从发现到治理：如何高效审计，确保企业云上资源配置持续合规？-阿里云开发者社区

背景

企业为保证经营活动的有序运行，保障IT服务的稳定性和合规性，通常会对IT服务制定相关管控措施并进行监督和审计。常见的管控场景如：法规和行业标准的遵循、云采用架构规范、企业安全管控基线、稳定性配置基线、IT资产运维管理规范等。

企业IT系统上云后，云计算开箱即用为企业构建新的技术能力提供了便捷的支撑，享受弹性和敏捷的同时企业管控层面的保障也愈发重要，如何保障企业的基础设施持续满足基线要求，这是每一个上云企业都将要面临的问题。传统的内控治理采用周期盘点或人工抽查的方式一是效率低下，其次随着业务IT系统逐步发展庞大后，实际的合规率会愈发糟糕。

方案概述

配置审计是一项面向资源配置的审计服务，从资源发现->检测->告警->治理提供了一些列产品能力。同时考虑到企业结合自己业务特性可能会有相对比较特殊的一些治理要求，配置审计也提供了自定义检测和自定义修正的能力，以满足企业个性化的落地诉求，保障基线落地的完整性。

上图为企业内控基线在配置审计的实施和治理过程，下文会进行详细说明。

规则实施

规则运行机制

规则是配置审计原子审计能力，提供了配置变更触发和周期触发两种评估方式。配置变更通常在客户对云产品进行变更后10分钟内会完成规则的最新评估，保证了规则评估的实时性。另一部分规则支持周期评估触发，客户可以自行设置评估周期，最大24小时会完成一次最新评估。

预置能力

配置审计提供了350+的托管规则，客户只需对规则预设的一些信息进行确认并完成参数输入即可创建一条规则，无需任何代码工作。托管规则覆盖38个云产品、70个资源类型，涵盖了客户常用的云产品。功能方面则从标签治理、实例规格、公网暴露、数据加密、资源状态、运维设置、日志存储、身份权限检测等多维度提供了丰富的托管规则，满足大多数治理需要。

同时配置审计提供了法规、安全及稳定性、最佳实践方面的16个合规包模版。客户可以快速启用，也可以对模版中的预置规则进行筛选或自行加入新的规则。下面介绍几个比较通用的合规包模版：

CIS网络安全框架检查合规包：参照CIS Alibaba Cloud Foundation Benchmark v1.0.0的建议，提供部分建议的合规性检测。
资源稳定性最佳实践：从高可用基础架构、容量保护、变更管理、监控管理、备份管理、故障隔离六大维度对云上资源的稳定性做检测，有助于提前发现隐患，提升稳定性和运维效率。
PCI-DSS数据安全标准合规包：参照PCI DSS v4.0对账号数据保护的基线标准，从云上资源使用和管控方面提供部分建议的合规性检测。
资源开启公网检测最佳实践：检测公网暴露情况，涉及关系型数据库、数据服务类、安全组等云产品。暴露公网会存在较大的安全隐患，建议及时发现并治理。
多可用区架构最佳实践：关系型数据库、NoSQL数据库、负载均衡等产品高可用架构最佳实践，构建可用区级别的容灾能力，保障服务可用性和数据可靠性。
资源空闲检测最佳实践：检测常见的云资源在购买以后是否被闲置，涉及弹性公网IP、共享带宽、VPC、VPN等云产品。资源购买后未启用会导致企业成本的浪费，建议及时发现并治理。
账号权限合规管理最佳实践：基于账号权限的合规最佳实践，对阿里云账号和RAM用户进行全面的合规检查。

更多模版请参考配置审计产品文档或登录控制台进行查看。

自定义规则

尽管配置审计提供了丰富的托管规则和合规包模版，但客户在实际进行基线实施的过程中难免会有少量的比较特殊的治理需求无法通过预置能力来完成，为了保障客户基线实施的完整性，配置审计提供了自定义规则的能力。自定义规则依赖函数计算，原理是配置审计提供配置变更或周期的方式触发客户部署在函数计算上的检测代码，评估完成后回调配置审计将评估结果回写。

