阿里云配置审计 - 概述

本文涉及的产品
函数计算FC,每月15万CU 3个月
简介: 阿里云配置审计是一款面向资源的审计服务类产品。它可以主动发现用户资源,持续监控并记录资源配置变更,能够提供有效的资源管控服务。并基于“合规即代码”的理念,将资源审计逻辑实现放置于阿里云函数计算运行环境之上,使得持续性的合规审计、安全评估分析成为可能。

阿里云配置审计(英文名称:Config,产品地址:https://www.aliyun.com/product/config ,以下简称为:Config),是一款面向资源的审计服务类产品。它可以主动发现用户资源,持续监控并记录资源配置变更,能够提供有效的资源管控服务。并基于“合规即代码”的理念,将资源审计逻辑实现放置于阿里云函数计算运行环境之上,使得持续性的合规审计、安全评估分析成为可能。

1. 存在意义

在互联网环境监管整体趋严的背景下,伴随着《网络安全法》的出台,提出了“等保2.0”这个概念,在这个概念的框架下有很多内容发生了变化:等级保护内容大扩展,等级保护内容大不同,以及标准体系的大升级。传统等级保护关注传统信息系统领域,在2.0时代从横向和纵向都进行扩展。在传统的等级保护上规定动作,定级、备案、建设整改、等级测评,监督检查计基础上,“等保2.0”把风险评估、安全检测、通报预警,事件调查等等方面的工作都纳入到等级保护的范围之内。尤其在云服务商方面,规定明确要求“安全合规”,并且云计算平台为其承载的业务应用系统提供相应等级的安全保护能力。

Config提供了持续的合规审计功能,基于自动化的手段帮助企业用户完善资源合规审计制度,确保“等级2.0”具体实施计划的快速落地,并能够极大的降低用户的人工审计成本。整体而言,Config作为链接企业用户“物”和“法”的桥梁,在金融,企业、政府机关、事业单位都将会有较为广泛的应用前景。

2. 主要功能

Config产品提供了资源主动发现,持续监控和持续审计,“合规即代码”,资源快照投递等几大核心功能。

2.1 资源发现

Config能够主动发现用户的资源创建行为,将Region化的资源进行统一整合,并基于资源的配置快照建立一个完整用户资源配置库,供查询、搜索、调用,具备被集成的能力。同时Config采用了非Region化的部署形式,统一Region接口查询无需进行多Region轮询,减少遍历多Region的IO开销,用户体验更加友好,在资源集中化查询,配置属性检索等方面具有很好的应用场景。

2.2 持续监控

Config持续捕获并记录用户对资源配置所做的变更行为,形成资源配置和合规变更两大基线时间轴,贯穿整个用户资源从创建到销毁的完整生命周期。用户可随时进行资源盘点,查看资源配置变更历史记录等操作,提高用户资源的管控效率。

2.3 持续审计

Config可持续审计和评估用户的资源配置是否符合安全性,合规性要求。并可以从资源,规则,全局三个维度给出合规报告。从资源维度上,可以明确资源配置违反哪些审计规则,快速定位问题;从规则维度上,用户可快速识别不合规的资源,逐一整改;以全局视角可以获取整体合规性统计分析,便于用户整体工作评估,全局统筹安排。

2.4 合规即代码

Config规则审计逻辑运行于阿里云函数计算(Function Compute),除了预定义的审计规则(又称托管规则),用户可基于函数计算运行环境用自己熟悉的语言编写合规审计代码,定义资源配置内部最佳实践和指南。Config基于此自动评估用户资源配置和资源更改,从而确保整个基础设施实现持续合规性和自主监管。

2.5 快照投递

Config可将资源配置以完整快照的形式周期性投递至用户指定的OSS存储桶中,方便用户进行数据分析,进行三方审计等后续操作。后续将引入MNS(中文名称:阿里云消息服务)消息通知功能,将配置更改事件流式传输到MNS,实时通知,方便用户全面掌控资源变化。

3. 工作原理

Config产品的技术实现主要包含资源,合规两类层面。从资源层面持续收集资源配置数据,供给合规层面进行持续的合规审计。主要工作原理如下图所示:

Config介绍

下面简要的介绍两个层面的工作内容:

在资源层面:通过记录用户的资源操作行为,识别出资源的创建、更新或删除等操作行为。基于 阿里云实时计算/Blink 实时处理引擎在一个特定窗口期内进行资源的分组,合并,去重等操作,并基于此对相关云产品发起Describe或List API请求,获取并记录资源的配置数据,建立完整的用户资源配置库,并保持持续更新。

