备案控制台
阿里云 全部技术解决方案

云上持续审计合规最佳实践

相关产品

客户案例

相关推荐

浙江正元智慧科技股份有限公司
浙江正元智慧科技股份有限公司

浙江正元智慧科技股份有限公司创建于1994年,是国家火炬计划重点高新技术企业。公司拥有自主研发生产的百余项软件著作权、专利及多系列核心硬件产品。产品通过公安部、人民银行认证,先后获得“武警部队科技进步一等奖”、“国家金卡工程金蚂蚁奖”、“中国国际软件博览会金奖”。公司在原有一卡通的基础上,运用新一代AIoT(人工智能+大数据+区块链+云计算+ 物联网技术),着力构建物联中台、业务中台、数据中台、算法中台,推出一体化智能化的协同融合服务平台,打造多技术融合、多主体协同、多场景应用的智慧园区全面解决方案。核心业务覆盖校园、企事业、社区等,成为智慧园区解决方案引领者。

壹药网科技(上海)股份有限公司
壹药网科技(上海)股份有限公司

1药网由于刚和刘峻岭于2010年创建,是中国互联网医药健康的领军企业,致力于用数字科技将患者和药品及医疗服务有机连接,打造中国最大的医药健康平台。
1药网基于在互联网科技、智能供应链、全渠道药品商业化、云服务方面建立的优势,与药企、药品流通商、保险企业等合作伙伴共建供应链服务平台,为B端的药店、医生赋能,从而更好地服务用户(S2B2C)。1药网通过数字化手段重构医药健康的产业价值链,让需求和供给实现更高效的匹配,为中国大众的就医买药提供完整的解决方案以及实惠和方便。
1药网旗下拥有:B2C医药平台“1药网”、互联网医院“1诊”,B2B医药平台“1药城”,通过创新的S2B2C的模式,全面实现B端和C端、线上和线下、自营和平台、医+药+保险的融合发展。2018年,1药网成功登陆美国纳斯达克,股票代码“YI”,成为中国互联网医药健康赴美上市第一股。

上海流利说信息技术有限公司
上海流利说信息技术有限公司

流利说是一家领先的科技驱动的教育公司,拥有一支业内领先的人工智能团队。经过多年积累,流利说已拥有巨型的“中国人英语语音数据库”,截止至2019年6月30日,已累积实现记录大约37亿分钟的对话和504亿句录音。在此基础上,公司自主研发了领先的英语口语评测、写作打分引擎和深度自适应学习系统,致力于为用户提供一整套系统性的英语学习解决方案,从听、说、读、写多个维度提升用户的英语水平,并获得多项专利。

探索阿里云产品,构建云上应用和服务

免费试用

相关产品

客户案例

相关推荐

云服务器ECS

云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

云数据库RDS MySQL 版

MySQL 是全球最受欢迎的开源数据库之一,作为开源软件组合 LAMP(Linux + Apache + MySQL + Perl/PHP/Python)中的重要一环,广泛应用于各类应用场景。

函数计算

函数计算(Function Compute)是一个事件驱动的全托管 Serverless 计算服务。您无需管理服务器等基础设施,只需编写代码并上传。函数计算会为您准备好计算资源,并以弹性、可靠的方式运行您的代码。

操作审计

操作审计(ActionTrail)会记录您的云账户资源操作,提供操作记录查询,并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。利用ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。

配置审计

配置审计服务为您提供面向资源的配置历史追踪、配置合规审计、自动修正“不合规”配置等能力。面对大量资源,让您轻松实现基础设施的自主监管,确保持续性合规。

浙江正元智慧科技股份有限公司
浙江正元智慧科技股份有限公司

浙江正元智慧科技股份有限公司创建于1994年,是国家火炬计划重点高新技术企业。公司拥有自主研发生产的百余项软件著作权、专利及多系列核心硬件产品。产品通过公安部、人民银行认证,先后获得“武警部队科技进步一等奖”、“国家金卡工程金蚂蚁奖”、“中国国际软件博览会金奖”。公司在原有一卡通的基础上,运用新一代AIoT(人工智能+大数据+区块链+云计算+ 物联网技术),着力构建物联中台、业务中台、数据中台、算法中台,推出一体化智能化的协同融合服务平台,打造多技术融合、多主体协同、多场景应用的智慧园区全面解决方案。核心业务覆盖校园、企事业、社区等,成为智慧园区解决方案引领者。

