OCI 指导报表
Site24x7 的 OCI 指导报表提供最佳实践建议,帮助您优化 Oracle Cloud Infrastructure(OCI)的配置。这些建议旨在对您的 OCI 配置进行精细调整,确保最佳性能、更高可靠性和成本效益。
遵循建议的最佳实践,可以提升云资源的性能、规避潜在问题,并维护一个安全且架构良好的 OCI 环境。Site24x7 的指导报表在"可用性"类别下,按高、中、低三个严重程度级别对建议进行了分组。
使用 OCI 指导报表的优势
借助 OCI 指导报表功能,您可以获得以下优势:
- 主动识别 OCI 配置中需要改进的领域,提前应对潜在问题。
- 获取清晰易实施的建议,确保快速有效地完成调整。
- 通过消除低效环节、优化资源分配,最大限度地发挥 OCI 服务的价值。
- 确保云环境遵循最佳实践,降低漏洞风险。
使用场景
假设您在 OCI 块存储卷上运行关键应用程序,但未为其附加备份策略。没有备份策略,块存储卷中存储的数据容易受到可用域故障的影响,可能导致数据丢失和关键服务中断。
Site24x7 识别到此问题后,会提供为块存储卷附加备份策略的建议。遵循此建议,您可以定期备份数据、确保数据可用性,并保护应用程序免受可用域中意外故障的影响。
查看指导报表和合规性检查
要查看合规性数据及指导报表:
- 登录 Site24x7。
- 导航至云 > OCI。
- 选择适用的 OCI 服务。
- 选择指导报表仪表板。
- 查看针对每个资源提供的建议。
- 按照操作步骤实施变更,优化您的 OCI 环境。
OCI 服务的最佳实践检查
针对各类 OCI 服务可用的建议检查包括:
计算实例
OCI Compute - 单一故障域(优先级:低)
基线:
检查可用域中的所有实例是否位于单一故障域中。
描述:
通过将计算实例放置在可用区内的不同故障域中,可以确保任何一个故障域的失效不会导致应用程序中断。
建议:
考虑更改计算实例的故障域。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 单一故障域(优先级:低)
基线:
检查可用域中的所有实例是否位于单一故障域中。
描述:
通过将计算实例放置在可用区内的不同故障域中,可以确保任何一个故障域的失效不会导致应用程序中断。
建议:
考虑更改计算实例的故障域。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 实例未附加标签(优先级:信息)
基线:
检查计算实例是否已应用标签。
描述:
对资源进行标记可实现成本追踪、治理和有序的云管理。缺少适当的标签会使资源难以管理、成本归属和审计。
建议:
考虑为计算实例添加适当的标签,以用于成本追踪和治理。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 已停止实例(优先级:中)
基线:
检查是否存在处于停止状态的计算实例。
描述:
已停止的计算实例可能仍会产生存储费用,某些机型即使在停止状态下也会产生费用,属于未使用的资源。识别并删除未使用的已停止实例可以降低成本。
建议:
考虑终止不再需要的已停止计算实例。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 维护事件(优先级:高)
基线:
检查计算实例是否有待处理的维护事件。
描述:
Oracle 会定期为计算基础设施安排维护事件。未确认的维护事件可能导致实例意外重启。
建议:
查看并确认待处理的维护事件,为计划的宕机时间做好准备。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 实例监控插件已禁用(优先级:中)
基线:
检查计算实例监控插件是否已启用。
描述:
监控插件负责从实例收集性能指标。没有它,您将无法在 OCI Monitoring 中查看指标或为实例健康状态配置告警。
建议:
启用计算实例监控插件以收集性能指标。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 自定义日志监控已禁用(优先级:中)
基线:
检查计算实例是否已配置自定义日志监控。
描述:
自定义日志监控可将应用程序和操作系统日志采集到 OCI Logging 中,从而实现集中化的日志分析和告警。
建议:
配置自定义日志监控以捕获应用程序和操作系统日志。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 实例利用率偏低(优先级:高)
基线:
根据 CPU 和内存指标检查计算实例是否存在利用率不足的情况。
描述:
利用率不足的实例浪费计算费用。对其进行规格调整或终止可带来显著的成本节省。
建议:
考虑对利用率不足的计算实例进行规格调整或终止,以降低成本。
所需权限:
