储7天的审计日志,以满足基本的审计和分析需求。然而,为了更好地满足合规性要求和提升安全性能,我们推荐将日志存储期限延长至180天以上。如果购买了包年包月版本云防火墙但未收集云防火墙日志并存储180天及以上,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
日志收集与归档 | 存在ESA站点未配置日志投递任务 | 该检测项确保站点至少配置一种类型的日志,以获取用户可以实时获取访问ESA资源的详细日志信息,便于监控、分析和优化内容分发性能。如果未配置,则视为不符合监控与审计的最佳实践。 | 暂不支持快速修复。 | 否 |
日志收集与归档 | 建议开启多账号日志集中收集 | 当前未检测到SLS日志审计可信服务状态开启,则视为不合规。 | 暂不支持快速修复。 | 否 |
日志收集与归档 | OSS 存储空间未开启日志转存功能(3.0模型新增) | 访问OSS的过程中会产生大量的访问日志。您可以通过日志转存功能将这些日志按照固定命名规则,以小时为单位生成日志文件写入您指定的存储空间(Bucket)。对于已存储的日志,您可以通过阿里云日志服务或搭建Spark集群等方式进行分析。OSS存储空间的日志管理中开启日志转存,视为“合规”。 | 暂不支持快速修复。 | 否 |
日志收集与归档 | EDAS未配置日志收集(3.0模型新增) | 阿里云企业级分布式应用服务EDAS联合日志服务推出日志功能,支持将部署在容器服务Kubernetes集群中的应用的相关业务文件日志、容器标准输出日志投递到日志服务进行查询与分析。EDAS未配置日志收集,则视为不合规。 | 暂不支持快速修复。 | 否 |
日志收集与归档 | OSS未开启日志实时查询功能(3.0模型新增) | OSS存储空间实时日志功能允许用户为指定的存储空间(Bucket)开启实时日志记录,以便将对存储空间的访问行为以日志形式记录下来。这些日志可以用于审计、监控和分析。对象存储未开启日志实时查询功能,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测 | 未设置资源变更或快照的投递 | 配置审计未设置资源变更或快照的投递,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测 | 未定期获取合规检测数据 | 若配置审计未设置不合规事件投递或七天内未查看检测结果,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测 | 云上资源存在不合规情况 | 配置审计已经启用的规则检测,如合规资源率低于100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测 | 建议开启多账号统一的资源配置检测 | 如果当前账号不满足以下两个条件,则视为不合规:
| 暂不支持快速修复。 | 否 |
合规检测 | 未启用配置审计 | 如果当前账号未开启配置审计,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测 | 未启用配置审计合规规则 | 如果当前账号未启用配置审计规则,则视为不合规。 | 暂不支持快速修复。 | 否 |
合规检测 | 配置审计合规规则未覆盖所有云上资源 | 根据规则覆盖的资源比率进行评估,如果资源类型覆盖率未达100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
计算资源防护 | 存在待修复漏洞 | 漏洞管理是一个持续、主动的过程,可保护系统、网络、企业应用程序,防范网络攻击和数据泄漏,通过及时解决潜在的安全弱点可防止攻击并在发生攻击时将损害降到最低。若阿里云账号下待修复的漏洞数量大于0,则视为不合规。 | 暂不支持快速修复。 | 否 |
计算资源防护 | 存在待修复主机基线 | 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,及时修复基线风险可加固系统安全,降低入侵风险并满足安全合规要求。若阿里云账号下未修复的基线数量大于0,则视为不合规。 | 暂不支持快速修复。 | 否 |
计算资源防护 | 未开启防病毒功能 | 开启病毒查杀功能可有效清理服务器的各类恶意威胁,可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等风险进行有效防护。若购买了云安全中心防病毒,企业版,旗舰版,未配置病毒查杀周期性扫描策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
计算资源防护 | 未开启防勒索策略 | 勒索病毒入侵会对客户业务数据进行加密勒索,导致业务中断、数据泄露、数据丢失等,从而带来严重的业务风险,及时配置防勒索策略可有效降低此类风险。若购买了防勒索功能,未创建防护策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
计算资源防护 | 未配置容器镜像扫描 | 当镜像自身存在系统漏洞、应用漏洞,或者镜像被替换为带有恶意样本的带毒镜像,基于“问题镜像”创建的服务则存在漏洞,对镜像仓中的镜像执行安全扫描,安全人员可将扫描结果推送到开发人员,修复镜像问题,确保业务的安全。若购买了容器镜像扫描,扫描设置中没有配置扫描范围,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用运行时防护 | 存在ESA站点未配置WAF托管规则 | 该检测项确保站点已配置托管规则,以针对Web和API应用程序的漏洞进行更好的防护。如果未配置,则视为不符合Web应用防护的最佳实践。 | 暂不支持快速修复。 | 否 |
应用运行时防护 | 存在ESA站点未配置WAF自定义规则 | 该检测项确保站点已配置WAF自定义规则,以检测并缓解该站点下的恶意请求。如果未配置,则视为不符合Web应用防护的最佳实践。 | 暂不支持快速修复。 | 否 |
应用运行时防护 | 未开启网页防篡改 | 网页防篡改功能可实时监控网站目录或文件,并可在网站被恶意篡改时通过备份数据恢复被篡改的文件或目录,防止网站被植入非法信息,保障网站正常运行。若购买了防篡改功能,绑定服务器台数为0,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用运行时防护 | 未创建应用防护配置 | 通过在应用运行时检测攻击并进行应用保护,可有效保护Java应用,预防0Day漏洞攻击,为应用提供安全防御。若购买应用防护的客户未创建应用配置,分组为0,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | 原生防护未添加相应的防护对象 | 购买DDoS原生防护或高防实例后,您需要将公网IP资产添加为防护对象,DDoS才可以为其提供DDoS防护能力。否则无法起到防护效果,并且造成一定的成本浪费。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | 网站类的DDoS AI智能防护设置为严格模式 | AI智能防护旨在提升网站的安全性能,然而,在策略配置中启用严格模式时,需注意其可能会对业务造成一定的误拦截。因此,严格模式更适用于网站性能较差或防护效果不尽如人意的网站场景。值得注意的是,网站域名类业务接入对常见四层攻击已有天然的防护能力。所以对于大多数网站业务,建议不要开启AI智能防护中的严格模式,而应采用默认的正常模式以平衡防护效果和业务连续性。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | EIP 遭遇的 DDoS 攻击超出防御阈值(3.0模型新增) | 当EIP遭受大流量DDoS攻击且攻击流量的峰值带宽(bps)超过了其DDoS防御能力时,为避免DDoS攻击对云产品产生更大损害,同时也避免单个云产品被DDoS攻击而影响其他资产正常运行,阿里云黑洞策略会暂时阻断阿里云产品与互联网之间的流量交互,正常网络通信会受到影响。EIP 弹性公网IP,DDoS防护状态处于“黑洞中”,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | SLB 遭遇的 DDoS 攻击超出防御阈值(3.0模型新增) | 当SLB实例遭受大流量DDoS攻击且攻击流量的峰值带宽(bps)超过了其DDoS防御能力时,为避免DDoS攻击对云产品产生更大损害,同时也避免单个云产品被DDoS攻击而影响其他资产正常运行,阿里云黑洞策略会暂时阻断阿里云产品与互联网之间的流量交互,正常网络通信会受到影响。SLB实例,DDoS防护状态处于“黑洞中”,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | DDoS 高防遭遇的攻击超出防御阈值(3.0模型新增) | 对于已接入DDoS高防的业务,当攻击流量超过DDoS高防实例的防护带宽时,DDoS高防实例会进入黑洞,所有通过该实例转发的业务流量将被阻断,导致业务无法正常访问。DDoS高防实例高防 IP 的状态处于“黑洞中”,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络攻击应对 | ECS 实例遭受的 DDoS 攻击超出防御阈值(3.0模型新增) | 当ECS实例遭受大流量DDoS攻击且攻击流量的峰值带宽(bps)超过了其DDoS防御能力时,为避免DDoS攻击对云产品产生更大损害,同时也避免单个云产品被DDoS攻击而影响其他资产正常运行,阿里云黑洞策略会暂时阻断阿里云产品与互联网之间的流量交互,正常网络通信会受到影响。开放公网IP的ECS实例,DDoS防护状态处于“黑洞中”,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据访问控制 | OSS Bucket 存在组织外账号访问规则 | 确保OSS Bucket仅限于组织内部账号访问,防止数据泄露风险。若OSS Bucket允许组织外的账号访问,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据访问控制 | OSS Bucket 开启了公共读 | 防止OSS Bucket内容对公众开放读取,确保数据机密性和安全性。若OSS Bucket设置为公共读权限,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据访问控制 | OSS Bucket 开启了公共写 | OSS支持通过设置Bucket Policy以及ACL的方式实现公共访问。公共写是指无需特定权限或身份验证即可修改任意OSS资源或在Bucket内上传新的文件对象。公共写意味着任何人都可以上传和修改OSS Bucket中的数据,容易引发数据泄露以及被恶意访问而产生大量成本的风险。最佳实践建议关闭OSS Bucket公共写权限,仅通过URL签名或者API的形式访问OSS Bucket中的数据。当OSS Bucket Policy或ACL任意一种包含公共写的语义时,即可视为该OSS Bucket可能存在被公共写的安全风险,不符合最佳实践。 | 暂不支持快速修复。 | 否 |
数据访问控制 | OSS Bucket 存在匿名账号访问规则 | 实施最小权限原则是降低安全风险及减少错误或恶意行为影响的基础。如果OSS Bucket策略允许匿名账号访问,可能会导致攻击者进行数据外泄。此外,如果外部账号被恶意攻击者控制,那么您的数据可能会被篡改或删除。这不仅威胁到数据的完整性和保密性,也可能导致业务中断和法律问题。最佳实践建议通过策略禁止匿名账号访问OSS Bucket。如果Bucket policy中存在允许匿名账号访问的策略,即授权用户为所有账号*且效力为允许,则认为不满足最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | SLB未开启HTTPS监听 | 确保负载均衡器(SLB)启用了HTTPS监听,以保障数据在传输过程中使用TLS加密协议。若SLB未启用HTTPS监听,则视为不合规。 | 暂不支持快速修复。 | 否 |
传输数据保护 | SLB服务器证书距离到期小于15天 | 确保SLB使用的服务器证书在15天内不会过期,以避免证书到期导致的传输加密失效。若SLB服务器证书的剩余有效期小于或等于15天,则视为不合规。 | 暂不支持快速修复。 | 否 |
传输数据保护 | SSL证书管理服务中的证书将在15天内到期 | SSL证书到期后,客户端将无法验证服务器的身份,可能会导致用户无法访问服务或者出现警告,影响用户体验。未能及时更新证书可能导致服务可用性下降,客户信任度降低,甚至可能导致数据泄露。此外,证书续费、更新往往需要一定周期,建议预留充足的时间更新证书,避免服务中断。数字证书管理服务中的证书,如果到期时间<=15天,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | API网关独立域名未配置HTTPS强制跳转 | 对外提供的API仅使用HTTP协议对外提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,如用户凭证和私人数据,进而导致数据泄漏。最佳实践建议对外提供服务的API,使用HTTPS协议,并将HTTP监听上的请求强制跳转到HTTPS协议的监听,确保数据传输过程中都是加密的。API网关关联的独立域名未配置HTTPS强制跳转,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | CDN域名未配置HTTPS | CDN仅使用HTTP协议对外提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,如用户凭证和私人数据,进而导致数据泄漏。最佳实践建议对外提供服务的CDN域名,使用HTTPS协议,并将HTTP监听上的请求强制跳转到HTTPS协议的监听,确保数据传输过程中都是加密的。CDN域名未开启HTTPS安全加速功能,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | CDN域名未配置HTTP强制跳转到HTTPS | CDN仅使用HTTP协议对外提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,如用户凭证和私人数据,进而导致数据泄漏。最佳实践建议对外提供服务的CDN域名,使用HTTPS协议,并将HTTP监听上的请求强制跳转到HTTPS协议的监听,确保数据传输过程中都是加密的。CDN域名HTTPS配置的强制跳转类型未设置成HTTPS -> HTTP,则认为不符合最佳实践 | 暂不支持快速修复。 | 否 |