壹药网科技(上海)股份有限公司
壹药网科技(上海)股份有限公司

1药网由于刚和刘峻岭于2010年创建,是中国互联网医药健康的领军企业,致力于用数字科技将患者和药品及医疗服务有机连接,打造中国最大的医药健康平台。
1药网基于在互联网科技、智能供应链、全渠道药品商业化、云服务方面建立的优势,与药企、药品流通商、保险企业等合作伙伴共建供应链服务平台,为B端的药店、医生赋能,从而更好地服务用户(S2B2C)。1药网通过数字化手段重构医药健康的产业价值链,让需求和供给实现更高效的匹配,为中国大众的就医买药提供完整的解决方案以及实惠和方便。
1药网旗下拥有:B2C医药平台“1药网”、互联网医院“1诊”,B2B医药平台“1药城”,通过创新的S2B2C的模式,全面实现B端和C端、线上和线下、自营和平台、医+药+保险的融合发展。2018年,1药网成功登陆美国纳斯达克,股票代码“YI”,成为中国互联网医药健康赴美上市第一股。

上海流利说信息技术有限公司
上海流利说信息技术有限公司

流利说是一家领先的科技驱动的教育公司,拥有一支业内领先的人工智能团队。经过多年积累,流利说已拥有巨型的“中国人英语语音数据库”,截止至2019年6月30日,已累积实现记录大约37亿分钟的对话和504亿句录音。在此基础上,公司自主研发了领先的英语口语评测、写作打分引擎和深度自适应学习系统,致力于为用户提供一整套系统性的英语学习解决方案,从听、说、读、写多个维度提升用户的英语水平,并获得多项专利。

云上网站经典架构

基于ECS、RDS和SLB经典云上架构,应对传统IDC在成本预估、系统稳定性、灾备等方面的挑战。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 负载均衡 SLB CDN 云速搭CADT
云上持续审计合规最佳实践

企业会面临外部对企业云上信息系统的合规要求,提供云上资源的操作审计和配置审计最佳实践
云服务器ECS 云数据库RDS MySQL 版 函数计算 操作审计 配置审计
云桌面远程办公

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源
云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
云效+ACK构建容器云Devops平台

使用云效完成容器应用自动化构建和持续部署
专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭CADT
电商网站业务安全

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作
云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理 云速搭CADT
数据湖-在线学习场景数据分析

本场景以在线教育中一个答题闯关类的应用为例,使用Web Server来模拟演示这类 日志数据的分析处理。通过Nginx和Python flask搭建Web Server,模拟应用中的关 键页面,比如登录、课程内容等,之后构造若干用户使用的模拟日志数据,投递到数 据湖进行分析后获取应用PV、UV、课程内容访问排行、平均得分等等。
专有网络 VPC 云服务器ECS 对象存储 OSS 访问控制 E-MapReduce
基于MaxCompute的大数据BI分析

在互联网、电商及游戏等行业通常需要对海量数据做快速实时分析和决策/本文演示如何将业务数据和日志数据通过MaxCompute处理后汇总到ADB/并通过QuickBI等工具进行可视化分析的方案。
日志服务(SLS) 大数据计算服务 MaxCompute 云原生数据仓库AnalyticDB MySQL版 Quick BI 云速搭CADT
基于ECI的ACK集群高弹性架构

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制
云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭CADT
资源管理

指定结算账号统筹管理企业多个阿里云账号及资源,使用资源组按照项目或应用视角来进行分组管理和访问管控。
资源管理
企业上云等保三级合规

云原生高性价比的等保三级最佳实践;在等保二级基础上,叠加必要的安全产品及高可用架构/满足三级要求
云服务器ECS 日志服务(SLS) 云安全中心 Web应用防火墙 操作审计 数据库审计 堡垒机 云防火墙 SSL证书 云速搭CADT
服务器迁移

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS
专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭CADT
微服务架构日志采集运维管理

微服务应用化过程的日志采集运维管理,解决用户微服务改造过程中日志采集处理分析痛点
云服务器ECS 云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 容器镜像服务 ACR

探索阿里云产品,构建云上应用和服务

免费试用

温馨提示

抱歉,登录前您只能看到8页哦。立刻登录,浏览全部技术解决方案最佳实践案例内容!

