Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
云上运维 | 安全&合规 |

企业会面临外部对企业云上信息系统的合规要求,提供云上资源的操作审计和配置审计最佳实践

云服务器ECS 云数据库RDS MySQL 版 函数计算 操作审计 配置审计
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭
安全&合规 |

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求

云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书
数据分析 |

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点

云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=179, bpId=114, name=云上持续审计合规最佳实践, author=null, keyword=合规,管理效率,自主监管,操作审计,配置审计, description=企业会面临外部对企业云上信息系统的合规要求,提供云上资源的操作审计和配置审计最佳实践, position=null, ossUrl=bp-NK0UKMWC2QJN0HBQ.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

本方案是面向云上资源的操作审计和配置审 计,提供的最佳实践。适用于企业型客户。通过最佳实践帮助客户在本场景下更好的使用 阿里云,涉及到配置审计、操作审计、函数计算、SLS、OSS 等服务的实践操作。 解决问题 企业会面临外部对企业云上信息系统的合规要求,如等保2.0法规要求。 同时当云上资源达到一定规模时,在内部会制定合规管控的基线,满足自身管理效率和安全合规的需 求。 包括记录云上资源管理的操作日志、资源配置变更日志,还需依赖云平台提供的持续监控和自动告警能力,实现合规性的自主监管。