- GetInstance - INSTANCE_READ
- GetMetricData - METRIC_DATA_READ
OCI Compute - 高利用率(优先级:高)
基线:
检查计算实例是否在高 CPU 或内存利用率下运行。
描述:
持续高利用率运行的实例可能出现性能下降。纵向或横向扩展可确保应用程序的可靠性。
建议:
考虑升级实例规格或添加额外实例以分散负载。
所需权限:
- GetInstance - INSTANCE_READ
- GetMetricData - METRIC_DATA_READ
OCI Compute - 传输中加密已禁用(优先级:高)
基线:
检查计算实例是否已启用传输中加密。
描述:
传输中加密可防止实例与块存储卷之间传输的数据被截获。建议对所有实例启用此安全最佳实践。
建议:
为计算实例启用传输中加密,以保护传输中的数据。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 旧版 IMDS 已启用(优先级:高)
基线:
检查旧版实例元数据服务(IMDSv1)是否已启用。
描述:
IMDSv1 容易受到服务器端请求伪造(SSRF)攻击。禁用 IMDSv1 并改用基于令牌认证的 IMDSv2 可降低此风险。
建议:
禁用旧版 IMDSv1,迁移至安全的基于令牌的 IMDSv2。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 安全启动已禁用(优先级:高)
基线:
检查计算实例是否已启用安全启动。
描述:
安全启动确保设备仅使用 OEM 信任的软件进行引导,可防止启动级恶意软件和 rootkit。
建议:
在计算实例上启用安全启动,以防止未授权的启动软件。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 机密计算已禁用(优先级:中)
基线:
检查计算实例是否已启用机密计算。
描述:
机密计算对使用中的数据进行加密,保护数据免受 Hypervisor 和云提供商的访问,为敏感工作负载提供最高级别的数据隔离。
建议:
为处理敏感数据的实例启用机密计算。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - Cloud Guard 已禁用(优先级:高)
基线:
检查计算实例所在隔离区是否已启用 OCI Cloud Guard。
描述:
Cloud Guard 持续监控 OCI 资源的安全配置错误和威胁,并提供自动化修复功能。
建议:
启用 OCI Cloud Guard 以检测和响应安全威胁。
所需权限:
- GetInstance - INSTANCE_READ
- GetCloudGuardConfiguration - CLOUD_GUARD_CONFIG_READ
OCI Compute - OS 管理已禁用(优先级:中)
基线:
检查计算实例是否已启用 OS 管理。
描述:
OS 管理支持对计算实例进行自动化补丁管理和软件包管理,降低未修补漏洞的风险。
建议:
启用 OS 管理以自动化补丁管理和软件更新。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 漏洞扫描已禁用(优先级:高)
基线:
检查计算实例是否已启用漏洞扫描。
描述:
定期漏洞扫描可识别操作系统和已安装软件包中已知的 CVE 和配置错误,从而实现主动修复。
建议:
启用漏洞扫描以识别和修复安全漏洞。
所需权限:
- GetInstance - INSTANCE_READ
OCI Compute - 可信启动已禁用(优先级:中)
基线:
检查计算实例是否已启用可信启动。
描述:
可信启动记录启动序列的哈希链,并将其存储在可信平台模块(TPM)中,从而可以检测对启动过程的任何篡改。
建议:
结合安全启动启用可信启动,以进行完整的启动完整性验证。
所需权限:
- GetInstance - INSTANCE_READ
块存储卷
OCI 块存储卷 - 备份策略(优先级:高)
基线:
检查块存储卷是否已附加备份策略。
描述:
建议对关键应用程序进行备份,以防范可用域故障并确保数据可用性。
建议:
考虑为块存储卷附加备份策略。
所需权限:
- GetVolumeBackupPolicyAssetAssignment - BACKUP_POLICY_ASSIGNMENT_INSPECT and VOLUME_INSPECT
OCI 块存储卷 - 备份策略已禁用(优先级:高)
基线:
检查块存储卷是否已附加备份策略。
描述:
建议对关键应用程序进行备份,以防范可用域故障并确保数据可用性。
建议:
考虑为块存储卷附加备份策略。
所需权限:
- GetVolumeBackupPolicyAssetAssignment - BACKUP_POLICY_ASSIGNMENT_INSPECT and VOLUME_INSPECT