传输数据保护 | Elasticsearch实例未使用HTTPS传输协议 | Elasticsearch实例仅使用HTTP协议提供服务可能会带来数据安全风险。由于HTTP协议的通信内容是明文传输,攻击者可以轻易地获取并查看通信内容,从而获取敏感信息,进而导致数据泄漏。最佳实践建议是在应用程序或者客户端内使用HTTPS协议访问Elasticsearch,确保数据传输过程中都是加密的。Elasticsearch实例的集群网络设置打开了使用HTTPS协议开关,则认为符合最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | 存在ESA站点未开启TLS v1.2 | 该检测项确保站点已开启TLS v1.2,使用较新的协议版本以提高网站的安全等级。如果未开启,则视为不符合数据传输安全的最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | 存在ESA站点未开启HSTS | 该检测项确保站点已开启HSTS,以减少第一次访问被劫持的风险。如果未开启,则视为不符合数据传输安全的最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | 存在ESA站点未开启强制HTTPS | 该检测项确保站点已开启强制HTTPS,以保证将客户端到ESA边缘节点的HTTP请求强制重定向为HTTPS。如果未开启,则视为不符合数据传输安全的最佳实践。 | 暂不支持快速修复。 | 否 |
传输数据保护 | CDN使用的SSL证书临近过期(3.0模型新增) | 确保域名绑定的 SSL/TLS 证书在有效期内,避免因证书过期导致的安全风险和业务中断。CDN证书到期时间剩余天数小于参数指定的天数(默认15天),则视为不合规。 | 暂不支持快速修复。 | 否 |
数据静态加密 | PolarDB未开启TDE数据加密(3.0模型新增) | 透明数据加密TDE(Transparent Data Encryption)可对数据文件执行实时I/O加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密。如果PolarDB未开启TDE(透明数据加密)功能,可能存在数据泄露、被非法访问或篡改的风险。PolarDB集群未开启TDE,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据静态加密 | RDS未开启TDE数据加密(3.0模型新增) | 在安全合规或静态数据加密等场景下,推荐使用透明数据加密TDE(Transparent Data Encryption)功能,对数据文件执行实时I/O加密和解密,通过在数据库层执行静态数据加密,阻止可能的攻击者绕过数据库直接从存储中读取敏感信息,有效提高数据库中敏感数据的安全性。RDS实例未开启TDE数据加密,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据脱敏 | 数据安全中心未开启敏感数据识别(3.0模型新增) | 敏感数据主要包括客户资料、技术资料、个人信息等高价值数据,这些数据以不同形式存在于阿里云用户的资产中。敏感数据的泄露会给企业带来严重的经济和品牌损失。数据安全中心可根据预先定义的敏感数据关键字段,扫描MaxCompute、OSS、阿里云数据库服务(RDS、PolarDB-X、PolarDB、OceanBase、表格存储)、自建数据库等数据库中的数据,通过敏感数据规则中的命中次数来判断是否属于敏感数据。数据安全中心未开启敏感数据识别,则视为不合规。 | 暂不支持快速修复。 | 否 |
安全事件响应&恢复 | 未使用云安全中心进行安全防护(3.0模型新增) | 云上资产面临着众多安全威胁,例如病毒传播、黑客攻击、勒索加密、漏洞利用等,云安全中心提供资产管理、配置核查、主动防御等安全能力。可以通过购买合适的安全防护服务,为云上资产搭建安全防御体系。使用的云安全中心版本未高于基础版,则视为不合规。 | 暂不支持快速修复。 | 否 |
安全事件响应&恢复 | 云安全中心存在待处理告警 | 安全告警事件是指云安全中心检测到的您服务器或者云产品中存在的威胁,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型,及时处理告警可提升资产安全态势。若未处理告警数大于0,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | ECS启动模板网络类型设置为经典网络(3.0模型新增) | 经典网络用户之间无法实现网络级别的隔离,多个租户在同一个IP池中;用户也无法实现自定义的网络拓扑和IP地址,若暴露在经典网络中的应用出现漏洞,可能被云上其它租户攻击。专有网络VPC在多个层面上提供了更高水平的安全保障措施,对于重视数据安全性的企业和组织来说,采用专有网络VPC无疑是更好的选择。ECS启动模板配置中网络类型设置为经典网络,则不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | ESS伸缩组配置关联的安全组入网规则设置了0.0.0.0/0和任意端口(3.0模型新增) | 当触发弹性扩张活动后,弹性伸缩会以伸缩配置为模板自动创建ECS实例。如果在ESS伸缩组配置中关联的安全组规则所有IP地址 (0.0.0.0/0) 从任意端口访问,创建出来的ECS实例将存在安全风险。若ESS伸缩组配置关联的安全组的入网规则中存在0.0.0.0/0且未指定具体端口,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | ACK 集群 API Server 开启了公网访问地址(3.0模型新增) | ACK集群设置了公网连接端点会提高各类资源对象(例如:Pod、Service、ReplicaController等)在公网被攻击的风险,不建议设置公网连接端点。ACK集群设置了公网连接端点,则不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | EMR 集群 Master 节点开启了公网访问地址(3.0模型新增) | EMR集群Master节点若分配了公网IP地址,会显著提高其在公网环境中遭受攻击的风险。攻击者可能通过暴露的公网IP对Master节点进行扫描、入侵或其他恶意行为,从而威胁到整个集群的安全性。EMR集群设置了公网连接,则不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | ECS实例未禁止绑定公网地址 | 防止ECS实例直接暴露在公网以减少被攻击的风险,建议通过NAT网关或负载均衡器接入公网。若存在ECS实例绑定了公网地址,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | 安全组入网规则设置了0.0.0.0/0和任意端口 | 禁止安全组规则允许所有IP地址(0.0.0.0/0)从任意端口访问,必须限制为特定IP段和端口。若安全组的入网规则中存在0.0.0.0/0且未指定具体端口,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | 安全组对公网开放了高危端口(22/3389/……) | 禁止安全组规则允许公网访问SSH(22)和RDP(3389)等高危端口,以防网络攻击和未经授权访问。若安全组对公网开放SSH(22)、RDP(3389)等高危端口,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | MaxCompute 项目未设置白名单(3.0模型新增) | MaxCompute项目开启白名单功能后,仅允许白名单内的设备访问项目空间。如果MaxCompute项目未开启白名单功能时,所有使用公网Endpoint的IP均可访问MaxCompute项目,存在公网暴露风险。当MaxCompute项目配置了外部网络访问并且未开启IP白名单功能,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络访问控制 | 表格存储实例开启了公网访问和经典网络访问 | 表格存储默认会为每个实例创建一个公网域名、一个VPC域名以及一个经典网域名。其中,公网域名对互联网可见,任意用户可以在互联网通过公网域名访问表格存储资源。经典网域名是对同地域的ECS服务器可见,应用程序从同地域的经典网络ECS服务器上可以通过经典网域名访问该实例。 最佳实践建议实例只允许来源于控制台或VPC的访问。限制实例无法通过公网或者经典网来访问实例,能够提供更好的网络隔离能力,提升数据安全性。表格存储实例网络类型设置为“限定控制台或VPC访问”或“限定绑定VPC访问”,则认为符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络访问控制 | PolarDB 实例开启了公网访问地址且未设置白名单 | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。集群开启了公网访问地址,且白名单设置为0.0.0.0/0,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络访问控制 | Redis 实例开启了公网访问地址且未设置白名单 | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。实例开启了公网访问地址,且白名单设置为0.0.0.0/0,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络访问控制 | MongoDB 实例开启了公网访问地址且未设置白名单 | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。实例开启了公网访问地址,且白名单设置为0.0.0.0/0,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络访问控制 | RDS 实例开启了公网访问地址且未设置白名单 | 为数据库开放公网访问可能会带来安全风险。一旦数据库对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许数据库实例从VPC内网访问,并设置合适的IP白名单,为数据库设置复杂的账号和密码。实例开启了公网访问地址,且白名单设置为0.0.0.0/0,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络访问控制 | Elasticsearch 实例开启了公网访问地址且未设置白名单 | 为Elasticsearch开放公网访问可能会带来安全风险。一旦实例对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许Elasticsearch实例从VPC内网访问,并设置合适的IP白名单,同时配置合适的访问控制。实例开启了公网访问地址,且白名单设置为0.0.0.0/0,则认为不符合最佳实践 | 暂不支持快速修复。 | 否 |
网络访问控制 | Elasticsearch 实例的 Kibana 服务开启了公网访问地址 | 为Kibana开放公网访问可能会带来安全风险。一旦实例对公网开放,它就可能暴露于恶意攻击者的视线中,另外,在暴露公网的基础上,如果未做好相应的访问控制,将容易导致数据泄漏或遭受破坏。最佳实践建议只允许Kibana实例从VPC内网访问,并设置合适的IP白名单,同时配置合适的访问控制。Elasticsearch实例的Kibana服务开启了公网访问,则认为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙未防护所有的公网资产 | 该检测项确保所有公网资产均受到云防火墙的保护。如果使用了云防火墙,但存在未开启互联网边界防火墙防护的公网IP资产,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙策略未创建ACL策略 | 开启防火墙开关后,如果您未配置访问控制(ACL)策略,云防火墙在访问控制策略匹配环节中默认放行所有流量。您可以根据业务需要,配置不同防火墙的流量拦截和放行策略,以便更好地管控资产的未授权访问。如果使用了云防火墙但未创建过访问控制策略,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙防护带宽规格不足 | 该检测项确保云防火墙的规格在防护带宽规格方面是合理的。如果使用了云防火墙,但近30天实际带宽峰值超过了购买的防护带宽,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 未使用云防火墙防护网络流量 | 阿里云云防火墙是一款云平台SaaS(Software as a Service)化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是您业务上云的第一道网络防线。若未使用云防火墙,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙可用授权数不足 | 该检测项确保云防火墙的规格在可用授权数方面是合理的。如果使用了云防火墙,但未开启互联网边界防火墙防护的公网IP资产的数量超过了可用防护的授权数,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙IPS未开启基础防御 | 云防火墙的入侵防御模块(IPS)应开启基础防御功能。基础防御可提供基础的入侵防御能力,包括暴力破解拦截、命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙IPS未开启虚拟补丁 | 云防火墙的入侵防御模块(IPS)应当开启虚拟补丁功能。云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙IPS未开启威胁情报 | 云防火墙的入侵防御模块(IPS)应开启威胁情报功能,以便扫描侦查威胁情报,并提供中控情报阻断。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | VPC互访流量未完全接入VPC边界防火墙防护 | 该检测项要求所有VPC的互访流量都必须通过云防火墙的VPC边界防火墙进行防护,以降低私网内部流量的风险。如果使用了云防火墙,但存在未开启VPC防火墙的VPC互访流量,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙未配置默认拒绝策略 | 为了确保网络安全,云防火墙应配置默认拒绝策略(即在入向/出向上访问源与目的均为0.0.0.0/0,动作为拒绝的 IPv4 地址版本策略)。除了明确允许的可信流量外,所有其他流量都应被默认阻止。如果使用了云防火墙但未配置默认拒绝策略,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | 云防火墙IPS未开启拦截模式 | 云防火墙的入侵防御模块(IPS)应配置为拦截模式,以便对恶意流量进行拦截,阻断入侵活动。如果使用了云防火墙但未开启该功能,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
网络防护 | NAT网关未完全接入NAT边界防火墙防护 | 为了降低私网访问公网的风险,所有NAT网关实例都应当接入云防火墙NAT边界防火墙防护。如果使用了云防火墙,但存在未开启防护的NAT网关,则视为不符合网络安全最佳实践。 | 暂不支持快速修复。 | 否 |
稳定
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
