風險評估維度

說明

示例

身份認證

檢查云平臺及云服務(wù)的身份認證方式，密碼復(fù)雜度，身份角色等

RAM密碼策略可用于確保密碼的復(fù)雜性。建議密碼長度至少14-32位。

授權(quán)管理

檢查云平臺及服務(wù)是否存在授權(quán)過度等授權(quán)相關(guān)問題

檢查角色的權(quán)限策略中是否包含RAM相關(guān)的高危API，并結(jié)合近一個月內(nèi)的調(diào)用行為篩選出未經(jīng)使用的API。

訪問控制

檢查云平臺及云產(chǎn)品的訪問方式，控制措施和控制細粒度是否符合安全要求

RDS開啟公網(wǎng)訪問權(quán)限可能存在被攻擊者入侵的風險，建議關(guān)閉公網(wǎng)訪問地址。

網(wǎng)絡(luò)安全

檢查云產(chǎn)品資源實例網(wǎng)絡(luò)設(shè)置的安全性是否符合規(guī)范及合規(guī)要求

專有網(wǎng)絡(luò)VPC實例綁定公網(wǎng)NAT網(wǎng)關(guān)，存在公網(wǎng)暴露被攻擊風險。

數(shù)據(jù)安全

檢查云產(chǎn)品資源實例在處理數(shù)據(jù)時，是否有進行數(shù)據(jù)訪問控制和加密

OSS存儲開啟服務(wù)端加密

日志審計

檢查云產(chǎn)品及云平臺是否開啟日志審計功能

用戶在訪問 OSS 的過程中，會產(chǎn)生大量的訪問日志。日志存儲功能，可將 OSS 的訪問日志，以小時為單位，按照固定的命名規(guī)則，生成一個 Object 寫入您指定的 Bucket（目標 Bucket，Target Bucket）。您可以使用阿里云 DataLakeAnalytics 或搭建 Spark 集群等方式對這些日志文件進行分析。

容災(zāi)備份

檢查云產(chǎn)品的數(shù)據(jù)備份策略是否得到有效配置和執(zhí)行

在NAS控制臺定期備份NAS文件，能夠在數(shù)據(jù)丟失或受損時及時恢復(fù)文件。