OCI 启动卷 - 备份策略已禁用(优先级:高)
基线:
检查启动卷是否已附加备份策略。
描述:
启动卷包含操作系统,对于实例恢复至关重要。备份策略可确保操作系统磁盘免受意外丢失或损坏的影响。
建议:
考虑为启动卷附加备份策略。
所需权限:
- GetVolumeBackupPolicyAssetAssignment - BACKUP_POLICY_ASSIGNMENT_INSPECT and BOOT_VOLUME_INSPECT
OCI 块存储卷 - 未挂载(优先级:中)
基线:
检查块存储卷是否已挂载到计算实例。
描述:
未挂载的块存储卷会产生存储费用而无实际用途。识别孤立卷有助于减少不必要的支出。
建议:
考虑删除或归档不再需要的未挂载块存储卷。
所需权限:
- ListVolumes - VOLUME_INSPECT
OCI 启动卷 - 未挂载(优先级:中)
基线:
检查启动卷是否已挂载到计算实例。
描述:
已分离的启动卷仍会产生存储费用。已终止实例的未挂载启动卷应进行审查,如不再需要则应删除。
建议:
考虑删除不再需要的未挂载启动卷。
所需权限:
- ListBootVolumes - BOOT_VOLUME_INSPECT
OCI 块存储卷 - 自动调优已禁用(优先级:中)
基线:
检查块存储卷是否已启用性能自动调优。
描述:
自动调优在卷分离时自动调整其性能等级,在卷未被使用时降低成本。
建议:
启用自动调优,以在非使用期间降低块存储卷成本。
所需权限:
- GetVolume - VOLUME_INSPECT
OCI 启动卷 - 自动调优已禁用(优先级:中)
基线:
检查启动卷是否已启用性能自动调优。
描述:
启动卷上的自动调优通过在停止或分离状态下自动降低性能等级来降低成本。
建议:
在启动卷上启用自动调优,以优化低使用期间的成本。
所需权限:
- GetBootVolume - BOOT_VOLUME_INSPECT
OCI 块存储卷 - 跨区域复制已禁用(优先级:高)
基线:
检查块存储卷是否已启用跨区域复制。
描述:
跨区域复制可保护数据免受区域性灾难影响,支持业务连续性和灾难恢复目标。
建议:
为关键块存储卷启用跨区域复制。
所需权限:
- GetVolume - VOLUME_INSPECT
OCI 块存储卷 - CMK 加密已禁用(优先级:高)
基线:
检查块存储卷是否使用客户托管密钥(CMK)进行加密。
描述:
虽然 OCI 默认对块存储卷进行加密,但使用客户托管密钥可以更好地控制密钥生命周期,并满足数据主权的合规要求。
建议:
为块存储卷启用客户托管密钥加密。
所需权限:
- GetVolume - VOLUME_INSPECT
OCI 启动卷 - CMK 加密已禁用(优先级:高)
基线:
检查启动卷是否使用客户托管密钥(CMK)进行加密。
描述:
启动卷存储操作系统。使用 CMK 对其进行加密,可确保静态操作系统数据由您掌控的密钥保护。
建议:
为启动卷启用客户托管密钥加密。
所需权限:
- GetBootVolume - BOOT_VOLUME_INSPECT
自治数据库
OCI 自治数据库 - 备份保留期(优先级:中)
基线:
检查自治数据库的备份保留期是否至少为七天。
描述:
建议设置至少七天的最低备份保留期,以满足合规要求。
建议:
考虑将自治数据库的备份保留期设置为至少七天。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 备份保留期(优先级:中)
基线 :
检查自治数据库的备份保留期是否至少为七天。
描述:
建议设置至少七天的最低备份保留期,以满足合规要求。
建议:
考虑将自治数据库的备份保留期设置为至少七天。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 计算自动扩缩容已禁用(优先级:中)
基线:
检查自治数据库是否已启用计算自动扩缩容。
描述:
计算自动扩缩容允许数据库在峰值工作负载期间使用最多三倍基础 OCPU,在确保性能的同时仅按实际用量计费。
建议:
启用计算自动扩缩容,以高效处理峰值工作负载需求。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 存储自动扩缩容已禁用(优先级:中)
基线:
检查自治数据库是否已启用存储自动扩缩容。
描述:
存储自动扩缩容允许数据库在数据增长时自动扩展存储,防止因存储不足而导致中断。
建议:
启用存储自动扩缩容,防止存储容量不足的问题。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - Operations Insights 已禁用(优先级:低)
基线:
检查自治数据库是否已启用 Operations Insights。