实例规格 | ECS 实例使用了共享型或已停售的实例规格 | 使用 ECS 共享型或已停售的实例规格,无法保证实例计算性能的稳定。使用已停售或者共享型的 ECS 规格族实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ElasticSearch 实例使用了开发测试型规格 | 1核2GB的 Elasticsearch 规格实例只适合于测试场景,不适用于生产环境。使用规格为1核2GB的 ElasticSearch 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | RDS 使用了基础系列实例规格 | RDS基础系列实例只有一个数据库节点,没有备节点作为热备份,因此当该节点意外宕机或者执行重启实例、变更配置、版本升级等任务时,会出现较长时间的不可用。同时,RDS的实例规格族中共享规格和通用规格存在与同一物理机上其他实例共享资源的情况,仅适用与稳定性要求较低的应用场景。如果业务对数据库的可用性要求较高,推荐产品系列使用高可用/集群类型,实例规格族使用独享类型。当RDS的产品系列未使用高可用/集群系列,或者RDS实例规格族未使用独享规格,视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ACK 使用了托管集群基础版 | ACK Pro 托管版集群相比原托管版进一步增强了集群的可靠性、安全性和调度性,适合生产环境下有着大规模业务。未使用专业版的托管类型集群,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | Redis 使用了开源版实例规格 | Redis 企业版提供更强的性能、更多的数据结构和更灵活的存储方式。未使用 Redis 企业版,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | MongoDB 使用了单节点实例规格 | MongoDB 采用单节点架构时,故障恢复时间较长且无 SLA 保障。未使用多可用区的 MongoDB 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
实例规格 | 云消息队列 RocketMQ 版使用了标准版实例规格 | 标准版 RocketMQ 版采用共享实例,不建议在生产环境使用。使用共享版 RocketMQ 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ECS 实例使用了过期的 OS 版本 | ECS 实例使用停止支持的 OS 版本,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ElasticSearch 实例使用了不推荐的版本 | Elasticsearch 实例所使用的版本在不推荐版本范围内,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | PolarDB 数据库未使用稳定的小版本 | PolarDB 数据库小版本状态不为 stable,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | Redis 实例未升级至最新小版本 | Redis 实例未升级至最新小版本,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | MSE 引擎版本过低 | 使用最新的MSE引擎版本是确保MSE服务连续性的关键,如果引擎版本过低可能会导致:代码存在缺陷引发GC无法回收,内存溢出导致内存持续上涨;启动速度过慢,Json序列化缺陷等问题。如果MSE-ZK或者MSE-Ans引擎版本或者MSE-Ans客户端版本过低,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | MSE-Ingress 网关版本过低 | 使用最新版本的Ingress是确保网关服务连续性的关键,如果版本过低可能会导致:存在安全或稳定风险;可能导致订阅Nacos服务的实例列表不准确等问题。如果MSE-Ingress版本过低,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | 未使用维护中的ACK版本 | Kubernetes社区每4个月左右发布一个次要版本,建议使用维护中的版本,过期版本集群存在安全隐患和稳定性风险。集群版本过期后,将无法享受新Kubernetes版本支持的功能特性及缺陷修复,无法获得及时有效的技术支持,面临无法修复安全漏洞的风险。使用的ACK集群版本未停止维护,视为“合规”。 | 暂不支持快速修复。 | 否 |
稳定版本 | RDS 实例未开启内核小版本自动升级(3.0模型新增) | 云数据库 RDS 支持自动升级或手动升级内核小版本。当内核小版本低于最新内核小版本时,系统将会不定期地下发主动运维任务来升级内核小版本。实例将获得包含性能提升、新功能支持和安全问题解决的最新版本,能够确保数据库服务的持续优化和安全。RDS实例未开启自动升级内核小版本,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | RDS 实例MySQL数据库大版本过低(3.0模型新增) | 使用生命周期已经停止或者即将停止的MySQL版本会导致系统面临安全风险、性能瓶颈、兼容性以及技术支持缺失等问题。及时升级至受支持的MySQL版本可获得最新的安全补丁、性能提升以及功能增强,降低运维风险并提升整体系统可靠性。当前RDS实例使用5.5或5.6版本的版本,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | 函数计算 FC 2.0函数使用了废弃的运行时(3.0模型新增) | 随着运行时的版本迭代,函数计算会停止对部分运行时的维护,不再继续提供对该运行时的技术支持和安全更新。建议将函数迁移至最新支持的运行时,以便获得技术支持和安全更新。FC 2.0函数使用的运行时为 nodejs12、nodejs10、nodejs8、dotnetcore2.1、python2.7、nodejs6 或 nodejs4.4 内的任意一种,则视为不合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ACK集群巡检节点 Kubelet 组件版本落后于控制面(3.0模型新增) | ACK集群节点Kubelet组件版本落后于控制面会导致兼容性故障,控制面(如API Server)可能因新特性或协议升级无法与旧版Kubelet正常通信,引发节点状态异常、Pod调度失败或节点被标记为不可用;此外,旧版本Kubelet可能未修复已知安全漏洞,增加节点被攻击风险,同时阻碍集群版本整体升级能力,长期可能导致功能缺失或维护困难,需立即升级Kubelet至兼容版本以恢复通信稳定性并消除安全隐患。存在ACK集群节点 Kubelet 组件版本落后于控制面,则视为不合规。 | 暂不支持快速修复。 | 否 |
到期风险 | 共享带宽实例存在到期风险 | 共享带宽实例的到期时间距离当前时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的CBWP资源开启自动续费。 | 否 |
到期风险 | ECS 实例存在到期风险 | ECS 预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的ECS预付费实例资源开启自动续费。 | 否 |
到期风险 | RDS 实例存在到期风险 | RDS 预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的RDS预付费实例资源开启自动续费。 | 否 |
到期风险 | 堡垒机实例存在到期风险 | 堡垒机实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的堡垒机预付费实例资源开启自动续费。 | 否 |
到期风险 | SLB 实例存在到期风险 | SLB 预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的SLB预付费实例资源开启自动续费。 | 否 |
到期风险 | EIP 实例存在到期风险 | EIP 预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的EIP预付费实例资源开启自动续费。 | 否 |
到期风险 | AnalyticDB MySQL版数仓版实例存在到期风险 | AnalyticDB MySQL版数仓版实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的AnalyticDB MySQL版数仓版预付费实例资源开启自动续费。 | 否 |
到期风险 | PolarDB 实例存在到期风险 | PolarDB 预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的PolarDB预付费实例资源开启自动续费。 | 否 |
到期风险 | 云企业网 CEN 带宽包存在到期风险 | 云企业网带宽包的到期时间距离当前时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的CEN预付费实例资源开启自动续费。 | 否 |
到期风险 | DRDS 实例存在到期风险 | PolarDB-X1.0 以及 PolarDB-X2.0 实例的到期时间距离当前时间小于7天且未开启自动续费,则视为不合规。 | 暂不支持快速修复。 | 否 |
到期风险 | DDoS 高防实例存在到期风险 | DDoS实例的到期时间距离当前时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的DDoSCOO预付费实例资源开启自动续费。 | 否 |
到期风险 | Redis 实例存在到期风险 | Redis 预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的Redis预付费实例资源开启自动续费。 | 否 |
到期风险 | MongoDB 实例存在到期风险 | MongoDB 预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 此修复将会为您选择的MongoDB预付费实例资源开启自动续费。 | 否 |
到期风险 | VPN 网关实例存在到期风险(3.0模型新增) | 确保为VPN网关实例预付费实例及时续费,避免因费用到期而中断业务运行。VPN网关实例预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 暂不支持快速修复。 | 否 |
到期风险 | KMS 实例存在到期风险(3.0模型新增) | 确保为KMS实例预付费实例及时续费,避免因费用到期而中断业务运行。KMS实例预付费实例到期时间距离检查时间小于7天且未开启自动续费,则视为不合规。 | 暂不支持快速修复。 | 否 |
删除保护 | ALB 实例未开启删除保护 | ALB 实例未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | RDS 实例未开启删除保护 | RDS 实例未开启释放保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | SLB 实例未开启删除保护 | SLB 实例未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | EIP 实例未开启删除保护 | EIP 实例未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | PolarDB 集群未开启集群保护锁 | PolarDB 实例未开启集群保护锁,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | ACK 集群未开启集群保护锁 | ACK 集群未开启删除保护,则视为不合规。 | 此修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | MongoDB 实例未开启释放保护 | MongoDB 实例未开启释放保护,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | Elasticsearch 实例存在单可用区部署风险 | 未使用多可用区的 Elasticsearch 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | RDS 实例存在单可用区部署风险 | 未使用多可用区的 RDS 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | SLB 实例以及监听的服务器组存在单点部署风险 | SLB 实例为单可用区,或者 SLB 实例下存在监听使用的服务器组中未添加多个可用区的资源,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | PolarDB 集群未开启存储热备集群 | PolarDB 集群未开启存储热备集群,数据分布在单可用区,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | Redis 实例存在单可用区部署风险 | 未使用多可用区的 Redis 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | OSS 存储空间未开启同城冗余存储 | OSS 存储空间未开启同城冗余存储,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | MongoDB 实例存在单可用区部署风险 | 未使用多可用区的 MongoDB 实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | MSE 相关组件存在单可用区部署风险 | 建议 MSE 的相关组件采用多可用区部署架构,来提升其稳定性。如果 MSE 相关组件是单可用区部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | MSE 网关存在单可用区部署风险 | 当前网关所有实例副本均部署在同一个可用区(AZ)中,这样的部署形态不具备高可用能力,极端情况下您的业务可能会受损。请尽快升级到新版本,以将网关实例打散到多个可用区。如果 MSE Ingress 网关组件是单可用区架构,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | 云堡垒机存在单可用区部署风险 | 建议采用企业双擎或者国密版堡垒机,满足多可用区容灾能力。使用基础版堡垒机,则视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | VPN 实例存在单可用区部署风险 | 对于存量单隧道实例强烈建议您在控制台开启 AZ 高可靠,并同时配置双隧道与对端建立连接。如果 VPN 使用了单隧道实例,则视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | 转发路由器存在单可用区部署风险 | 对于存量转发路由器强烈建议配置多可用区,满足多可用区容灾。