在合规层面:通过审计规则(ConfigRue)提供具体的合规审计实现。审计规则与函数计算中具体的执行函数相关联,执行具体的审计逻辑。审计规则由底层Config Trgger触发,具备两种触发机制:资源配置变更和周期性执行。两种触发机制可以有效的相互补充,能够覆盖目前大部分的审计需求。最后评估结果由Config提供的Open API服务Config Service接收审计结果。

规则流程

4. 应用场景

4.1 资源管控

Config在内部维护了一个完整的用户资源配置库,同时基于用户创建、更新或删除资源操作保持对用户资源配置库的持续更新,在对时效性要求不高的场景下,用户可以基于此进行统一的资源查询,从而减少对云产品的describe请求数量,降低云产品的压力。阿里云跨Region的资源查询被诟病已久,Config提供的统一资源管控提供了一种解法。

4.2 合规审计

Config一方面提供了丰富的托管审计规则,提供基础的审计功能,开箱即用,可以满足绝大部分用户需求。另外用户可以开发自定义的规则,完善内部最佳实践和指南。

Config持续评估用户的资源是否符合内部策略要求和监管标准,并通过资源配置时间轴,合规时间轴等功能全面全面了解合规情况,全方位护航企业/行业用户“等保2.0”实施策略的快速落地。

4.3 安全分析

Config持续监控用户资源是否具有潜在的安全弱点,同时在发生安全问题后,也可以快速排查问题,封堵漏洞。可作为“阿里云云安全中心(态势感知)”的有效补充,帮助安全团队更加及时的采取应对措施。

4.4 问题排查

Config可展示资源之间的关系,以便评估某个资源的更改会对其他资源造成什么影响。使用Config用户可以查询资源的最近配置更改,从而快速排查运行问题。

5. 面向未来

Config已在路上,面向未来,我们有更多期待:

5.1 更多的资源接入

更丰富的资源接入意味着更广泛的审计范围。目前Config已经覆盖阿里云12款主流云产品,共计31个资源类型,未来将持续接入更多的云产品和资源类型,争取阿里云所有产品线的全面覆盖。

5.2 更丰富的审计规则

审计规则基于函数计算实现,使得Config具备的极大的灵活性和一致性,可以有效的发展审计规则的生态建设。我们希望提供一个开放性的规则市场,能够吸引更多的云产品加入丰富审计规则,建立一个较为完整的审计生态,让合规审计的概念深入人心。

5.3 跨账号资源聚合

阿里云目前尚未有Organization相关概念的存在,针对部分企业用户存在多账号的场景下,提供多账号资源合规审计的综合视图,可以直接让用户在单个账号中查看整个企业其他各个账号下资源列表、合规状态等信息,无需分账号单独查看。

5.4 自动修正“不合规”

Config未来将会具备自动修正/AutoMation的能力。通过与 弹性计算-运维编排服务/OOS 结合,可以让Config在发现“不合规”的资源配置是,无需人工介入,可自动根据预先设置的修正配置,执行修正流程,快速消灭“不合规”。

在云计算时代,如何有效的管理,审计,安全评估云计算资源是每一个企业用户都面临的挑战,希望Config能够解决用户的一些痛点,能够成为资源管控和合规审计的利器!