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1 云上持续审计合规 最佳实践 业务架构 场景描述 企业会面临外部对企业云上信息系统的合规要求,如等 保 2.0法规要求,同时当云上资源达到一定规模时,在 内部会制定合规管控的基线,满足自身管理效率和安全 合规的需求,包括记录云上资源管理的操作日志、资源 配置变更日志,还需依赖云平台提供的持续监控和自动 告警能力,实现合规性的自主监管。 解决问题 本方案是面向云上资源的操作审计和配置审计提供的 最佳实践。适用于企业型客户。 通过最佳实践帮助客户在本场景下更好地使用阿里云, 涉及到配置审计、操作审计、函数计算、SLS、OSS等 服务的实践操作。 产品列表 最佳实践频道 阿里云最佳实践技术分享群 ⚫ 操作审计(ActionTrail) ⚫ 配置审计(Config) ⚫ 函数计算(FC) ⚫ 日志服务(SLS) ⚫ 对象存储(OSS) ⚫ 云服务器(ECS) ⚫ 数据库(RDS) ⚫ 专有网络(VPC)
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息 阿里云 云上持续审计合规 最佳实践 文档版本:V1.3(2021-07-26) 文档版本:20150122(发布日期) II
3云上持续审计合规最佳实践 文档版本信息 文档版本信息 文本信息 属性 内容 云上持续审计合规最佳实践 文档名称 文档编号 114 文档版本 V1.3 版本日期 2021-07-26 文档状态 外部发布 制作人 阿瑟、天裵 审阅人 予与、仁宇、宋宇 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-11-14 阿瑟 予与、仁宇、宋宇 创建 V1.1 2019-11-20 筱晖 - 文档优化 V1.2 2020-01-14 阿瑟 增加概览页 V1.3 2021-07-26 天裵 予与、阿瑟 ⚫ 更新标题 ⚫ 更新产品截图 ⚫ 新增章节 2.1.6 账号组; ⚫ 新增章节 2.2合 规包; ⚫ 新增章节 3.1企 业级中心化审 计方案和 3.2单 账号审计方案。 ⚫ 优化章节顺序 文档版本:20210726 I
4云上持续审计合规最佳实践 场景描述 场景描述 概述 本方案是面向云上资源的操作审计和配置审计,提供的最佳实践。适用于企业型客户。 企业会面临外部对企业云上信息系统的合规要求,如等保 2.0法规要求。同时当云上 资源达到一定规模时,在内部会制定合规管控的基线,满足自身管理效率和安全合规 的需求。包括记录云上资源管理的操作日志、资源配置变更日志,还需依赖云平台提 供的持续监控和自动告警能力,实现合规性的自主监管。 通过最佳实践帮助客户在本场景下更好的使用阿里云,最佳实践中涉及到配置审计、 操作审计、函数计算、SLS、OSS等服务的实践操作。 要点说明 ⚫ 操作审计仅支持在线查询 90天的操作日志,而等保 2.0要求云上信息系统的日志 至少保存 180天。强烈建议在操作审计配置跟踪,将日志投递到 SLS以保存 180 以上或永久保存。 ⚫ 操作审计在投递时会执行集中投递,您配置日志投递到 SLS或 OSS时需注意, 各区域的操作日志都将投递到该指定的 SLS或 OSS。 ⚫ 操作审计的操作日志投递到 SLS或 OSS,根据您日志的具体量级会产生不同的 存储费用。 ⚫ 配置审计尚未支持阿里云所有产品,您开通配置审计后看到的资源列表可能不是 您的全部资源。配置审计会逐步支持更多云产品,您有具体的需求可通过工单反 馈到产品。 ⚫ 您完成资源变更操作后,0~10分钟内可在配置审计控制台看到相应的资源配置变 更记录。 ⚫ 在配置审计中使用托管规则模板创建规则后,规则成功创建的同时将默认立即执 行一次合规评估。 ⚫ 在配置审计中使用函数计算自定义合规规则时,您需要特别注意规则的入参名称 跟资源配置的字段名称保持一致。 名词解释 ⚫ 操作审计(ActionTrail):记录客户云账户云上管控操作事件,提供操作记录查询, 并可以将审计事件持续保存到指定的日志服务 Logstore或者 OSS存储空间。在 文档日期:20210726 III
5云上持续审计合规最佳实践 场景描述 日志服务 Logstore中可以实现安全分析、资源变更追踪以及合规性审计。 详见:https://www.aliyun.com/product/actiontrail ⚫ 配置审计(Config):为客户提供面向资源的配置历史追踪、配置合规审计、自动 修正“不合规”配置等能力。面对大量资源,帮助客户轻松实现基础设施的自主监管, 确保持续性合规。 详见:https://www.aliyun.com/product/config ⚫ 函数计算(Function Compute): 是一个事件驱动的全托管 Serverless 计算服务。 无需管理服务器等基础设施,只需编写代码并上传。函数计算会为客户准备好计 算资源,并以弹性、可靠的方式运行您的代码。 详见:https://www.aliyun.com/product/fc ⚫ 日志服务(SLS):一站式提供数据收集、清洗、分析、可视化和告警功能。全面 提升海量日志处理能力,实时挖掘数据价值,智能助力研发/运维/运营/安全等场景。 详见:https://www.aliyun.com/product/sls ⚫ 对象存储(OSS):使用 RESTful API 可以在互联网任何位置存储和访问,容量和 处理能力弹性扩展,多种存储类型供选择全面优化存储成本。 详见:https://www.aliyun.com/product/oss ⚫ VPC:Virtual Private Cloud,简称 VPC。基于阿里云创建的自定义私有网络, 不 同的专有网络之间二层逻辑隔离,可以在自己创建的专有网络内创建和管理云产 品实例,比如 ECS、负载均衡、RDS等。在创建前,您需要结合具体业务,规划 VPC和交换机的数量及网段等。 详见:https://www.aliyun.com/product/vpc ⚫ SLB:Server Load Balancer,简称 SLB。多台云服务器进行流量分发的负载均衡 服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升 应用系统的可用性。 详见:https://www.aliyun.com/product/slb ⚫ ECS:Elastic Compute Service,简称 ECS。是阿里云提供的一种基础云计算服 务无需提前采购硬件设备,根据业务需要,随时创建所需数量的云服务器 ECS实 例。在使用过程中,随着业务的扩展,可以随时扩容磁盘、增加带宽。也能随时释 放资源,节省费用。 文档日期:20210726 IV
6云上持续审计合规最佳实践 场景描述 详见:https://www.aliyun.com/product/ecs ⚫ RDS:Relational Database Service,简称 RDS,是一种稳定可靠、可弹性伸缩 的在线数据库服务。基于阿里云分布式文件系统和 SSD盘高性能存储,RDS支 持 MySQL、SQL Server、PostgreSQL、PPAS和 MariaDB引擎,提供了容灾、 备份、恢复、监控、迁移等方面全套解决方案,彻底解决数据库运维烦恼。 详见:https://www.aliyun.com/product/rds/mysql 文档日期:20210726 V
7云上持续审计合规最佳实践 目录 目录 文档版本信息 .............................................................................................................................................................. I 法律声明 ..................................................................................................................................................................... II 场景描述 .................................................................................................................................................................... III 目录 ............................................................................................................................................................................ VI 前置条件 ..................................................................................................................................................................... 1 1. 云上 IT系统持续合规 ........................................................................................................................................ 2 1.1. 持续合规 ............................................................................................................................................. 2 1.2. 配置审计和操作审计 ......................................................................................................................... 2 2. 配置审计 ............................................................................................................................................................. 4 2.1. 跨区域跨产品的云上资源概览.......................................................................................................... 4 2.1.1. 编辑监控范围 ............................................................................................................................. 4 2.1.2. 查看资源概览 ............................................................................................................................. 5 2.1.3. 搜索相关资源 ............................................................................................................................. 7 2.1.4. 查看近期发生的资源变更.......................................................................................................... 7 2.1.5. 查看具体资源的配置时间线...................................................................................................... 8 2.1.6. 