为转发路由器的 VPC 连接设置一个可用区的交换机,视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | NLB 实例存在单可用区部署风险 | 对于网络负载均衡实例强烈建议配置多可用区,满足多可用区容灾。使用单可用区的网络负载均衡实例,视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | AnalyticDB PostgreSQL版实例存在单可用区部署风险 | 建议 AnalyticDB PostgreSQL版实例开启跨可用区容灾,当主可用区出现故障,会自动将备可用区节点切换为主节点,继续对外提供服务,保障业务连续性。如果 AnalyticDB PostgreSQL版实例未开启可用区容灾,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | Lindorm 实例存在单可用区部署风险 | 建议将 Lindorm 实例部署在多个可用区,多可用区实例具备更高的容灾能力,同时 Lindorm 实例可以实现多个可用区之间数据的强一致,也可以在数据最终一致下发出请求返回最快的结果,从而提高在线业务的服务质量。如果 Lindorm 实例未采用多可用区部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | HBase 实例存在单可用区部署风险 | 建议采用多可用区部署架构,具备更高的容灾能力。如果 HBase 实例未采用多可用区部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | 表格存储实例存在单可用区部署风险 | 当前地域的 OTS 实例暂不支持多可用区容灾能力。如果 OTS 实例未采用多可用区部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ACR 关联的 OSS 存储空间未开启同城冗余存储 | 建议采用企业版 ACR 实例,并且采用同城容冗的 OSS 存储。ACR 关联本地冗余的 OSS 桶,视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | 云消息队列 RocketMQ 版未使用集群高可用版 | 建议采用集群高可用版,具备多可用区容灾能力。未使用多可用区的消息队列 RocketMQ 5.0 版实例,视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | GWLB 实例存在单可用区部署风险 | 建议 GWLB 实例开启多可用区,具备多可用区容灾能力。未使用多可用区的网关型负载均衡实例,视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | Flink 未使用跨可用区 CU 类型 | 建议 Flink 的 CU 启用跨可用区,具备多可用区容灾能力。Flink 实例未使用多可用区的 CU,视为“不合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ACK 集群存在单可用区部署风险 | 使用区域级集群能够实现跨区域的容灾能力。使用区域级ACK集群,节点分布在3个及以上可用区,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | VPN 网关未使用双隧道模式 | 双隧道模式的IPsec-VPN连接拥有主备两条隧道,在主隧道故障后,流量可以通过备隧道进行传输,提高了IPsec-VPN连接的高可用性。使用双隧道的VPN网关同时主备隧道都已和对端建立连接,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | SLS 项目未使用同城冗余存储 | 日志服务提供本地冗余存储和同城冗余存储两种存储冗余类型,覆盖从单可用区到多可用区的数据冗余机制,以保证数据的持久性和可用性。使用同城冗余的日志项目,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | Privatelink 终端节点服务存在单可用区部署风险 | 为终端节点服务配置多个可用区,可以大大减少服务中断的风险,流量更均匀地分配,避免单一可用区过载,同时就近访问,从而降低网络延迟,提高访问速度。终端节点服务配置多个可用区,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | PolarDB-X2 实例存在单可用区部署风险 | 建议使用多可用区的PolarDB-X2实例,具备多可用区容灾能力。PolarDB-X 2.0实例为多可用区架构,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | NLB 服务器组挂载的资源都在单一可用区 | 建议为网络负载均衡服务器组添加多个可用区的资源,具备多可用区容灾能力。网络负载均衡的服务器组中资源分布在多个可用区,视为“合规”。服务器组中无资源或者资源类型为IP时“不适用”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ALB 实例存在单可用区部署风险 | 如果只选择了一个可用区,当这个可用区出现故障时,会影响ALB实例,进而影响业务稳定性。ALB实例为多可用区实例,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | 消息队列 Kafka 版实例存在单可用区部署风险 | 当您使用的是专业版实例,且部署时仅选择了单可用区部署,可以通过编辑备可用区,升级集群为多可用区架构部署,从而增强集群的容灾能力。使用多可用区的消息队列Kafka版实例,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ClickHouse 集群存在单可用区部署风险 | 建议使用多可用区的ClickHouse集群实例,具备多可用区容灾能力。使用多可用区的ClickHouse集群实例,视为“合规”,当前仅支持检测社区版本是否为多可用区架构。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ALB 服务器组挂载的资源都在单一可用区 | 为ALB负载均衡服务器组添加多个可用区资源,可以确保即使一个可用区出现故障,应用程序仍然可以在其他可用区继续运行,提供可更好的容错能力。ALB负载均衡的服务器组挂载资源分布在多个可用区,视为“合规”。ALB服务器组无挂载任何资源或者IP或者函数计算类型的服务器组不适用本规则。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ACS 集群存在单可用区部署风险 | 建议使用区域级多可用区ACS集群,具备多可用区容灾能力。使用区域级ACS集群,节点分布在3个及以上可用区,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | API 网关实例存在单可用区部署风险 | 建议使用多可用区的网关实例,具备多可用区容灾能力。使用多可用区的网关实例,视为“合规”。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ECS 实例在地域内可用区分布不均衡(3.0模型新增) | 所有 ECS 实例部署在同一个可用区下,将面临着单点故障的风险。当该可用区发生故障时(如硬件损坏、网络中断等),该地域下所有 ECS 实例将同时不可用,导致业务中断。相同地域下的ECS实例全部部署在同一可用区,则视为不合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | GWLB 服务器组挂载的资源都在单一可用区(3.0模型新增) | 多可用区的服务器组挂载资源可以提高系统的容灾能力,减少业务中断风险。GWLB 实例为单可用区,或者 GWLB 实例下存在监听使用的服务器组中未添加多个可用区的资源,则视为不合规;服务器组中无资源或者资源类型为IP时,不适用本规则。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ACK集群巡检CoreDNS只有一个副本(3.0模型新增) | ACK集群CoreDNS仅保留单副本配置将丧失高可用性,Pod故障时DNS服务完全中断,引发集群内服务域名解析失败,导致应用间通信阻断;单点架构无法容忍节点故障或维护操作,升级或重启期间可能出现服务闪断,长期运行风险加剧,需立即扩展副本数以确保服务冗余与稳定性。存在ACK集群CoreDNS只有一个副本,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | ESS 弹性伸缩组只关联了单个交换机 | 通过关联多个交换机,弹性伸缩组能够提高应用的整体健壮性、可靠性和性能,从而更好地满足业务要求。如果一个交换机因网络问题或其他状况无法访问,用户流量仍然可以通过其他交换机访问应用。弹性伸缩组关联至少两个交换机,视为“合规”。 | 暂不支持快速修复。 | 否 |
集群架构 | PolarDB 实例存在单点部署风险 | 未使用的 PolarDB 产品系列为集群版或者多主架构集群版,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | MSE 相关组件存在单点部署风险 | 对于MSE ZK组件,建议扩容到3节点及以上;对于Nacos-Ans组件建议扩容到3节点以上。如果MSE相关组件是单节点部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | MSE网关存在单点部署风险 | 单节点实例存在架构风险,单点故障会导致服务不可用。建议扩容到2节点及以上。如果MSE Ingress组件是单节点部署,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | RDS集群的主备节点未配置为相同的实例类型(3.0模型新增) | 如果RDS集群的主备节点未配置为相同的实例类型,可能会导致在主节点故障时,备节点无法平滑接管,从而引发性能瓶颈或服务中断。此外,不同实例规格可能导致资源不匹配,影响数据同步效率和恢复速度,降低系统的高可用性与容灾能力。检测并确保主备节点实例类型一致,有助于提升系统稳定性、增强故障切换能力,并保障业务连续性,为客户带来更高的可靠性与运维可控性。RDS集群的主备节点配置为不同的实例类型,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | RDS集群的主备节点未配置为相同的实例大小(3.0模型新增) | 如果RDS集群的主备节点未配置为相同的实例大小,可能会导致在主节点故障时,备节点无法平滑接管,从而引发性能瓶颈或服务中断。此外,不同实例规格可能导致资源不匹配,影响数据同步效率和恢复速度,降低系统的高可用性与容灾能力。检测并确保主备节点实例大小一致,有助于提升系统稳定性、增强故障切换能力,并保障业务连续性,为客户带来更高的可靠性与运维可控性。RDS集群的主备节点配置为不同的实例大小,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | RDS 实例未开启主备自动切换(3.0模型新增) | 当实例主节点异常无法使用,或实例存在潜在风险并在备节点中进行了紧急修复时,RDS会自动触发主备切换,将主节点和备节点进行互换,切换后实例连接地址保持不变,应用自动连接到新的主节点(原备节点),从而保障实例的高可用性。RDS实例未开启主备自动切换功能,则视为不合规。 | 暂不支持快速修复。 | 否 |
集群架构 | 未使用高可靠模式的高速通道(3.0模型新增) | 利用高可靠模式的高速通道在同地域内创建两个接入点,以实现网络冗余,确保数据传输的稳定性和可靠性,符合合规要求。同地域的高速通道申请接入点小于2个,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控管理 | ACK 集群未配置 Prometheus 监控 | ACK 集群接入监控,可以帮助开发运维人员查看系统的运行状态,包括基础设施层、容器性能层等。对所有 ACK 集群,如果未配置“开启阿里云 Prometheus 监控”,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控管理 | 云产品的资源未设置监控报警规则 | 实现资源监控全覆盖是保证业务持续性的基础与关键,为云产品资源设置报警规则是实现云产品资源监控的必要手段。如果存在云产品资源未被任何报警规则覆盖的情况,则视为不合规。 | 此修复为未配置云监控的云资源类型,自动启用基于最佳实践的报警规则。默认通知到“云账号报警联系人”类型的消息接收人,请确认设置正确。启用完成后可以在云监控的一键报警功能中查看启用状态或更新报警参数。 | 否 |
监控管理 | ACK 集群未配置应用监控 | 针对分布式、微服务化应用,可通过接入 ARMS 应用实时监控服务进行全链路追踪及代码级实时性能监测,帮助运维人员随时掌握应用健康状况。对于部署在容器服务 Kubernetes 版或者云服务器 ECS 中的应用,如果未接入 ARMS 应用实时监控服务,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控管理 | 未及时处理持续告警的报警规则 | 报警规则长期持续处于报警状态是需要关注和治理的问题。通常情况下,需要尽快排除问题让监控指标恢复正常水位,或者需要结合实际情况调整报警规则,避免因大量报警信息或者报警疲劳干扰影响正常的监控运维工作。对所有在云监控设置的报警规则,如果存在持续处于报警状态超过24小时的报警规则即视为不合规。 | 暂不支持快速修复。 | 否 |
监控管理 | 在 ARMS 中未配置高优告警规则 | 配置有效的告警规则可在业务系统在不符合运行预期时及时收到通知,以便及时做出应急响应。如果在阿里云 ARMS 服务中没有配置应用监控或者 Prometheus 监控对应的 P1 等级告警规则,或没有配置对应的通知策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控管理 | 未及时处理 ARMS 中的高优告警 | MTTx(Mean time to xx,平均XX时间,如 MTTR:告警平均恢复耗时)指标可作为告警处理效率的重要衡量指标,高优告警的及时响应可有效提高告警甚至是故障的恢复效率,从而提升业务系统的服务品质。如果没有配置应用监控或者 Prometheus 监控对应的 P1 等级告警规则,或存在30分钟内未解决(待认领、处理中、超过30分钟解决)的阿里云 ARMS 服务中的告警,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控管理 | 建议对ARMS跨阿里云账号的资源统一监控 | 通过创建全局聚合实例,实现跨账号统一监控。当前未检测到该账号使用ARMS并创建globalview实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | 存在因欠费或因安全封禁被关机的ECS实例 | ECS实例出现被动停机会造成服务中断、数据丢失、数据不一致,影响系统性能或产生安全隐患。当前账号下存在因欠费或安全封禁被关机的ECS实例,则视为存在风险。 | 暂不支持快速修复。 | 否 |