如果您是企业账号,可以生成子账号授权访问。

BpFile(id=179, bpId=114, name=云上持续审计合规最佳实践, author=null, keyword=合规,管理效率,自主监管,操作审计,配置审计, description=企业会面临外部对企业云上信息系统的合规要求,提供云上资源的操作审计和配置审计最佳实践, position=null, ossUrl=bp-NK0UKMWC2QJN0HBQ.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

本方案是面向云上资源的操作审计和配置审 计,提供的最佳实践。适用于企业型客户。通过最佳实践帮助客户在本场景下更好的使用 阿里云,涉及到配置审计、操作审计、函数计算、SLS、OSS 等服务的实践操作。 解决问题 企业会面临外部对企业云上信息系统的合规要求,如等保2.0法规要求。 同时当云上资源达到一定规模时,在内部会制定合规管控的基线,满足自身管理效率和安全合规的需 求。 包括记录云上资源管理的操作日志、资源配置变更日志,还需依赖云平台提供的持续监控和自动告警能力,实现合规性的自主监管。

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)
1 云上持续审计合规 最佳实践 业务架构 场景描述 企业会面临外部对企业云上信息系统的合规要求,如等 保 2.0法规要求,同时当云上资源达到一定规模时,在 内部会制定合规管控的基线,满足自身管理效率和安全 合规的需求,包括记录云上资源管理的操作日志、资源 配置变更日志,还需依赖云平台提供的持续监控和自动 告警能力,实现合规性的自主监管。 解决问题 本方案是面向云上资源的操作审计和配置审计提供的 最佳实践。适用于企业型客户。 通过最佳实践帮助客户在本场景下更好地使用阿里云, 涉及到配置审计、操作审计、函数计算、SLS、OSS等 服务的实践操作。 产品列表 最佳实践频道 阿里云最佳实践技术分享群 ⚫ 操作审计(ActionTrail) ⚫ 配置审计(Config) ⚫ 函数计算(FC) ⚫ 日志服务(SLS) ⚫ 对象存储(OSS) ⚫ 云服务器(ECS) ⚫ 数据库(RDS) ⚫ 专有网络(VPC)
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息 阿里云 云上持续审计合规 最佳实践 文档版本:V1.3(2021-07-26) 文档版本:20150122(发布日期) II
3云上持续审计合规最佳实践 文档版本信息 文档版本信息 文本信息 属性 内容 云上持续审计合规最佳实践 文档名称 文档编号 114 文档版本 V1.3 版本日期 2021-07-26 文档状态 外部发布 制作人 阿瑟、天裵 审阅人 予与、仁宇、宋宇 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-11-14 阿瑟 予与、仁宇、宋宇 创建 V1.1 2019-11-20 筱晖 - 文档优化 V1.2 2020-01-14 阿瑟 增加概览页 V1.3 2021-07-26 天裵 予与、阿瑟 ⚫ 更新标题 ⚫ 更新产品截图 ⚫ 新增章节 2.1.6 账号组; ⚫ 新增章节 2.2合 规包; ⚫ 新增章节 3.1企 业级中心化审 计方案和 3.2单 账号审计方案。 ⚫ 优化章节顺序 文档版本:20210726 I
4云上持续审计合规最佳实践 场景描述 场景描述 概述 本方案是面向云上资源的操作审计和配置审计,提供的最佳实践。适用于企业型客户。 企业会面临外部对企业云上信息系统的合规要求,如等保 2.0法规要求。同时当云上 资源达到一定规模时,在内部会制定合规管控的基线,满足自身管理效率和安全合规 的需求。包括记录云上资源管理的操作日志、资源配置变更日志,还需依赖云平台提 供的持续监控和自动告警能力,实现合规性的自主监管。 通过最佳实践帮助客户在本场景下更好的使用阿里云,最佳实践中涉及到配置审计、 操作审计、函数计算、SLS、OSS等服务的实践操作。 要点说明 ⚫ 操作审计仅支持在线查询 90天的操作日志,而等保 2.0要求云上信息系统的日志 至少保存 180天。强烈建议在操作审计配置跟踪,将日志投递到 SLS以保存 180 以上或永久保存。 ⚫ 操作审计在投递时会执行集中投递,您配置日志投递到 SLS或 OSS时需注意, 各区域的操作日志都将投递到该指定的 SLS或 OSS。 ⚫ 操作审计的操作日志投递到 SLS或 OSS,根据您日志的具体量级会产生不同的 存储费用。 ⚫ 配置审计尚未支持阿里云所有产品,您开通配置审计后看到的资源列表可能不是 您的全部资源。配置审计会逐步支持更多云产品,您有具体的需求可通过工单反 馈到产品。 ⚫ 您完成资源变更操作后,0~10分钟内可在配置审计控制台看到相应的资源配置变 更记录。 ⚫ 在配置审计中使用托管规则模板创建规则后,规则成功创建的同时将默认立即执 行一次合规评估。 ⚫ 在配置审计中使用函数计算自定义合规规则时,您需要特别注意规则的入参名称 跟资源配置的字段名称保持一致。 名词解释 ⚫ 操作审计(ActionTrail):记录客户云账户云上管控操作事件,提供操作记录查询, 并可以将审计事件持续保存到指定的日志服务 Logstore或者 OSS存储空间。在 文档日期:20210726 III
5云上持续审计合规最佳实践 场景描述 日志服务 Logstore中可以实现安全分析、资源变更追踪以及合规性审计。 详见:https://www.aliyun.com/product/actiontrail ⚫ 配置审计(Config):为客户提供面向资源的配置历史追踪、配置合规审计、自动 修正“不合规”配置等能力。面对大量资源,帮助客户轻松实现基础设施的自主监管, 确保持续性合规。 详见:https://www.aliyun.com/product/config ⚫ 函数计算(Function Compute): 是一个事件驱动的全托管 Serverless 计算服务。 无需管理服务器等基础设施,只需编写代码并上传。函数计算会为客户准备好计 算资源,并以弹性、可靠的方式运行您的代码。 详见:https://www.aliyun.com/product/fc ⚫ 日志服务(SLS):一站式提供数据收集、清洗、分析、可视化和告警功能。全面 提升海量日志处理能力,实时挖掘数据价值,智能助力研发/运维/运营/安全等场景。 详见:https://www.aliyun.com/product/sls ⚫ 对象存储(OSS):使用 RESTful API 可以在互联网任何位置存储和访问,容量和 处理能力弹性扩展,多种存储类型供选择全面优化存储成本。 详见:https://www.aliyun.com/product/oss ⚫ VPC:Virtual Private Cloud,简称 VPC。基于阿里云创建的自定义私有网络, 不 同的专有网络之间二层逻辑隔离,可以在自己创建的专有网络内创建和管理云产 品实例,比如 ECS、负载均衡、RDS等。在创建前,您需要结合具体业务,规划 VPC和交换机的数量及网段等。 详见:https://www.aliyun.com/product/vpc ⚫ SLB:Server Load Balancer,简称 SLB。多台云服务器进行流量分发的负载均衡 服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升 应用系统的可用性。 详见:https://www.aliyun.com/product/slb ⚫ ECS:Elastic Compute Service,简称 ECS。是阿里云提供的一种基础云计算服 务无需提前采购硬件设备,根据业务需要,随时创建所需数量的云服务器 ECS实 例。在使用过程中,随着业务的扩展,可以随时扩容磁盘、增加带宽。也能随时释 放资源,节省费用。 文档日期:20210726 IV
6云上持续审计合规最佳实践 场景描述 详见:https://www.aliyun.com/product/ecs ⚫ RDS:Relational Database Service,简称 RDS,是一种稳定可靠、可弹性伸缩 的在线数据库服务。基于阿里云分布式文件系统和 SSD盘高性能存储,RDS支 持 MySQL、SQL Server、PostgreSQL、PPAS和 MariaDB引擎,提供了容灾、 备份、恢复、监控、迁移等方面全套解决方案,彻底解决数据库运维烦恼。 详见:https://www.aliyun.com/product/rds/mysql 文档日期:20210726 V