通过账号组管理资源目录中资源 ............................................................................................ 10 2.2. 合规包 ............................................................................................................................................... 13 2.3. 审计规则 ........................................................................................................................................... 16 2.3.1. 使用模版创建审计规则............................................................................................................ 16 2.3.1.1. 新建合规规则检查是否开启操作审计 ............................................................................ 16 2.3.1.2. 解决 actiontrail-enabled数据不足使其合规 ................................................................... 18 2.3.1.3. 检查 RDS的高可用能力 ................................................................................................... 20 2.3.1.4. 解决资源不合规(RDS高可用) .................................................................................... 22 2.3.1.5. 检查 RDS不允许公网访问 ............................................................................................... 24 2.3.1.6. SLB是否开通 HTTPS监听 ................................................................................................. 26 2.3.1.7. 指定资源是否具有指定标签 ............................................................................................ 28 2.3.2. 自定义新建规则 ....................................................................................................................... 31 2.3.2.1. 规则 A: ECS是否由特定镜像启动.................................................................................... 31 2.3.2.2. 创建指定函数(FC) ........................................................................................................ 31 2.3.2.3. 调用指定函数自定义规则 ................................................................................................ 35 2.3.2.4. 规则 B: 检测 CDN是否开通 HTTPS ................................................................................. 37 2.3.2.5. 创建指定函数(FC) ........................................................................................................ 37 2.3.2.6. 调用指定函数自定义规则 ................................................................................................ 40 2.3.3. 配置审计验证 ........................................................................................................................... 44 2.3.3.1. 验证 RDS的高可用合规检验 ........................................................................................... 44 2.3.3.2. 验证 CDN开通 HTTPS的合规检验 .................................................................................. 45 3. 操作审计 ........................................................................................................................................................... 48 3.1. 企业级多账号中心化审计方案........................................................................................................ 48 3.1.1. 前序工作 ................................................................................................................................... 49 3.1.2. 日志账号配置 ........................................................................................................................... 50 3.1.2.1. 登录日志账号.................................................................................................................... 50 3.1.2.2. 创建 SLS project ................................................................................................................. 51 文档日期:20210726 VI
8云上持续审计合规最佳实践 目录 3.1.2.3. 创建 OSS Bucket ................................................................................................................ 53 3.1.2.4. 为审计人员创建 RAM用户并授权 .................................................................................. 55 3.1.2.5. 为操作审计创建 RAM角色 .............................................................................................. 58 3.1.3. 企业管理账号配置 ................................................................................................................... 62 3.1.3.1. 登录管理账号.................................................................................................................... 62 3.1.3.2. 创建多账号跟踪................................................................................................................ 63 3.1.4. 确认日志同步成功 ................................................................................................................... 65 3.1.4.1. 登录日志账号.................................................................................................................... 65 3.1.4.2. 确认 SLS同步日志成功 .................................................................................................... 66 3.1.4.3. 设置 SLS logstore保存时间 .............................................................................................. 66 3.1.4.4. 确认 OSS同步日志成功 ................................................................................................... 67 3.1.5. 构建分析看板 ........................................................................................................................... 67 3.1.5.1. 登录日志账号.................................................................................................................... 67 3.1.5.2. 基于 SLS分析操作事件并构建分析看板 ........................................................................ 68 3.1.5.3. 更多分析示例.................................................................................................................... 73 3.2. 单账号审计方案 ............................................................................................................................... 74 文档日期:20210726 VII