风险巡检 | ECS 实例存在待处理的运维事件 | 未及时响应并处理ECS的计划内运维事件可能导致ECS实例在业务高峰期出现重启,进而影响ECS实例上的业务稳定性。当前账号下有待处理的ECS运维事件(事件状态为inquering/scheduled/executing)未处理,则视为存在风险。 | 暂不支持快速修复。 | 否 |
风险巡检 | CEN 资源未配置VBR健康检查 | 云企业网的健康检查功能探测VBR实例关联的物理专线的连通性。在云企业网和本地数据中心存在冗余路由的场景下,健康检查探测到物理专线故障后支持自动切换到可用路由,保障流量传输不中断。云企业网实例关联的 VBR 未设置健康检查,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | RDS只读实例与主实例延迟时间过大(3.0模型新增) | RDS只读实例采用MySQL原生的基于日志复制技术(异步复制或半异步复制),必然会有同步延迟。延迟会导致只读实例与主实例的数据出现不一致,从而导致业务出现问题。另外,延迟也有可能引起日志堆积,导致只读实例空间被迅速消耗。指定周期(小时)内RDS只读实例与主实例延迟时间最大值超过60秒,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | VPC中可用IP数量不足(3.0模型新增) | 确保专有网络交换机有足够的可用IP数量,避免因资源不足无法扩展业务。专有网络交换机IPV4可用IP数量小于或等指定数值,视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | CDN 域名中 OSS 源站域名配置异常(3.0模型新增) | 若 CDN 域名中源站域名配置不存在,会导致资源请求失败,影响业务功能。同时,回源失败会导致 CDN 不断重试,增加无意义的网络开销。CDN 域名中源站信息使用了 OSS 域名,并且对应的 OSS Bucket 资源状态不为保有中,则视为不合规。未使用 OSS 域名作为源站信息的 CDN 域名不纳入检测范围。 | 暂不支持快速修复。 | 否 |
风险巡检 | ESS 弹性伸缩组关联的负载均衡异常(3.0模型新增) | 伸缩组关联负载均衡实例后,无论是伸缩组自动创建实例,还是向伸缩组手动添加实例,实例都会自动添加到负载均衡实例的后端服务器。如果负载均衡或负载均衡服务器组不存在,将导致伸缩组扩缩容失败。弹性伸缩组关联的传统型负载均衡或者应用负载均衡不为保有中资源,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ECS 实例启动模板配置的自定义镜像异常(3.0模型新增) | 实例启动模板是一种用于快速创建实例的工具,提升效率及使用体验。当启动模板配置的自定义镜像不存在时,将导致启动模板执行失败。ECS 实例启动模板关联的自定义镜像不为保有中资源,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | DNS 域名邮箱解析中SPF记录异常(3.0模型新增) | SPF 是一种基于 DNS 的邮件验证协议,用于定义哪些邮件服务器(IP 地址或域名)被授权代表某个域名发送邮件。当邮件服务器收到一封邮件时,会通过 SPF 记录验证发件人的 IP 地址是否在允许的列表中,从而判断邮件是否合法。设置合理有效的SPF值可以防止邮件伪造,降低垃圾邮件风险并提升邮件送达率。对 DNS 域名内的每个 MX 记录,检查是否至少包含一个具有有效 SPF 值(以 "v=spf1" 开头)的 TXT 记录。不满足上述条件的 DNS 域名,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | DNS 域名解析中 CNAME 记录配置的OSS 域名异常(3.0模型新增) | 若 DNS 域名解析的 CNAME 记录配置了错误的 OSS 域名,通过该域名访问资源时将导致资源无法正常加载,影响正常业务功能。DNS 中的 CNAME 记录配置了OSS 域名,且对应的 OSS Bucket 不为保有中,则视为不合规。CNAME 记录中未使用 OSS 域名的 DNS 域名不纳入检测范围。 | 暂不支持快速修复。 | 否 |
风险巡检 | RDS PostgreSQL实例数据复制未采用强同步或半同步模式(3.0模型新增) | RDS PostgreSQL支持异步、强同步以及半同步三种数据复制模式。其中异步模式响应速度最快,但仅适用于数据持久性不高的场景,当数据库崩溃时可能会出现数据丢失的问题,面临持久性的风险。当RDS PostgreSQL实例数据复制方式采用异步模式(synchronous_commit 参数为off)时,视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ALB连接失败率过高(3.0模型新增) | 应用型负载均衡(ALB)连接失败率过高可能表明后端服务存在异常、网络不稳定或配置错误,可能导致用户访问失败、业务中断和用户体验下降。通过巡检ALB连接失败率指标,可以及时发现并定位问题根源。从而提升系统可用性与稳定性,优化流量调度效率,保障业务连续性和服务质量,为客户带来更可靠的云上应用交付能力。ALB实例的连接失败率在过去某个时间范围内,有至少8小时大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ALB 4xx错误占比过大(3.0模型新增) | ALB实例的4xx错误占比在某段时间内持续超过指定阈值,通常意味着客户端请求存在大量异常,如无效请求、参数错误、身份验证失败或访问频率过高(如DDoS攻击)。这不仅会影响正常用户的使用体验,还可能暴露系统接口设计缺陷或安全风险。ALB实例的4xx错误占比在过去某个时间范围内,有至少8小时大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ALB 5xx错误占比过大(3.0模型新增) | ALB实例的5xx错误占比在某段时间内持续超过指定阈值,说明后端服务频繁出现内部错误,可能由应用异常、资源不足、配置错误或依赖服务故障引起。这将直接导致用户体验下降、业务中断风险上升,并影响系统稳定性与可用性。ALB实例的5xx错误占比在过去某个时间范围内,有至少8小时大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ALB TLS 握手失败率过大(3.0模型新增) | ALB TLS 握手失败率过高可能表明客户端与服务端之间的加密通信存在问题,例如证书配置错误、协议版本不兼容、密钥套件不匹配或客户端使用了不受支持的加密算法等。这不仅会导致用户访问失败,影响业务可用性,还可能暴露安全漏洞,增加中间人攻击的风险。ALB实例的TLS握手失败率在过去某个时间范围内,有至少8小时大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | Redis 实例连接数使用率过高(3.0模型新增) | Redis实例的连接数使用率在某段时间内持续超过指定阈值,说明当前连接资源接近或达到上限,可能导致新的客户端无法建立连接、请求被拒绝或响应延迟增加,进而影响业务性能和稳定性。这种情况还可能暗示存在连接泄露、不合理连接池配置或突发流量压力等问题。Redis实例的连接数使用率在过去某个时间范围内,有至少8小时的平均使用率大于等于50%时,视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检CoreDNS服务后端服务器数为0(3.0模型新增) | ACK集群中CoreDNS后端服务器数为0会导致服务发现完全失效,集群内服务间通信中断(如微服务调用、数据库访问),应用无法通过服务名称解析地址,直接影响业务可用性。同时引发集群稳定性风险。存在ACK集群CoreDNS服务后端服务器数为0,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检API Server CLB 实例后端状态异常(3.0模型新增) | ACK集群API Server CLB实例后端状态异常会导致控制平面通信中断,直接引发集群管理完全失效,客户端(如kubectl)无法访问API Server,导致无法执行部署应用、查看状态等操作;同时,kubelet、控制器等组件因与API Server断连,将触发节点状态异常、Pod调度失败及自动化恢复机制失效,进而使集群稳定性崩溃,业务服务因API不可达而中断;此外,监控工具(如Prometheus)无法采集指标数据,导致异常无法及时告警与排查;更严重的是,API Server长期不可用可能造成集群状态与etcd存储数据不一致,引发数据丢失或操作异常,最终需立即检查CLB配置、后端节点健康状态及网络连通性,确保流量正常分发,避免集群彻底瘫痪。存在ACK集群API Server CLB 实例后端状态异常,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检APIServer绑定的CLB端口监听配置异常(3.0模型新增) | ACK集群APIServer绑定的CLB端口监听配置异常会导致API服务访问中断,客户端(如kubectl)无法连接集群,运维操作完全失效;同时,集群内组件(如kubelet、控制器)因无法与APIServer通信,引发节点状态异常、Pod调度失败及服务不可用;若监听协议错误或安全组限制缺失,可能造成未授权访问或流量劫持风险,需立即修复监听端口配置、验证协议类型及安全策略,避免集群瘫痪与数据泄露。存在ACK集群APIServer绑定的CLB端口监听配置异常,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检APIServer绑定的CLB实例不存在(3.0模型新增) | ACK集群APIServer未绑定CLB实例将导致API服务流量入口缺失,外部客户端(如kubectl)无法通过负载均衡访问API Server,集群管理完全中断;集群内组件(如kubelet、控制器)因无法建立稳定通信,可能引发节点状态异常、Pod调度失败及服务不可用;同时,API Server节点直接暴露IP地址,丧失流量分发与故障转移能力,存在单点故障风险,且增加未授权访问或DDoS攻击威胁,需立即创建并绑定CLB实例以恢复高可用性及安全访问。存在ACK集群APIServer绑定的CLB实例不存在,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检APIServer绑定的CLB实例状态异常(3.0模型新增) | ACK集群APIServer绑定的CLB实例状态异常会导致API服务流量转发失败,客户端(如kubectl)无法建立稳定连接,集群管理完全阻断;内部组件(如kubelet、控制器)因通信中断引发节点状态异常、Pod调度停滞及服务不可用;同时,CLB健康检查失效可能造成流量集中于故障节点,加剧单点风险,且异常状态若伴随安全配置错误(如未加密或端口暴露),可能引发未授权访问或中间人攻击,需立即修复CLB健康状态并验证安全策略,避免集群瘫痪与数据泄露。存在ACK集群APIServer绑定的CLB实例状态异常,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检节点池伸缩配置不可用(3.0模型新增) | ACK集群节点池伸缩配置不可用将导致集群无法自动调整节点数量,高负载时无法扩容引发资源耗尽,Pod调度失败或服务中断;低负载时无法缩容造成资源浪费与成本激增;同时,节点故障时自动替换机制失效,可能引发节点长期不可用,降低集群高可用性,长期更会导致HPA(Horizontal Pod Autoscaler)等自动化策略失效,集群状态失衡且运维成本攀升,需立即修复伸缩配置以恢复弹性能力。存在ACK集群节点池伸缩配置不可用,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检节点池伸缩组不可用(3.0模型新增) | ACK集群节点池伸缩组不可用将导致集群完全丧失自动扩缩容能力,高负载时无法动态扩容,引发节点资源枯竭、Pod调度失败或服务响应延迟;低负载时无法缩容,造成资源闲置与成本浪费;节点故障时自动替换机制失效,可能引发节点长期离线,加剧集群单点故障风险;同时,伸缩组异常会阻碍集群弹性应对突发流量或维护需求,长期导致服务稳定性下降与运维效率降低,需立即修复伸缩组状态以恢复集群弹性能力。存在ACK集群节点池伸缩组不可用,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检节点池安全组不可用(3.0模型新增) | ACK集群节点池安全组不可用将导致网络访问规则失效,集群组件间通信(如kubelet与API Server、Pod间服务发现)可能因端口封锁或规则缺失而中断;同时,未授权流量可能突破防护,增加节点被入侵或DDoS攻击风险;若出站规则异常,节点无法访问外部存储、镜像仓库或监控服务,引发依赖服务调用失败;安全组失效还会导致节点被误隔离,影响Pod调度与业务连续性,需立即修复规则配置以恢复网络隔离与通信安全。存在ACK集群节点池安全组不可用,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检节点池交换机不可用(3.0模型新增) | ACK集群节点池交换机不可用将导致节点间网络通信中断,Pod与服务无法跨节点交互,引发服务发现失败或数据传输停滞;控制平面与工作节点通信断开,节点被标记为不可用,可能触发错误驱逐或集群规模异常收缩;同时,节点无法访问外部存储、数据库等资源,导致应用功能瘫痪;网络分区风险加剧,可能造成集群脑裂或数据不一致,运维层面则因监控数据中断而无法及时定位故障,需紧急恢复交换机服务以保障网络连通性。存在ACK集群节点池交换机不可用,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检APIService不可用(3.0模型新增) | ACK集群APIService不可用将导致扩展API功能失效,自定义资源(如CRD)无法与控制面通信,引发Operator、服务网格等依赖扩展API的组件管理异常;API请求(如资源状态更新、配置下发)因服务中断失败,可能造成监控数据丢失、自动化策略失效或集群管理命令报错;若核心扩展API(如ADmission Webhook)受影响,将阻断资源创建流程,加剧集群操作阻塞风险,需紧急恢复APIService以避免关键功能瘫痪与数据不一致。存在ACK集群APIService不可用,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检存在异常的CoreDNS Pod(3.0模型新增) | ACK集群存在异常CoreDNS Pod将导致DNS解析服务不稳定,服务间通过域名通信可能出现超时或失败,引发应用调用中断;异常Pod可能触发控制器持续重启,增加控制平面负载,同时占用节点资源却无法提供有效服务;若Pod因配置错误或镜像漏洞异常,可能引发DNS劫持或解析污染,造成服务路由错误或数据泄露,需立即排查Pod状态并修复配置以恢复DNS服务可靠性。存在ACK集群存在异常的CoreDNS Pod,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检弹性组件状态异常(3.0模型新增) | ACK集群弹性组件状态异常将导致自动扩缩容、故障自愈等机制失效,高负载时无法动态扩容引发资源瓶颈,服务响应延迟或中断;节点/ Pod故障时无法自动替换,加剧可用性风险;同时,集群无法根据策略优化资源分配,造成成本浪费或运维效率下降,长期可能引发关键业务流程阻塞,需紧急修复弹性组件状态以恢复集群自适应能力。存在ACK集群弹性组件状态异常,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检LoadBalancer Service付费模式与实际实例不一致(3.0模型新增) | ACK集群LoadBalancer Service付费模式与实际实例不匹配将导致计费异常,可能引发意外交付(如预期包年包月却按量计费)或资源意外释放(如包年到期未续费),造成服务中断;同时,资源管理混乱会干扰自动扩缩容策略,增加运维成本与风险,需立即校准付费模式配置以避免账单偏差和业务可用性下降。存在ACK集群LoadBalancer Service付费模式与实际实例不一致,则视为不合规。 | 暂不支持快速修复。 | 否 |