相关实践学习
【文生图】一键部署Stable Diffusion基于函数计算
本实验教你如何在函数计算FC上从零开始部署Stable Diffusion来进行AI绘画创作,开启AIGC盲盒。函数计算提供一定的免费额度供用户使用。本实验答疑钉钉群:29290019867
建立 Serverless 思维
本课程包括: Serverless 应用引擎的概念, 为开发者带来的实际价值, 以及让您了解常见的 Serverless 架构模式
目录
相关文章
|
数据采集 SQL 弹性计算
快速集成阿里云资源到企业CMDB-配置审计
配置审计提供跨云产品、跨地域、跨账号的资源集成能力,可以帮助企业快速将阿里云资源集成到企业自建的CMDB中。
1007 0
快速集成阿里云资源到企业CMDB-配置审计
|
Kubernetes 前端开发 JavaScript
阿里巴巴NACOS(4)- 主流微服务配置中心产品比较 Spring Cloud Config、阿里云ACM、Nacos
上一篇文章介绍了如何部署Nacos的生产集群环境,因为Nacos是开源的,代码透明、可以参与共建、有社区进行交流和学习,当然更重要的是开源产品的接入成本低,所以公司项目目前都采用Nacos作为服务配置和注册中心,之前也用过其他产品,比如Eureka、Consul、Spring Cloud Config等,这篇文章就分享一下 服务配置中心  一些主流产品的对比。
阿里巴巴NACOS(4)- 主流微服务配置中心产品比较 Spring Cloud Config、阿里云ACM、Nacos
|
弹性计算 JSON 数据格式
aws EC2二代镜像迁移阿里云ecs磁盘user_config.json生成脚本
由于迁移需要,此python脚本自动生成user_config.json包含aws二代镜像磁盘nvme的配置,以方便迁移,目前最多支持10块磁盘和每块磁盘最多10个分区,可以自己修改
526 0
|
弹性计算 关系型数据库 数据库
阿里云配置审计 - 规则篇
阿里云配置审计提供了持续的合规审计功能,以审计规则作为落地合规审计的具体策略,基于自动化的手段帮助企业用户完善资源合规审计制度,确保“等级2.0”具体实施的快速落地。它一方面提供了丰富的托管审计规则,提供基础的合规审计功能,开箱即用,可以满足绝大部分用户需求;另外用户可以开发自定义的审计规则,完善内部最佳实践和指南。
5773 0
|
2月前
|
算法 安全 Java
微服务(四)-config配置中心的配置加解密
微服务(四)-config配置中心的配置加解密
|
1月前
|
JavaScript 前端开发 应用服务中间件
vue前端开发中,通过vue.config.js配置和nginx配置,实现多个入口文件的实现方法
vue前端开发中,通过vue.config.js配置和nginx配置,实现多个入口文件的实现方法
152 0
|
2月前
|
JavaScript
Vue3基础(19)___vite.config.js中配置路径别名
本文介绍了如何在Vue 3的Vite配置文件`vite.config.js`中设置路径别名,以及如何在页面中使用这些别名导入模块。
98 0
Vue3基础(19)___vite.config.js中配置路径别名
|
3月前
|
移动开发 JavaScript 前端开发
UniApp H5 跨域代理配置并使用(配置manifest.json、vue.config.js)
这篇文章介绍了在UniApp H5项目中处理跨域问题的两种方法:通过修改manifest.json文件配置h5设置,或在项目根目录创建vue.config.js文件进行代理配置,并提供了具体的配置代码示例。
UniApp H5 跨域代理配置并使用(配置manifest.json、vue.config.js)
|
1月前
|
前端开发 JavaScript
vite vue3 config配置
【10月更文挑战第5天】
56 0

热门文章

最新文章

  • 1
    Spring Boot与Spring Cloud Config的集成
    213
  • 2
    若依修改标题和icon,在vue.config.js和.env.development进行修改
    330
  • 3
    若依修改,若依的com.ruoyi.framework.config在那?搜索文件使用ctrl+shift+f不用搜狗输入法,其他輸入法,用英文
    44
  • 4
    若依修改,若依部署在本地运行时的注意事项,后端连接了服务器,本地的vue.config.js要先改成localhost:端口号与后端匹配,部署的时候再改公网IP:端口号
    167
  • 5
    部署常用的流程,可以用后端,连接宝塔,将IP地址修改好,本地只要连接好了,在本地上前后端跑起来,前端能够跑起来,改好了config.js资料,后端修改好数据库和连接redis,本地上跑成功了,再改
    71
  • 6
    若依修改---重新部署项目注意事项,新文件初始化需要修改的地方,打包后的文件很难进行修改,如果想要不断修改项目,注意保存原项目,才可以不断修改,前端:在Vue.config.js文件中修改target
    138
  • 7
    若依修改之后,无法访问前端项目如何解决,只能访问后端的接口,我的接口8083,端不显示咋解决?在vue.config.js文件中的映射路径要跟后端匹配,到软件商店里找到Ngnix配置代理,设80不用加
    634
  • 8
    文本vitepress,如何设置背景图,如何插入背景图,如何插入logo,为了放背景图片,我们要新建pubilc的文件夹,插入logo要在config.js中进行配置,注意细节,在添加背景时,注意格式
    139
  • 9
    文本,vitepress的使用,如何使用vitevitepress没有config.js该怎么办?这里使用vitepress进行手动配置,参考只爭朝夕不負韶華的文章
    68
  • 10
    vue 配置【详解】 vue.config.js ( 含 webpack 配置 )
    72