7云上持续审计合规最佳实践 目录 目录 文档版本信息 .............................................................................................................................................................. I 法律声明 ..................................................................................................................................................................... II 场景描述 .................................................................................................................................................................... III 目录 ............................................................................................................................................................................ VI 前置条件 ..................................................................................................................................................................... 1 1. 云上 IT系统持续合规 ........................................................................................................................................ 2 1.1. 持续合规 ............................................................................................................................................. 2 1.2. 配置审计和操作审计 ......................................................................................................................... 2 2. 配置审计 ............................................................................................................................................................. 4 2.1. 跨区域跨产品的云上资源概览.......................................................................................................... 4 2.1.1. 编辑监控范围 ............................................................................................................................. 4 2.1.2. 查看资源概览 ............................................................................................................................. 5 2.1.3. 搜索相关资源 ............................................................................................................................. 7 2.1.4. 查看近期发生的资源变更.......................................................................................................... 7 2.1.5. 查看具体资源的配置时间线...................................................................................................... 8 2.1.6. 通过账号组管理资源目录中资源 ............................................................................................ 10 2.2. 合规包 ............................................................................................................................................... 13 2.3. 审计规则 ........................................................................................................................................... 16 2.3.1. 使用模版创建审计规则............................................................................................................ 16 2.3.1.1. 新建合规规则检查是否开启操作审计 ............................................................................ 16 2.3.1.2. 解决 actiontrail-enabled数据不足使其合规 ................................................................... 18 2.3.1.3. 检查 RDS的高可用能力 ................................................................................................... 20 2.3.1.4. 解决资源不合规(RDS高可用) .................................................................................... 22 2.3.1.5. 检查 RDS不允许公网访问 ............................................................................................... 24 2.3.1.6. SLB是否开通 HTTPS监听 ................................................................................................. 26 2.3.1.7. 指定资源是否具有指定标签 ............................................................................................ 28 2.3.2. 自定义新建规则 ....................................................................................................................... 31 2.3.2.1. 规则 A: ECS是否由特定镜像启动.................................................................................... 31 2.3.2.2. 创建指定函数(FC) ........................................................................................................ 