风险巡检 | ACK集群巡检LoadBalancer Service证书实例ID与实际实例不一致(3.0模型新增) | ACK集群LoadBalancer Service证书实例ID与实际绑定证书不匹配将导致TLS配置失效,引发HTTPS服务连接拒绝或安全警告,用户访问中断;证书无效可能暴露未加密流量,增加中间人攻击风险,同时健康检查异常会误判后端服务状态,加剧流量分配紊乱,需立即同步证书配置以恢复安全通信与服务可用性。存在ACK集群LoadBalancer Service证书实例ID与实际实例不一致,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份与快照 | AnalyticDB PostgreSQL 版没有可用的数据备份集(3.0模型新增) | AnalyticDB PostgreSQL的数据备份检测旨在确保实例的备份策略已正确配置,以防止因数据丢失或误操作导致的业务中断。通过定期检查备份策略和备份状态,可以有效提升数据安全性和恢复能力。运行中的非Serverless类型AnalyticDB PostgreSQL版存储实例过去的指定小时内无可用的数据备份集,默认7天(168小时)则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份与快照 | ECI 弹性实例容器组未挂载数据卷 | ECI 弹性实例容器组未挂载数据卷,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份与快照 | Elasticsearch 实例未开启自动备份 | Elasticsearch 实例未开启自动备份,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份与快照 | RDS 实例未开启日志备份 | RDS 实例未开启日志备份,则视为不合规。 | 此修复将会为选中RDS实例开启日志备份,默认存储周期为7天。 | 否 |
数据备份与快照 | AnalyticDB MySQL版实例未开启日志备份 | ADB 集群未开启日志备份,则视为不合规。 | 此修复将会为选中AnalyticDB MySQL版集群开启日志备份,默认存储周期为7天。 | 否 |
数据备份与快照 | PolarDB 集群未开启二级备份 | PolarDB 集群未开启二级备份,且保留周期大于等于30,则视为不合规。 | 此修复将会为选中PolarDB集群设置数据的二级备份周期和二级备份保留周期(默认为30天),如果当前未启用二级备份,将会会自动开启。 | 否 |
数据备份与快照 | Redis 实例未设置增量备份 | Tair 类型的Redis实例未开启增量备份,则视为不合规。 | 暂不支持快速修复。 | 否 |
数据备份与快照 | MongoDB 实例未开启日志备份 | MongoDB 实例未开启日志备份,则视为不合规。 | 此修复将会为选中MongoDB集群启用日志备份,默认存储周期为7天。 | 否 |
数据备份与快照 | ECS 磁盘未设置自动快照策略 | ECS 磁盘未设置自动快照策略,则视为不合规。 | 此修复将会为选中ECS磁盘实例启用指定的快照策略,由于每个地域的快照策略相互独立,如选中磁盘所在地域存在同名策略将会使用已存在策略,否则将会新建快照策略。 | 否 |
数据备份与快照 | ECS 实例数据备份保护存在风险(3.0模型新增) | 针对不同的场景如日常数据保护,高危操作护航、地域性灾害防护、整机恢复等,应当选择不同的快照和备份方案,否则可能会导致无法恢复数据,备份方案不完整也会导致核心文件的可恢复性和效率无法达到预期。如果ECS实例未同时满足以下条件,则视为存在不合规:
| 暂不支持快速修复。 | 否 |
数据备份与快照 | OSS 存储空间数据备份策略存在风险 | 应针对存储空间级别的数据进行保护,如未开启版本控制,则数据覆盖和删除操作的历史版本可能无法被保存,一旦出现问题,无法将存储在Bucket中的Object恢复至具体时刻。同时若未开启跨地域复制,则相同或不同账号下的操作不会被同步至另一地域,当灾害或故障发生时,会严重伤害业务可持续性。如果OSS存储空间未同时满足以下条件,则视为不合规:
| 暂不支持快速修复。 | 否 |
数据备份与快照 | NAS 文件系统数据备份策略存在风险 | 若未开启NAS回收站及云备份,则当您的文件意外删除或者被篡改时,无法及时恢复。备份库未开启跨地域复制时,无法实现多版本异地备份,同时无法在异地恢复数据,严重影响业务可持续性。如果NAS文件系统未同时满足以下条件,则视为不合规:
| 暂不支持快速修复。 | 否 |
数据备份与快照 | 表格存储实例数据备份策略存在风险(3.0模型新增) | 若未开启Tablestore备份及跨地域备份,则无法通过简单、高效、安全可靠的方式快速恢复重要数据,一旦故障发生,则业务可持续性将受到严重影响。如果Tablestore表格存储未同时满足以下条件,则视为不合规:
| 暂不支持快速修复。 | 否 |
限额&容量 | 调用 ECS API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 RDS API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 SLB API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 CDN API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 Redis API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 PolarDB API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 VPC API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 ACK API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 RocketMQ API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用云企业网 CEN API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 ALB API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 调用 NAS API 被流控 | 调用 API 被流控,导致调用失败,可能会影响业务稳定。近7天内 API 调用存在流控异常问题,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | ACK 集群总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当ACK集群数量相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | ECS 按量付费实例 vCPU 的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当ECS按量付费实例vCPU额度相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | ECS 包年包月实例 vCPU 的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当ECS包年包月实例vCPU相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | ECS 抢占式实例 vCPU 的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当ECS抢占式实例vCPU相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 安全组总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当安全组总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 部署集总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当部署集总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | 弹性网卡总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当弹性网卡总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | SLB 实例总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当SLB实例总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | SLB 实例后端可挂载的服务器数量的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当SLB实例后端可挂载的服务器数量相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | SLB 实例保有的监听数量的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当SLB实例保有的监听数量相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | NAT 网关可绑定的 EIP 数量的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当NAT网关可绑定的EIP数量相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | NAT 网关中可保有的 SNAT 条目数量的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当NAT网关中可保有的SNAT条目数量相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | CDN 支持加速域名数量的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当CDN支持加速域名数量相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | CDN 目录刷新次数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当CDN目录刷新次数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | CDN URL刷新次数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当CDN URL刷新次数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | CDN 预热条数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当CDN预热条数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | ESS 伸缩组总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当ESS伸缩组总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | ROS 资源栈总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当ROS资源栈总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | EBS 云盘总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当EBS云盘总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | EIP 总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当EIP总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | ALB 实例总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当ALB实例总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | NLB 实例总数的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当NLB实例总数相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | RDS 按量实例的配额用量接近上限(3.0模型新增) | 资源额度不足可能会导致产品资源的创建、变更或扩展操作受到限制。当RDS按量实例相关的配额项达到其上限的80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
限额&容量 | RDS实例剩余空间容量不足(3.0模型新增) | RDS实例剩余空间容量不足可能导致数据库写入失败、性能下降,甚至引发服务中断或数据丢失风险。需要及时扩容或清理数据,避免业务异常,保障数据库稳定运行,提升系统的可靠性和运维的前瞻性。RDS实例剩余空间容量不足10%,则视为不合规。 | 暂不支持快速修复。 | 否 |
成本
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