描述:
Operations Insights 为自治数据库提供基于 AI 的资源利用率分析和容量规划建议。
建议:
启用 Operations Insights 以了解数据库资源使用趋势。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 标签检查(优先级:信息)
基线:
检查自治数据库是否已应用成本追踪标签。
描述:
标签可对 OCI 资源实现成本归属、预算跟踪和治理。
建议:
为自治数据库应用适当的成本追踪和治理标签。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 未配置跨区域复制(优先级:高)
基线:
检查自治数据库是否已配置跨区域复制。
描述:
跨区域复制确保在区域故障时数据库仍可用,满足关键工作负载的恢复时间目标和恢复点目标。
建议:
为托管关键工作负载的自治数据库配置跨区域复制。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 数据库管理已禁用(优先级:中)
基线:
检查自治数据库是否已启用数据库管理。
描述:
数据库管理为自治数据库提供性能监控、调优建议和集群管理功能。
建议:
启用数据库管理以访问性能诊断和调优洞察。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - Data Safe 已禁用(优先级:高)
基线:
检查自治数据库是否已启用 OCI Data Safe。
描述:
Data Safe 提供安全评估、用户评估、数据发现、数据脱敏和活动审计功能,以保护数据库中的敏感数据。
建议:
启用 Data Safe 以持续监控和保护敏感数据。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 已启用高成本工具(优先级:中)
基线:
检查自治数据库是否不必要地启用了高成本附加工具。
描述:
某些 ADB 工具需要额外的许可费用。在未实际使用的情况下启用这些工具会产生不必要的费用。
建议:
审查并禁用未在实际使用中的高成本工具。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - CMK 加密已禁用(优先级:高)
基线:
检查自治数据库是否使用客户托管密钥进行加密。
描述:
客户托管密钥可对加密生命周期进行管控,并满足数据主权和合规要求。
建议:
为自治数据库启用客户托管密钥加密。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 已启用公共访问(优先级:高)
基线:
检查自治数据库是否允许公共访问。
描述:
将数据库暴露在公共互联网上会大幅扩大攻击面。数据库只应从受信任的私有网络访问。
建议:
限制自治数据库的公共访问,改用私有端点。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 未配置私有端点(优先级:高)
基线:
检查自治数据库是否已配置私有端点。
描述:
私有端点确保数据库流量在 OCI 网络内传输,不暴露在公共互联网上。
建议:
为自治数据库配置私有端点。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 未要求 mTLS(优先级:高)
基线:
检查数据库连接是否要求双向 TLS(mTLS)身份验证。
描述:
mTLS 要求客户端和服务器都使用证书进行身份验证,提供强大的双向身份验证并防范身份冒充攻击。
建议:
对自治数据库的所有连接启用 mTLS 要求。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
OCI 自治数据库 - 未配置客户联系人(优先级:低)
基线:
检查自治数据库是否已配置客户联系人信息。
描述:
客户联系人可接收有关数据库维护事件、安全公告和运营更新的重要通知。
建议:
配置客户联系人信息以接收数据库通知。
所需权限:
- GetAutonomousDatabase - AUTONOMOUS_DATABASE_INSPECT
对象存储桶
OCI 存储桶 - 复制已禁用(优先级:中)
基线:
检查存储桶是否已创建复制策略。
描述:
复制策略可防范区域性中断,有助于灾难恢复工作,并满足数据冗余合规要求。在靠近用户访问位置的区域维护多份数据副本也可以减少延迟。
建议:
考虑为存储桶创建复制策略。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 复制已禁用(优先级:中)
基线:
检查存储桶是否已创建复制策略。
描述:
复制策略可防范区域性中断,有助于灾难恢复工作,并满足数据冗余合规要求。在靠近用户访问位置的区域维护多份数据副本也可以减少延迟。