31 2.3.2.3. 调用指定函数自定义规则 ................................................................................................ 35 2.3.2.4. 规则 B: 检测 CDN是否开通 HTTPS ................................................................................. 37 2.3.2.5. 创建指定函数(FC) ........................................................................................................ 37 2.3.2.6. 调用指定函数自定义规则 ................................................................................................ 40 2.3.3. 配置审计验证 ........................................................................................................................... 44 2.3.3.1. 验证 RDS的高可用合规检验 ........................................................................................... 44 2.3.3.2. 验证 CDN开通 HTTPS的合规检验 .................................................................................. 45 3. 操作审计 ........................................................................................................................................................... 48 3.1. 企业级多账号中心化审计方案........................................................................................................ 48 3.1.1. 前序工作 ................................................................................................................................... 49 3.1.2. 日志账号配置 ........................................................................................................................... 50 3.1.2.1. 登录日志账号.................................................................................................................... 50 3.1.2.2. 创建 SLS project ................................................................................................................. 51 文档日期:20210726 VI
8云上持续审计合规最佳实践 目录 3.1.2.3. 创建 OSS Bucket ................................................................................................................ 53 3.1.2.4. 为审计人员创建 RAM用户并授权 .................................................................................. 55 3.1.2.5. 为操作审计创建 RAM角色 .............................................................................................. 58 3.1.3. 企业管理账号配置 ................................................................................................................... 62 3.1.3.1. 登录管理账号.................................................................................................................... 62 3.1.3.2. 创建多账号跟踪................................................................................................................ 63 3.1.4. 确认日志同步成功 ................................................................................................................... 65 3.1.4.1. 登录日志账号.................................................................................................................... 65 3.1.4.2. 确认 SLS同步日志成功 .................................................................................................... 66 3.1.4.3. 设置 SLS logstore保存时间 .............................................................................................. 66 3.1.4.4. 确认 OSS同步日志成功 ................................................................................................... 67 3.1.5. 构建分析看板 ........................................................................................................................... 67 3.1.5.1. 登录日志账号.................................................................................................................... 67 3.1.5.2. 基于 SLS分析操作事件并构建分析看板 ........................................................................ 68 3.1.5.3. 更多分析示例.................................................................................................................... 73 3.2. 单账号审计方案 ............................................................................................................................... 74 文档日期:20210726 VII