成本策略 | ACK集群未启用成本套件 | 传统方式面对云原生场景缺少有效的成本洞察和成本控制的手段,成本套件提供了资源浪费检查、资源费用预测等功能。存在ACK集群未启用成本套件功能,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
付费方式优化 | RDS实例推荐使用包年包月付费方案 | 长期稳定使用的资源建议采用包年包月付费的方案。正常情况下RDS实例包年包月计费的费用会低于按量付费的费用。RDS实例存在按量付费的计费方案,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
付费方式优化 | ECS实例推荐使用包年包月付费方案或将按量付费的资源加入节省计划 | 长期稳定使用的资源建议采用包年包月付费的方案,正常情况下ECS实例包年包月的费用会低于按量付费的费用。节省计划是一种折扣权益计划,通过承诺在一定期限内使用稳定数量的资源,来换取较低的按量付费折扣。ECS实例存在按量付费的计费方案且未购买节省计划实例,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
应用资源优化 | ECS 实例资源使用率偏低 | 维护ECS实例资源使用率长期保持在合理水位是云上成本管理重要工作。云平台为企业提供了各种规格的ECS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现ECS实例的成本管控。如果ECS实例存在CPU使用率与内存使用率连续30天均低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
应用资源优化 | ECS 磁盘资源使用率偏低 | 维护ECS实例资源使用率长期保持在合理水位是云上成本管理重要工作。云平台为企业提供了各种规格的ECS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现ECS实例的成本管控。如果ECS磁盘存在使用率连续30天低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
应用资源优化 | RDS 实例资源使用率偏低 | 维护RDS实例资源使用率长期保持在合理水位是云上成本管理重要工作。云平台为企业提供了各种规格的RDS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现RDS实例的成本管控。如果RDS实例存在CPU使用率、内存使用率以及磁盘使用率连续30天低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
应用资源优化 | RDS 磁盘资源使用率偏低 | 维护RDS实例资源使用率长期保持在合理水位是云上成本管理的重要工作。云平台为企业提供了各种规格的RDS实例,企业需要根据实际业务的周期情况选择合适规格的实例,实现RDS实例的成本管控。如果RDS磁盘存在使用率连续30天低于3%的情况,则视为不符合最佳实践。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 ALB 实例 | ALB 负载均衡存在监听未添加后端服务器,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的共享带宽实例 | 共享带宽未绑定资源实例,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的容器镜像实例 | 容器镜像实例未创建命名空间或创建镜像仓库,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 ECS 实例 | ECS实例状态为已停止状态,且未设置停机节省模式,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 ECS 磁盘 | 云盘状态不为使用中,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 EIP 实例 | EIP 未绑定资源实例,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 NAT 网关 | NAT 网关未绑定 EIP或绑定的 EIP 未设置 SNAT/DNAT 条目,且网关创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 VPC NAT 网关 | VPC NAT 网关未绑定 EIP,或绑定的 EIP 未设置 SNAT/DNAT 条目,且网关创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 NAS 文件系统 | NAS 文件系统未添加挂载点,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 SLB 实例 | SLB 负载均衡不存在运行中的监听,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在闲置的 VPN 网关 | VPN 网关未配置目的路由策略或未开启路由自动传播,且创建时间超过7天,则视为不合规。 | 暂不支持快速修复。 | 否 |
应用资源优化 | 存在异常状态的ESA站点 | 该检测项确保站点已启用,以保证ESA可以为站点提供加速和保护。如果未启用,则视为不符合应用资源优化的最佳实践。 | 暂不支持快速修复。 | 否 |
成本监控 | 账号未开启可用额度预警(3.0模型新增) | 如果账号在费用与成本中心未开启“可用额度预警”,可能导致账户余额耗尽时无法及时收到通知,从而引发服务因欠费被暂停、数据丢失或业务中断等风险。此外,缺乏预警机制还可能造成成本失控,影响企业预算管理与财务合规性。账号在费用与成本中心未开启“可用额度预警”,视为不合规。 | 暂不支持快速修复。 | 否 |
效率
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
资源管理 | 关联资源被划分到了不同的资源组 | 有关联的资源如果没有放到统一资源组会导致基于资源组的权限、财务、运维等管理无法覆盖所有的目标资源。如果存在有关联的资源,但是不在同一个自定义资源组内,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源管理 | 未使用自定义资源组对资源进行分组 | 通过自定义资源组,可以更灵活地控制资源的访问和使用。若归属于自定义资源组的资源占总资源的比例小于75%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源管理 | 未使用自定义标签对资源进行打标 | 通过自定义标签,用户能更灵活地识别、排序和组织各类资源。若打上自定义标签的资源占总资源的比例小于75%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源管理 | 未开启创建者标签 | 当企业在云上的资源规模不断扩大时,需要多人对云上资源进行管理。在成本、安全等场景下,需要有效识别资源的创建者,便于进行成本划分或者安全溯源,提高管理效率。若未开启创建者标签,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源管理 | 未使用预置标签 | 预置标签是指预先创建并作用于所有地域的一种标签,使用预置标签可以在资源实施阶段方便地绑定和管理云资源。若预置标签占自定义标签的比例小于80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源管理 | 建议开启多账号资源搜索功能 | 通过使用资源目录管理多个阿里云账号,管理账号或委派管理账号可以查看和检索资源目录内所有成员的云上资源。如果未开启跨账号资源搜索,则视为不合规。 | 暂不支持快速修复。 | 否 |
账号体系 | 账号未被资源目录纳管 | 相比于多账号分散管理,统一管理多账号能够给企业带来权限、安全、成本方面的价值。当前账号不从属于任何资源目录,则视为不合规。 | 暂不支持快速修复。 | 否 |
账号体系 | 建议对账号所在资源目录设置委派管理员账号 | 用委派管理员账号可以将组织管理任务与业务管理任务相分离,管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务。如果资源目录管理账号(MA)启用的可信服务内未设置委派管理员账号,则视为不合规。 | 暂不支持快速修复。 | 否 |
账号体系 | 建议使用多账号消息联系人的集中管理 | 通过资源目录消息联系人管理功能,实现跨账号消息联系人的集中管理。当前未检测到资源目录消息联系人或消息联系人未绑定到资源目录、资源夹或成员上,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 资源创建接口的调用成功率未达到100% | 近30天使用自动化手段(OpenAPI、云控制API、SDK、Terraform 等)创建基础设施资源的成功率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 资源变更接口的调用成功率未达到100% | 近30天使用自动化手段(OpenAPI、云控制 API、SDK、Terraform 等)变更基础设施资源的成功率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 ECS API | 被弃用的 ECS API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 ECS API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 RDS API | 被弃用的 RDS API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 RDS API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 SLB API | 被弃用的 SLB API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 SLB API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 CDN API | 被弃用的 CDN API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 CDN API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 Redis API | 被弃用的 Redis API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 Redis API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 PolarDB API | 被弃用的 PolarDB API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 PolarDB API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 VPC API | 被弃用的 VPC API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 VPC API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 ACK API | 被弃用的 ACK API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 ACK API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 RocketMQ API | 被弃用的 RocketMQ API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 RocketMQ API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 CEN API | 被弃用的 CEN API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 CEN API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 ALB API | 被弃用的 ALB API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 ALB API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 存在用户调用已弃用的 NAS API | 被弃用的 NAS API不再维护,存在稳定性风险,且无法使用新特性。近30天内存在调用弃用 NAS API行为,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 建议采用自动化方式实现日常资源供给 | 近1年内使用非控制台调用 OpenAPI 创建资源的次数比率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 建议采用自动化方式实现对资源持续管理 | 近30天内使用非控制台调用 OpenAPI 持续管理资源的次数比率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源供给与编排 | 建议采用自动化方式管控资源 | 近30天内使用 SDK、Terraform、云控制 API、CADT、ROS、服务目录等自动化手段调用 OpenAPI 的比率未达到100%,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
