生产力保障-企业IT合规审计应对之道-共话云上管理与治理论坛（11页）.pdf

1、刘志强（木羽）阿里云 云审计平台总监New Future on CloudITNew Future on CloudContents目录01审计合规是保障生产力的风控制度02可见可控可持续的IT审计合规框架03合规审计产品能力和规划审计合规是保障生产力的风控制度New Future on Cloud国家法律法规行业通用标准企业自定义内控基线企业IT环境面临的挑战New Future on Cloud业务连续性风险成本风险信息安全风险信息数据泄露将会给企业带来巨额损失，甚至需要承担法律责任。-存在多个超级权限持有者-ECS磁盘未启用加密-OSS Bucket未开启服务端加密-OSS Bucket

2、未设置限定HTTPS访问企业上云后，IT消费模式的改变带来的成本溢出增加了企业营收的难度。-存在大量闲置资源-云资源利用率不足-云资源规格不设限购买法务风险LAWLAW违反国家/行业标准法规的风险。-主账号未启用审计日志收集-审计数据保留时长不满足要求IT变更可能造成业务中断，若长时间无法恢复则可能造成巨大的经济损失。-主账号使用弱密码策略，易被窃取-ECS计算实例未设置释放保护-ECS计算实例在预期之外绑定了公网IP-安全组设置错误，对公网开放风险端口企业上云风险识别&评估治理策略身份权限基线数据安全基线成本控制基线LandingZone治理基线持续监督信息安全风险云上数据泄露业务连续性风险

3、业务中断且恢复时间长成本风险成本不可见不可控法务合规风险违反国家法规和通用标准业务连续性治理基线记录检测响应修复云审计框架New Future on Cloud云审计是安全审计机制在云计算基础设施以及系统平台的应用，通过有效的记录、分析、响应发生在云上的信息安全事件，保证用户在云上的资源被安全的访问和使用，让用户的云环境可控，可信，可持续。应对之道 操作事件可见New Future on CloudActionTrail日志ActionTrail Insights基于机器学习，训练异常IP检测模型实时检测操作审计事件中不常见的IP记录发现异常可疑访问IP：2.120.75.152告警跟踪/组织

4、跟踪对象存储日志服务投递-问题排查-RDS被错误释放，可以通过追溯操作事件找到问题发生的时间和责任人。-事件告警-监控关键事件（如释放RDS实例）并发送告警，减少业务中断，收敛损失。-合规审计-创建跟踪将审计事件投递到您账号下的SLS或OSS，留存180天以上，满足等保2.0等法规要求。-创建组织跟踪，将企业多个账号的审计事件投递到指定账号下的SLS或OSS，统一留存审计事件。-安全分析-基于大量的操作事件进行行为安全分析，通过数据分析及时发现日常管控中的潜在风险。操作事件New Future on Cloud应对之道 资源生命周期可见全局资源大盘计算网络存储与数据库安全与中间件3017383

5、756501029118华东1（杭州）华北1（青岛）美国（弗吉尼亚）新加坡201552资源ID：i-uf6e7djotave6kya8njl可用区：杭州资源类型：Ecs实例标签：project:A创建时间：2021年5月26号09:11:00变更前：EipAddress：变更后：EipAddressIpAddress:47.102.219.2AssociateEipAddress资源ID：i-uf6e7djotave6kya8njl可用区：杭州资源类型：Ecs实例标签：project:A创建时间：2021年5月26号09:11:00变更前：StartTime：2021-04-19T10:44Z

6、变更后：StartTime：2021-06-01T08:02ZRebootIntances2021年6月1日16:03:402021年5月26日09:14:47变更事件数据Diff配置变更时间线跨区域整合将各区域的资源整合为一份完整清单，并支持搜索资源配置变更与操作记录打通记录每次配置变更的详情快照，同时记录下关联的操作记录，行为与结果相结合，更好地支持问题排查New Future on Cloud应对之道 合规可控云上资源计算网络存储与数据库安全与中间件云平台执行变更变更请求到达云平台变更执行完成事前管控策略（C