1、刘志强（木羽）阿里云 云审计平台总监New Future on CloudITNew Future on CloudContents目录01审计合规是保障生产力的风控制度02可见可控可持续的IT审计合规框架03合规审计产品能力和规划审计合规是保障生产力的风控制度New Future on Cloud国家法律法规行业通用标准企业自定义内控基线企业IT环境面临的挑战New Future on Cloud业务连续性风险成本风险信息安全风险信息数据泄露将会给企业带来巨额损失，甚至需要承担法律责任。-存在多个超级权限持有者-ECS磁盘未启用加密-OSS Bucket未开启服务端加密-OSS Bucket

2、未设置限定HTTPS访问企业上云后，IT消费模式的改变带来的成本溢出增加了企业营收的难度。-存在大量闲置资源-云资源利用率不足-云资源规格不设限购买法务风险LAWLAW违反国家/行业标准法规的风险。-主账号未启用审计日志收集-审计数据保留时长不满足要求IT变更可能造成业务中断，若长时间无法恢复则可能造成巨大的经济损失。-主账号使用弱密码策略，易被窃取-ECS计算实例未设置释放保护-ECS计算实例在预期之外绑定了公网IP-安全组设置错误，对公网开放风险端口企业上云风险识别&评估治理策略身份权限基线数据安全基线成本控制基线LandingZone治理基线持续监督信息安全风险云上数据泄露业务连续性风险

3、业务中断且恢复时间长成本风险成本不可见不可控法务合规风险违反国家法规和通用标准业务连续性治理基线记录检测响应修复云审计框架New Future on Cloud云审计是安全审计机制在云计算基础设施以及系统平台的应用，通过有效的记录、分析、响应发生在云上的信息安全事件，保证用户在云上的资源被安全的访问和使用，让用户的云环境可控，可信，可持续。应对之道 操作事件可见New Future on CloudActionTrail日志ActionTrail Insights基于机器学习，训练异常IP检测模型实时检测操作审计事件中不常见的IP记录发现异常可疑访问IP：2.120.75.152告警跟踪/组织

4、跟踪对象存储日志服务投递-问题排查-RDS被错误释放，可以通过追溯操作事件找到问题发生的时间和责任人。-事件告警-监控关键事件（如释放RDS实例）并发送告警，减少业务中断，收敛损失。-合规审计-创建跟踪将审计事件投递到您账号下的SLS或OSS，留存180天以上，满足等保2.0等法规要求。-创建组织跟踪，将企业多个账号的审计事件投递到指定账号下的SLS或OSS，统一留存审计事件。-安全分析-基于大量的操作事件进行行为安全分析，通过数据分析及时发现日常管控中的潜在风险。操作事件New Future on Cloud应对之道 资源生命周期可见全局资源大盘计算网络存储与数据库安全与中间件3017383

5、756501029118华东1（杭州）华北1（青岛）美国（弗吉尼亚）新加坡201552资源ID：i-uf6e7djotave6kya8njl可用区：杭州资源类型：Ecs实例标签：project:A创建时间：2021年5月26号09:11:00变更前：EipAddress：变更后：EipAddressIpAddress:47.102.219.2AssociateEipAddress资源ID：i-uf6e7djotave6kya8njl可用区：杭州资源类型：Ecs实例标签：project:A创建时间：2021年5月26号09:11:00变更前：StartTime：2021-04-19T10:44Z

6、变更后：StartTime：2021-06-01T08:02ZRebootIntances2021年6月1日16:03:402021年5月26日09:14:47变更事件数据Diff配置变更时间线跨区域整合将各区域的资源整合为一份完整清单，并支持搜索资源配置变更与操作记录打通记录每次配置变更的详情快照，同时记录下关联的操作记录，行为与结果相结合，更好地支持问题排查New Future on Cloud应对之道 合规可控云上资源计算网络存储与数据库安全与中间件云平台执行变更变更请求到达云平台变更执行完成事前管控策略（Control Policy）数据安全基线 开启静止存储加密 开启传输HTTPS加

7、密 开启数据访问审计 细粒度的数据访问权限控制业务连续性基线 业务关键性分级 公网隔离，开启网络安全防护 开启核心资源的释放保护 启用快照、备份、恢复策略成本控制基线 限制采购的区域、规格 限制采购权限开放 闲置资源释放回收 禁止异常采购行为辅助外审合规 等保2.0三级合规自检测模板 CIS网络安全框架合规自检测模板 RMiT马来西亚金融合规自检测模板事后合规评估（Config Rule）事中操作事件记录（ActionTrail）New Future on Cloud应对之道 持续合规非持续合规 VS 持续合规计算网络存储与数据库操作事件中心构建资源数据配置变更数据合规评估不合规告警不合规修正

8、数据持续归档企业运维云上IT资源持续运维持续审计持续合规持续监控持续记录合规性时间合规要求基线人工定期评估自动持续评估及时发现不合规，快速修正不合规，使云上IT环境实现持续、自动的合规管理。产品能力New Future on Cloud230支持云产品日均处理管控事件百亿级操作审计亿级70千万级配置审计配置审计公测发布。操作审计发布事件高级查询。操作审计发布 Insight 智能分析。配置审计输出金融云/政务云。操作审计商业化发布，支持223云产品。配置审计、操作审计支持企业级审计。操作审计赋能三方生态共建审计能力。20016操作审计公测发布，支持77款云产品。2018操作审计支持审计数据投递。支持资源类型月均跟踪资源变更月均进行合规评估支持托管规则166操作审计支持数据事件审计。配置审计商业化发布。云审计平台将资源以及合规能力对生态输出，共同服务客户。待发布，敬请期待数据延迟15-30秒