简介： 在企业发展过程中，基于内控外审的要求进行合规审计逐步成为必备基线。保障基线要求持续满足，需要完整的发现→检测→告警→治理方案。

背景

企业为保证经营活动的有序运行，保障IT服务的稳定性和合规性，通常会对IT服务制定相关管控措施并进行监督和审计。常见的管控场景如：法规和行业标准的遵循、云采用架构规范、企业安全管控基线、稳定性配置基线、IT资产运维管理规范等。

企业IT系统上云后，云计算开箱即用为企业构建新的技术能力提供了便捷的支撑，享受弹性和敏捷的同时企业管控层面的保障也愈发重要，如何保障企业的基础设施持续满足基线要求，这是每一个上云企业都将要面临的问题。传统的内控治理采用周期盘点或人工抽查的方式一是效率低下，其次随着业务IT系统逐步发展庞大后，实际的合规率会愈发糟糕。

(相关资料图)

方案概述

配置审计是一项面向资源配置的审计服务，从资源发现->检测->告警->治理提供了一系列产品能力。同时考虑到企业结合自己业务特性可能会有相对比较特殊的一些治理要求，配置审计也提供了自定义检测和自定义修正的能力，以满足企业个性化的落地诉求，保障基线落地的完整性。

上图为企业内控基线在配置审计的实施和治理过程，下文会进行详细说明。

规则实施

规则运行机制

规则是配置审计原子审计能力，提供了配置变更触发和周期触发两种评估方式。配置变更通常在客户对云产品进行变更后10分钟内会完成规则的最新评估，保证了规则评估的实时性。另一部分规则支持周期评估触发，客户可以自行设置评估周期，最大24小时会完成一次最新评估。

预置能力

配置审计提供了350+的托管规则，客户只需对规则预设的一些信息进行确认并完成参数输入即可创建一条规则，无需任何代码工作。托管规则覆盖38个云产品、70个资源类型，涵盖了客户常用的云产品。功能方面则从标签治理、实例规格、公网暴露、数据加密、资源状态、运维设置、日志存储、身份权限检测等多维度提供了丰富的托管规则，满足大多数治理需要。

同时配置审计提供了法规、安全及稳定性、最佳实践方面的16个合规包模版。客户可以快速启用，也可以对模版中的预置规则进行筛选或自行加入新的规则。下面介绍几个比较通用的合规包模版：

CIS网络安全框架检查合规包：参照CIS Alibaba Cloud Foundation Benchmark v1.0.0的建议，提供部分建议的合规性检测。 资源稳定性最佳实践：从高可用基础架构、容量保护、变更管理、监控管理、备份管理、故障隔离六大维度对云上资源的稳定性做检测，有助于提前发现隐患，提升稳定性和运维效率。 PCI-DSS数据安全标准合规包：参照PCI DSS v4.0对账号数据保护的基线标准，从云上资源使用和管控方面提供部分建议的合规性检测。 资源开启公网检测最佳实践：检测公网暴露情况，涉及关系型数据库、数据服务类、安全组等云产品。暴露公网会存在较大的安全隐患，建议及时发现并治理。 多可用区架构最佳实践：关系型数据库、NoSQL数据库、负载均衡等产品高可用架构最佳实践，构建可用区级别的容灾能力，保障服务可用性和数据可靠性。 资源空闲检测最佳实践：检测常见的云资源在购买以后是否被闲置，涉及弹性公网IP、共享带宽、VPC、VPN等云产品。资源购买后未启用会导致企业成本的浪费，建议及时发现并治理。 账号权限合规管理最佳实践：基于账号权限的合规最佳实践，对阿里云账号和RAM用户进行全面的合规检查。

更多模版请参考配置审计产品文档或登录控制台进行查看。

自定义规则

尽管配置审计提供了丰富的托管规则和合规包模版，但客户在实际进行基线实施的过程中难免会有少量的比较特殊的治理需求无法通过预置能力来完成，为了保障客户基线实施的完整性，配置审计提供了自定义规则的能力。自定义规则依赖函数计算，原理是配置审计提供配置变更或周期的方式触发客户部署在函数计算上的检测代码，评估完成后回调配置审计将评估结果回写。

自定义规则需要基本的开发能力，但整个过程还是相对简单的，主要是两部分工作：参考示例编写FC函数(只需修改评估逻辑的部分)、创建规则并关联函数。完整的自定义规则实施过程和更多代码示例可参考配置审计产品文档。

点击查看原文，获取更多福利！

https://developer.aliyun.com/article/1151969?utm_content=g_1000367856

版权声明：本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

关键词： 配置审计 及时发现 提供了丰