自定义规则需要基本的开发能力，但整个过程还是相对简单的，主要是两部分工作：参考示例编写FC函数(只需修改评估逻辑的部分)、创建规则并关联函数。完整的自定义规则实施过程和更多代码示例可参考配置审计产品文档。

监控及治理

设置监控

及时感知合规评估产生的不合规事件以及云上的资源变化，尽早确认和介入处理可有效提升企业对云上生产运营管控的质量。配置审计通过和云产品集成，为客户提供了较多的监控通知的选择。客户可以自行设置投递将资源变更和不合规事件推送至用户自己的数据空间，便于进一步做分析处理和自定义留存，用户投递渠道目前支持SLS、OSS、MNS。同时在用户开通配置审计后，配置审计会自动将新产生的资源变更事件和不合规事件推送至CMS和EB，客户可以直接基于相关渠道进行监控报警设置或程序消费定制化处理。

合规治理

感知到不合规事件最终目标是要通过治理将云上资源或行为提升到符合管控预期，具体的治理方式配置审计提供了自动修正、为规则评估设置过滤或例外等能力，当然客户也可以根据实际情况自行通过相关云产品控制台或API进行治理。

自动修正：为规则设置自动修正后，当配置审计检测到不合规资源时会自动修复为合规状态，这极大提升了治理效率，保障了持续合规。目前配置审计预置提供了标签治理、部分安全功能开启、日志留存等自动修复能力。考虑到不同场景对修复的要求可能不太一样，配置审计也提供了自定义修正能力，以满足企业全面自动化治理的需求。自定义修正的原理同自定义规则基本一致，不同之处主要在于自定义修正场景配置审计只提供触发函数计算的能力，修正成功后无需回调配置审计，资源修正后会伴随资源变更事件或者周期评估在下一次评估时更新合规状态。

规则评估过滤：规则会默认对关联的资源类型进行全量评估，但实际使用中可能会因为资源应用环境不同或项目不同，造成同一个检测规则不同标准下有较多的不合规检出，如部分资源应用于开发或测试环境，规格或配置要求较低被检出不合规。这种情况下可以使用规则的评估生效能力，目前支持资源组、标签、地域、资源ID纬度的生效范围设置能力，可以基于这些维度调整规则的评估范围，避免因要求不一而导致的较多不合规事件产生。

评估结果例外：配置审计同时也提供了对不合规结果忽略的能力，适用于存在少量特权资源或者短时间内没办法治理合规但又不想被频繁的不合规报警干扰的场景。设置忽略时可以选填忽略的原因以及恢复评估的时间，如果设置了恢复时间，到期后系统会自动根据资源的最新状态恢复常态化检测。

自主治理：客户也可以根据资源的使用情况和不合规原因自主通过云产品控制台或API进行治理。

报告及统计

报告下载及解读

配置审计提供了基本的合规报告能力，客户可以登录配置审计控制台通过规则列表页或者合规包详情页进行报告下载。报告包含了资源信息、规则信息、资源的不合规原因等。报告下载一是可以用于企业内部治理推进和确认、其次也可以为审计人员提供基本的合规证据。

统计集成

除了基本的报告能力外，配置审计同样有丰富的公开API包括投递能力可用于客户和内部治理系统进行集成。公开API提供了从服务启用到规则、合规包、投递管理等能力，也包含资源和合规数据的查询及统计能力。

多账号统一管控

伴随企业云上业务规模逐步扩大，通常会采用多账号用云的模式。针对多账号场景，配置审计全面集成了资源目录。客户开通资源目录后，可以在配置审计创建账号组，账号组可以任意组合资源目录中的成员，也可以创建全局账号组，全局账号组会自动和资源目录的成员列表保持实时同步。基于账号组就可以对多账号实施基线管控了，本文提到的产品能力都同样支持账号组，控制台使用过程中注意切换到要管控的账号组视图，API层面同样注意使用账号组相关API即可。