性能监控 | MSE相关组件存在容量风险 | 确保资源容量在一个合理的范围内,如果超过了容量上限可能会导致稳定性风险。如果MSE有相关指标对应的容量超限,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | RDS 实例存在性能负载过高风险(3.0模型新增) | 当 RDS 实例 CPU、内存以及连接数中任意一项长时间过高时,会导致系统性能下降、稳定性降低甚至引发服务中断等问题,建议及时关注并处理。RDS实例的CPU,内存,连接数使用率,IOPS中的任意一项指标在最近7天内,有至少8个小时的平均使用率大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | Redis 实例存在性能负载过高风险(3.0模型新增) | 当 Redis 实例 CPU、内存长中任意一项时间过高时,会导致系统性能下降、稳定性降低甚至引发服务中断等问题,建议及时关注并处理。Redis实例的CPU,内存中的任意一项指标在最近7天内,有至少8个小时的平均使用率大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | SLB 实例存在性能负载过高风险(3.0模型新增) | 当 SLB 实例最大连接数、新建连接数以及网络流出带宽中任意一项使用率长时间过高时,会导致系统性能下降、稳定性降低甚至引发服务中断等问题,建议及时关注并处理。SLB实例的实例最大连接数使用率,新建连接数,网络流出带宽使用率中的任意一项指标在过去7天内,有至少8个小时的平均使用率大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | ALB 关联的共享带宽存在性能负载过高风险(3.0模型新增) | 当 ALB 实例关联的共享带宽的流出带宽使用率长时间过高时,会导致系统性能下降、稳定性降低甚至引发服务中断等问题,建议及时关注并处理。ALB实例关联的共享带宽的流出带宽使用率在过去24小时内,有至少8个小时的最大值大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | ALB 关联的 EIP 存在性能负载过高风险(3.0模型新增) | 当 ALB 实例关联的 EIP 的流出带宽使用率长时间过高时,会导致系统性能下降、稳定性降低甚至引发服务中断等问题,建议及时关注并处理。ALB实例关联的任意一个EIP的流出带宽使用率在过去24小时内,有至少8个小时的最大值大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | VPN 网关存在性能负载过高风险(3.0模型新增) | 当 VPN 网关的流入或流出带宽使用率长时间过高时,会导致系统性能下降、稳定性降低甚至引发服务中断等问题,建议及时关注并处理。VPN网关的流入带宽使用率、流出带宽使用率在过去24小时内,有至少8个小时的最大值大于等于80%时,视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | ECS资源存在因内存使用率过高导致的性能风险 | 保证核心云产品ECS的内存使用率处于健康水位,避免因内存不足导致的性能下降或服务中断风险。如果存在ECS实例的内存使用率过高,即在过去24小时内,ECS的内存使用率大于85%的时间累计超过9小时,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | EBS云盘存在因吞吐量过高导致的性能风险 | 帮助客户预防性能瓶颈,评估存储资源的分配是否合理,以及是否需要扩容,确保业务连续性。如果存在过去24小时内EBS云盘的IOPS或BPS使用率,超过该云盘类型对应IOPS或BPS的90%,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | EBS云盘存在因空间使用率过高导致的性能风险 | 过高的磁盘空间使用率可能导致数据丢失的风险增加,帮助客户及早发现潜在的性能瓶颈,采取措施避免性能下降。如果存在EBS云盘的空间使用率超过80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
性能监控 | ECS资源存在因CPU使用率过高导致的性能风险 | 保证核心云产品ECS的CPU使用率处于健康水位,是保障业务性能稳定和持续运行的基础。高负载不仅会导致应用响应变慢,还可能触发自动保护机制,如系统自动重启或服务降级。如果存在ECS实例的CPU使用率过高,即在过去24小时内CPU使用率大于85%的时间累计超过8小时,则视为不合规。 | 暂不支持快速修复。 | 否 |
网络设计 | 未使用 CDN 加速 OSS 资源访问(3.0模型新增) | 使用CDN分发OSS中的图片、视频、文档等静态资源,可以降低流量费用,提升资源加载速度。CDN通过在全球多个地区部署缓存节点,当用户请求访问OSS中的静态资源时,CDN会将用户的请求路由至距离用户最近的缓存节点,无需远距离请求直接访问OSS资源。与此同时,最近的CDN节点会将缓存的资源返回给用户,无需回源OSS,这一过程会产生CDN下行流量费用。相较于OSS外网流出流量,CDN下行流量单价更低。若当前OSS Bucket存在频繁请求调用,但未使用CDN进行OSS数据传输优化,视为不合规。 | 暂不支持快速修复。 | 否 |
网络设计 | 存在全球区域的ESA站点未开启智能路由 | 该检测项确保站点已开启智能路由,以提升ESA在全球区域的加速效果。如果未开启,则视为不符合网络优化的最佳实践。 | 暂不支持快速修复。 | 否 |
网络设计 | 存在ESA站点未配置缓存规则 | 该检测项确保站点已配置缓存规则,以减少回源的流量。如果未配置,则视为不符合网络优化的最佳实践。 | 暂不支持快速修复。 | 否 |
网络设计 | OSS Bucket 未设置自定义域名 | 使用自定义域名可以提升品牌形象和专业性,并且提升稳定性。自定义域名可以通过CNAME绑定实现CDN加速,提升访问性能;同时支持HTTPS安全访问,增强数据传输的安全性。当OSS Bucket未设置自定义域名,视为不合规。 | 暂不支持快速修复。 | 否 |
利用弹性资源 | 弹性伸缩组资源存在性能无法自动扩展风险 | 核心云产品如ECS资源能够根据性能负载自动增加或减少资源,保障业务在运行过程中的动态平衡。 | 暂不支持快速修复。 | 否 |
利用弹性资源 | RDS未开启自动扩缩容功能(3.0模型新增) | 如果RDS实例未开启自动扩缩容功能,可能导致在业务高峰期无法及时扩展资源应对负载增长,或在低峰期无法释放闲置资源,从而引发性能瓶颈、响应延迟甚至服务中断,同时造成资源浪费和不必要的成本支出。开启自动扩缩容功能,有助于客户实现资源的弹性调度与高效利用,在保障数据库稳定性和高可用性的同时,优化成本结构,提升云资源管理的智能化水平。RDS实例未开启自动扩缩容,则视为不合规。 | 暂不支持快速修复。 | 否 |
移除的检测项
以下2.0模型的部分检测项能力已合并到新版3.0模型,新版3.0模型已覆盖检测相关风险,因此在新版3.0模型中将如下检测项移除。
支柱 | 分类 | 检测项 | 检测项说明 |
安全 | 避免特权滥用 | 存在过多 RAM 身份被授予 OSS、SLS 高危权限 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。拥有 oss:Delete* 或 log:Delete* 相关权限的 RAM 身份,可以删除存储在 OSS 或 SLS 中的数据,管理不善可能会造成数据丢失。拥有 oss:PutBucketAcl、oss:PutObjectAcl、oss:PutBucketPolicy 等权限的 RAM 身份,可以修改 OSS Bucket 内文件的访问权限,导致 OSS 文件被外部访问,可能会造成未经授权的数据访问。在当前阿里云账号下,拥有 oss:Delete*、oss:PutAcl、oss:PutPolicy、log:Delete*、log:Update* 权限的 RAM 身份数小于等于3个,则认为满足要求。 |
安全 | 避免特权滥用 | 过多的RAM身份被授予了资源目录高危权限 | 使用资源目录,您可以实现组织内账号的统一管理,也可以基于当前组织创建新的账号,或将已有账号从当前组织中移除。按照最佳实践建议,仅组织内的管理员或者云管理团队负责人拥有资源目录的写操作类权限,如开启/禁用资源目录、创建/邀请/删除账号、切换账号类型等管理权限。通常情况下,企业内有该职能的人员应不超过3个。不建议为普通用户赋予资源目录相应的写权限,否则,可能会因误操作如删除了云账号等导致业务受损。 |
安全 | 使用细粒度授权 | 存在对访问操作范围进行收敛的 RAM 身份 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。在当前阿里云账号下,RAM 身份绑定了某个云服务的部分操作权限,则认为满足要求。 |
安全 | 使用细粒度授权 | 不存在对 OSS、SLS 访问进行收敛的 RAM 身份 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。尤其对于数据类产品的访问,例如:OSS、SLS 等,建议精细化授权,降低身份泄露导致的数据泄露风险。在当前阿里云账号下,如果 RAM 身份绑定了数据类产品相关的操作权限,必须进行精细化授权,请勿通过通配符*进行批量授权,则认为满足要求。 |
安全 | 授权效率与受控 | 为RAM身份授予的自定义策略生效范围未指定资源组 | 默认情况下,给RAM身份授予自定义策略时的生效范围为账号级别。这种情况下,如果在自定义策略中未明确限制指定资源,也未明确指定权限生效条件,那么该RAM身份会有该账号下所有资源的指定权限。按照云上资源管理最佳实践,应将资源按照资源组进行分组,在分组的基础上为RAM身份授权。在授权过程中,通过限制生效范围为资源组,可以更好地限制RAM身份所拥有的权限范围,实现精细化授权。为RAM身份授予的自定义策略,如果生效范围为资源组,或在策略条件中指定了资源组,则认为符合最佳实践。 |
安全 | 授权效率与受控 | 不存在有服务级系统策略的 RAM 身份授权被收敛到资源组 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。在当前阿里云账号下,拥有服务级系统策略(例如:AliyunECSFullAccess 等)的 RAM 身份,授权范围为资源组,则认为满足要求。 |
安全 | 授权效率与受控 | 不存在有 Admin 权限的 RAM 身份授权被收敛到资源组 | 针对 RAM 身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。在当前账号下,拥有 AdministratorAccess 权限的 RAM 身份,授权范围为资源组,则认为满足要求。 |
安全 | 不合规告警响应 | 未对风险操作事件设置告警规则 | 未启用任何一条操作审计事件告警里支持的账号安全相关的规则或 Actiontrail 操作合规相关的规则,则视为不合规。 |
安全 | 开启自动修正 | 未采用自动化方式修正不合规问题 | 用户未启用任一规则的自动修正,则视为不合规。 |
安全 | 数据存储实例应避免开放公网访问 | PolarDB实例IP白名单设置了0.0.0.0/0 | IP白名单指允许访问PolarDB集群的IP清单。若将IP白名单设置为%或者0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让PolarDB集群得到高级别的访问安全保护。集群IP白名单设置了0.0.0.0/0或%,则认为不符合最佳实践。 |
安全 | 数据存储实例应避免开放公网访问 | RDS实例IP白名单设置了0.0.0.0/0 | IP白名单指允许访问RDS实例的IP清单。若将IP白名单设置为0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让数据库实例得到高级别的访问安全保护。实例IP白名单设置了0.0.0.0/0,则认为不符合最佳实践。 |
安全 | 数据存储实例应避免开放公网访问 | Redis实例IP白名单设置了0.0.0.0/0 | IP白名单指允许访问Redis实例的IP清单。若将IP白名单设置为0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让数据库实例得到高级别的访问安全保护。实例IP白名单设置了0.0.0.0/0,则认为不符合最佳实践。 |
安全 | 数据存储实例应避免开放公网访问 | MongoDB实例IP白名单设置了0.0.0.0/0 | IP白名单指允许访问MongoDB实例的IP清单。若将IP白名单设置为0.0.0.0/0,表示允许任何IP地址访问数据库集群,该设置将极大降低数据库的安全性,如非必要请勿使用。最佳实践建议遵循最小化原则,设置合适的IP白名单,让数据库实例得到高级别的访问安全保护。实例IP白名单设置了0.0.0.0/0,则认为不符合最佳实践。 |
安全 | 数据存储实例应避免开放公网访问 | Elasticsearch实例IP白名单设置了0.0.0.0/0 | 实例IP白名单指允许访问Elasticsearch实例的IP清单。若将IP白名单设置为0.0.0.0/0或 |
稳定 | 删除保护 | Redis 资源存在未开启释放保护 | Redis 实例未开启释放保护,则视为不合规。 |
稳定 | 删除保护 | ECS 资源存在未开启释放保护 | ECS 实例未开启释放保护,则视为不合规。 |
稳定 | 变更管理 | Redis 资源可维护时间段存在不合理窗口 | Redis 实例自动备份的时间段不在04:00-05:00,05:00-06:00,12:00-13:00范围内,则视为不合规。 |
稳定 | 变更管理 | PolarDB 资源可维护时间段存在不合理窗口 | PolarDB 集群的可维护时间段不在02:00-04:00,06:00-10:00范围内,则视为不合规。 |
稳定 | 变更管理 | ADB 资源可维护时间段存在不合理窗口 | ADB 集群的可维护时间段不在02:00-04:00,06:00-08:00,12:00-13:00范围内,则视为不合规。 |
稳定 | 变更管理 | RDS 资源可维护时间段存在不合理窗口 | RDS 实例的可维护时间段不在02:00-06:00,06:00-10:00范围内,则视为不合规。 |
稳定 | 变更管理 | ECS 资源可维护时间段存在不合理窗口 | ECS 实例创建快照会暂时降低块存储I/O性能,自动快照策略中设置的快照创建时间点不是01:00、02:00,则视为不合规。 |
成本 | 资源成本优化 | 未启用 “资源空闲检测最佳实践” 合规包 | 未在配置审计中开启资源空闲检测合规包,则视为不合规。 |
效率 | 资源分组及隔离 | 同一组织未使用多账号来管理资源 | 阿里云账号有多层含义,每个云账号都是完全隔离的租户,默认在资源访问、网络部署和身份权限都是完全独立和隔离的;云账号还关联账单,可以将不同业务部署在不同的云账号,实现成本的独立核算和出账。采用多账号管理从环境隔离、安全合规、业务创新等方面都能够给企业带来收益。同一个实体下存在两个及以上阿里云账号,则满足条件。 |
效率 | 自动化质量 | ECS额度存在饱和风险 | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 |
效率 | 自动化质量 | VPC额度存在饱和风险 | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 |
效率 | 自动化质量 | SLB额度存在饱和风险 | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 |
效率 | 自动化质量 | CEN额度存在饱和风险 | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 |
效率 | 自动化质量 | ACK额度存在饱和风险 | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 |
效率 | 自动化质量 | CDN额度存在饱和风险 | 产品资源创建、变更或产品功能使用可能会遇到异常。近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 |