建议:
考虑为存储桶创建复制策略。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 版本控制已禁用(优先级:中)
基线:
检查存储桶是否已启用对象版本控制。
描述:
对象版本控制保留对象的历史版本,防止意外覆盖或删除,并支持时间点恢复。
建议:
在包含关键数据的存储桶上启用版本控制。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 未阻止公共访问(优先级:高)
基线:
检查是否已阻止对对象存储桶的公共访问。
描述:
可公开访问的存储桶会将存储数据暴露给未经授权的访问。除非有意提供公共内容,否则存储桶应阻止所有公共访问。
建议:
阻止所有存储桶的公共访问,除非明确需要用于公共内容托管。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 未配置生命周期策略(优先级:中)
基线:
检查存储桶是否已配置生命周期策略。
描述:
生命周期策略可自动将对象转换为低成本存储层或删除过期对象,从而随着时间推移降低存储成本。
建议:
配置生命周期策略以管理对象保留和存储层转换。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 标签检查(优先级:信息)
基线:
检查存储桶是否已应用所需标签。
描述:
标签可对存储资源实现成本归属和治理。
建议:
为所有存储桶应用适当的成本追踪和治理标签。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 自动分层已禁用(优先级:中)
基线:
检查存储桶是否已启用自动分层。
描述:
自动分层会自动将不常访问的对象移至低成本的归档存储,无需人工干预即可降低成本。
建议:
在访问模式混合的存储桶上启用自动分层,以降低存储成本。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 归档存储层(优先级:低)
基线:
检查存储桶是否适当使用归档存储层。
描述:
归档层专为极少访问的数据而设计。将其用于频繁访问的数据会导致较高的检索延迟和成本。
建议:
审查归档层中的存储桶,确保访问模式符合该存储层的适用场景。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 未配置保留规则(优先级:中)
基线:
检查存储桶是否已配置保留规则。
描述:
保留规则防止对象在指定期限前被删除或覆盖,支持合规性和数据完整性要求。
建议:
在存储合规或审计数据的存储桶上配置保留规则。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - 日志记录已禁用(优先级:中)
基线:
检查存储桶是否已启用访问日志记录。
描述:
访问日志记录存储桶上的所有读写操作,为安全调查和合规审计提供审计跟踪。
建议:
为所有存储桶启用访问日志记录。
所需权限:
- GetBucket - BUCKET_READ
OCI 存储桶 - CMK 加密已禁用(优先级:高)
基线:
检查存储桶是否使用客户托管密钥进行加密。
描述:
客户托管密钥可控制数据加密,并满足对象存储中敏感数据的合规要求。
建议:
为存储桶启用客户托管密钥加密。
所需权限:
- GetBucket - BUCKET_READ
VCN
OCI 子网 - 特定于可用域的子网(优先级:高)
基线:
检查子网是否特定于某个可用域。
描述:
选择区域子网可以缓解可用域故障的影响,因为资源可以位于该区域的任何可用域中。
建议:
Oracle 建议创建区域子网而非特定于可用域的子网。考虑将特定于可用域的子网替换为区域子网。
所需权限:
- ListSubnets - SUBNET_READ
OCI VCN - 私有子网具有 IGW 路由(优先级:高)
基线:
检查私有子网是否存在指向互联网网关的路由规则。
描述:
私有子网不应有直接指向互联网网关的路由。此类配置错误可能意外将私有资源暴露在互联网上。
建议:
从私有子网路由表中删除互联网网关路由规则。
所需权限:
- GetVcn - VCN_READ
- GetRouteTable - ROUTE_TABLE_INSPECT
OCI VCN - 正在使用默认 VCN(优先级:中)
基线:
检查租户创建的默认 VCN 是否正在使用中。
描述:
默认 VCN 通常具有宽松的默认设置,不符合安全最佳实践。建议使用具有明确设计网络拓扑的自定义 VCN。
建议:
将工作负载从默认 VCN 迁移到经过专门设计和安全加固的 VCN。
所需权限:
- GetVcn - VCN_READ
OCI VCN - 流日志已禁用(优先级:高)
基线:
检查 VCN 流日志是否已启用。
描述:
VCN 流日志捕获所有网络流量的元数据,为威胁检测、合规审计和网络故障排除提供可见性。
建议:
在所有 VCN 上启用 VCN 流日志。
所需权限:
- GetVcn - VCN_READ
OCI VCN - 未附加标签(优先级:低)
基线:
检查 VCN 是否已应用所需标签。
描述:
标签可对 VCN 资源实现成本归属、治理和生命周期管理。
建议:
为所有 VCN 应用成本追踪和治理标签。
所需权限:
- GetVcn - VCN_READ
OCI 子网 - 特定于可用域的子网(优先级:高)
基线:
检查子网是否特定于某个可用域。
描述:
选择区域子网可以缓解可用域故障的影响,因为资源可以位于该区域的任何可用域中。
建议:
Oracle 建议创建区域子网而非特定于可用域的子网。考虑将特定于可用域的子网替换为区域子网。
所需权限:
- ListSubnets - SUBNET_READ
OCI 子网 - 流日志记录已禁用(优先级:高)
基线:
检查子网是否已启用流日志。
描述:
流日志捕获流经子网的所有流量的网络元数据,支持威胁检测、流量分析和取证调查。
建议:
为所有子网启用流日志,尤其是托管敏感工作负载的子网。
所需权限:
- ListSubnets - SUBNET_READ
- GetFlowLogConfig - VNIC_READ
OCI NSG - 不受限的入站流量(优先级:高)
基线:
检查网络安全组是否允许不受限的入站流量(0.0.0.0/0)。
描述:
不受限的入站规则会将实例暴露于所有互联网流量,使任何开放端口都面临暴力破解、扫描和利用的风险。
建议:
将 NSG 入站规则限制为已知 IP 范围和所需端口。
所需权限:
- GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT
OCI NSG - 不受限的出站流量(优先级:中)
基线:
检查网络安全组是否允许不受限的出站流量。
描述:
不受限的出站规则可能允许恶意软件或已受损实例窃取数据或与命令和控制服务器通信。
建议:
将 NSG 出站规则限制为已知目标和所需协议。
所需权限:
- GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT
OCI NSG - 不受限的 RDP 访问(优先级:高)
基线:
检查 NSG 是否允许对 RDP 端口 3389 的不受限入站访问。
描述:
将 RDP 暴露在互联网上是勒索软件和暴力破解攻击的主要途径。RDP 只应通过 VPN 从受信任的 IP 范围访问。
建议:
将 RDP 访问(端口 3389)限制为特定受信任 IP 范围,或完全删除并改用堡垒机访问。
所需权限:
- GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT
OCI NSG - 不受限的 SSH 访问(优先级:高)
基线:
检查 NSG 是否允许对 SSH 端口 22 的不受限入站访问。
描述:
向互联网开放 SSH 访问会使实例面临暴力破解和凭据填充攻击。SSH 应限制为已知的管理 IP 或堡垒主机。
建议:
将 SSH 访问(端口 22)限制为特定受信任 IP 范围,或使用 OCI Bastion 服务。
所需权限:
- GetNetworkSecurityGroup - NETWORK_SECURITY_GROUP_INSPECT
OCI 安全列表 - 不受限的入站流量(优先级:高)
基线:
检查安全列表是否允许来自所有来源的不受限入站流量。
描述:
不受限的入站规则允许来自任何来源的所有流量,大幅扩大了子网中资源的攻击面。
建议:
将安全列表的入站规则限制为所需端口和受信任的源 IP 范围。
所需权限:
- GetSecurityList - SECURITY_LIST_INSPECT
OCI 安全列表 - 不受限的无状态入站流量(优先级:中)
基线:
检查安全列表是否包含不受限的无状态入站规则。
描述:
无状态规则不跟踪连接状态,因此必须明确允许返回流量。不受限的无状态入站规则可能被用于流量放大攻击。
建议:
审查并限制无状态入站规则,将暴露风险降至最低。
所需权限:
- GetSecurityList - SECURITY_LIST_INSPECT
OCI 安全列表 - 不受限的出站流量(优先级:中)
基线:
检查安全列表是否允许不受限的出站流量。
描述:
不受限的出站规则可能允许已受损实例窃取数据。将出站流量限制为所需目标可降低此风险。
建议:
将安全列表的出站规则限制为已知目标和协议。
所需权限:
- GetSecurityList - SECURITY_LIST_INSPECT
OCI 安全列表 - 不受限的无状态出站流量(优先级:中)
基线:
检查安全列表是否包含不受限的无状态出站规则。
描述:
不受限的无状态出站规则与宽松的入站规则结合,可能在没有任何状态跟踪的情况下允许未经授权的数据窃取。
建议:
审查并限制安全列表中的无状态出站规则。
所需权限:
- GetSecurityList - SECURITY_LIST_INSPECT
OCI 安全列表 - 不受限的 RDP 访问(优先级:高)
基线:
检查安全列表是否允许不受限的 RDP 访问(端口 3389)。
描述:
安全列表中开放的 RDP 访问会使子网中的所有实例面临针对 Windows 远程桌面的互联网攻击。
建议:
在所有安全列表中,将 RDP 访问限制为特定受信任 IP 范围。
所需权限:
- GetSecurityList - SECURITY_LIST_INSPECT
OCI 安全列表 - 不受限的 SSH 访问(优先级:高)
基线:
检查安全列表是否允许不受限的 SSH 访问(端口 22)。
描述:
安全列表中开放的 SSH 访问会使子网中的所有实例面临来自互联网的暴力破解和凭据盗窃攻击。
建议:
在所有安全列表中,将 SSH 访问限制为特定受信任 IP 范围或堡垒主机 IP。
所需权限:
- GetSecurityList - SECURITY_LIST_INSPECT
OCI 安全列表 - 默认安全列表允许不受限流量(优先级:高)
基线:
检查默认 VCN 安全列表是否保持默认的不受限状态。
描述:
默认安全列表在 VCN 创建后通常保持不变,可能包含适用于所有没有自定义安全列表的子网的过于宽松的规则。
建议:
在 VCN 创建后立即审查并收紧默认安全列表规则。
所需权限:
- GetSecurityList - SECURITY_LIST_INSPECT
基础数据库服务
OCI BaseDB - 自动备份已禁用(优先级:高)
基线:
检查基础数据库是否已启用自动备份。
描述:
自动备份可防止因意外删除、损坏或硬件故障导致的数据丢失。没有备份,恢复选项将大为受限。
建议:
为所有基础数据库实例启用自动备份。
所需权限:
- GetDbSystem - DB_SYSTEM_INSPECT
OCI BaseDB - 备份保留期过短(优先级:中)
基线:
检查基础数据库备份保留期是否符合最低标准。
描述:
过短的保留期会限制您从延迟发现的事件中恢复的能力。根据工作负载的重要性,建议至少保留 30 天。
建议:
延长备份保留期以满足恢复需求。
所需权限:
- GetDbSystem - DB_SYSTEM_INSPECT
OCI BaseDB 系统 - 未配置维护窗口(优先级:中)
基线:
检查基础数据库系统是否已配置维护窗口。
描述:
配置维护窗口可让您控制 Oracle 应用补丁和更新的时间,将对业务运营的影响降到最低。
建议:
配置与工作负载低峰期相符的维护窗口。
所需权限:
- GetDbSystem - DB_SYSTEM_INSPECT
OCI BaseDB 系统 - 标签检查(优先级:信息)
基线:
检查基础数据库系统是否已应用所需标签。
描述:
适当的标记可实现成本分配、治理执行和资源生命周期管理。
建议:
为所有基础数据库系统应用成本追踪和治理标签。
所需权限:
- GetDbSystem - DB_SYSTEM_INSPECT
OCI BaseDB 系统 - 诊断数据收集已禁用(优先级:中)
基线:
检查基础数据库系统是否已启用诊断数据收集。
描述:
诊断数据收集使 Oracle 支持人员能够访问性能和错误数据,从而更快地解决问题,缩短平均解决时间。
建议:
启用诊断数据收集以提高支持响应速度。
所需权限:
- GetDbSystem - DB_SYSTEM_INSPECT
OCI BaseDB 系统 - 健康监控已禁用(优先级:中)
基线:
检查基础数据库系统是否已启用健康监控。
描述:
健康监控跟踪数据库基础设施组件的运行状态,并在组件降级或失效时触发告警。
建议:
启用健康监控,以主动检测和响应基础设施问题。
所需权限:
- GetDbSystem - DB_SYSTEM_INSPECT
OCI BaseDB 系统 - 事件日志已禁用(优先级:中)
基线:
检查基础数据库系统是否已启用事件日志收集。
描述:
事件日志捕获错误事件和诊断数据,对于数据库事件期间的根因分析至关重要。
建议:
启用事件日志收集,以支持更快速的事件响应和根因分析。
所需权限:
- GetDbSystem - DB_SYSTEM_INSPECT
OCI 可插拔数据库 - 数据库管理已禁用(优先级:中)
基线:
检查可插拔数据库是否已启用数据库管理。
描述:
数据库管理为可插拔数据库提供性能监控、SQL 调优和集群管理功能。
建议:
为可插拔数据库启用数据库管理以访问性能洞察。
所需权限:
- GetPluggableDatabase - PLUGGABLE_DATABASE_INSPECT
OCI 可插拔数据库 - 未配置连接字符串(优先级:高)
基线:
检查可插拔数据库是否已配置连接字符串。
描述:
缺少连接字符串会阻止应用程序连接到 PDB,并表明数据库配置存在问题。
建议:
为所有可插拔数据库配置适当的连接字符串。
所需权限:
- GetPluggableDatabase - PLUGGABLE_DATABASE_INSPECT
OCI 可插拔数据库 - 标签检查(优先级:信息)
基线:
检查可插拔数据库是否已应用所需标签。
描述:
标签可对数据库资源实现成本分配和生命周期治理。
建议:
为所有可插拔数据库应用成本追踪和治理标签。
所需权限:
- GetPluggableDatabase - PLUGGABLE_DATABASE_INSPECT
函数
OCI 函数 - 未配置预置并发(优先级:中)
基线:
检查 OCI 函数是否已配置预置并发。
描述:
没有预置并发,函数在第一次调用时会经历冷启动延迟。对于延迟敏感的工作负载,预置并发可使函数保持热启动状态。
建议:
为延迟敏感的 OCI 函数配置预置并发。
所需权限:
- GetFunction - FUNCTION_INSPECT
OCI 函数 - 未配置追踪(优先级:低)
基线:
检查 OCI 函数是否已配置分布式追踪。
描述:
分布式追踪为函数执行、延迟和错误提供端到端可见性,便于调试和性能优化。
建议:
为 OCI 函数启用分布式追踪以提升可观测性。
所需权限:
- GetFunction - FUNCTION_INSPECT
OCI 应用程序 - 追踪已禁用(优先级:中)
基线:
检查 OCI 应用程序是否已启用分布式追踪。
描述:
分布式追踪为跨应用程序组件的请求流提供端到端可见性,支持延迟分析和根因调查。
建议:
为所有 OCI 应用程序启用分布式追踪。
所需权限:
- GetApplication - APPLICATION_INSPECT
OCI 应用程序 - 日志记录已禁用(优先级:中)
基线:
检查 OCI 应用程序是否已启用日志记录。
描述:
应用程序日志对于调试、性能分析、安全审计和合规至关重要。没有日志,诊断问题的难度将大幅增加。
建议:
为所有 OCI 应用程序启用日志记录。
所需权限:
- GetApplication - APPLICATION_INSPECT
密钥库
OCI 密钥库 - 无密钥(优先级:中)
基线:
检查"虚拟专用"和"外部"类型密钥库中是否存储有密钥。
描述:
空密钥库可能表明密钥已被删除或从未创建,这意味着引用此密钥库的服务可能未使用加密。
建议:
审查空密钥库,确保所有需要加密的资源都关联了相应密钥。
所需权限:
- ListKeys - KEY_INSPECT
OCI 密钥库密钥 - 轮换已禁用(优先级:高)
基线:
检查密钥库密钥是否已启用自动密钥轮换。
描述:
定期密钥轮换可限制密钥泄露时的风险暴露窗口。自动轮换确保密钥无需人工干预即可完成轮换。
建议:
为所有密钥库密钥启用自动密钥轮换。
所需权限:
- GetKey - KEY_INSPECT
OCI 密钥库密钥 - 未完成轮换(优先级:高)
基线:
检查密钥库密钥是否在建议周期(90 天)内完成了轮换。
描述:
即使启用了轮换,验证轮换是否实际发生也至关重要。长期未轮换的密钥会增加被攻破的风险。
建议:
如果密钥库密钥在要求的周期内未完成轮换,请立即进行轮换。
所需权限:
- GetKey - KEY_INSPECT
OCI 密钥库密钥 - 无成本标签(优先级:信息)
基线:
检查密钥库密钥是否已应用成本追踪标签。
描述:
密钥库密钥上的标签可实现成本归属和生命周期治理。
建议:
为所有密钥库密钥应用成本追踪标签。
所需权限:
- GetKey - KEY_INSPECT
OCI 密钥库密钥 - 未使用 HSM 保护(优先级:中)
基线:
检查密钥库密钥是否由硬件安全模块(HSM)保护。
描述:
受 HSM 保护的密钥存储在防篡改硬件中,为敏感工作负载和合规要求提供最高级别的密钥安全性。
建议:
对保护敏感数据或合规框架要求的密钥库密钥使用 HSM 保护。
所需权限:
- GetKey - KEY_INSPECT
OCI 密钥库密钥 - 未使用的密钥(优先级:中)
基线:
检查密钥库密钥是否被积极用于加密。
描述:
未使用的密钥代表不必要的成本和增加的密钥管理负担。识别并删除未使用的密钥可以简化密钥管理。
建议:
审查并删除未积极保护任何资源的密钥库密钥。
所需权限:
- GetKey - KEY_INSPECT
OCI 密钥 - 未启用轮换(优先级:高)
基线:
检查密钥库密钥是否已启用自动轮换。
描述:
密码、API 密钥和证书等密钥应定期轮换。自动轮换在无需人工干预的情况下降低凭据泄露的风险。
建议:
为所有密钥库密钥启用自动轮换。
所需权限:
- GetSecret - SECRET_INSPECT
OCI 密钥 - 超过最大轮换天数(优先级:高)
基线:
检查密钥库密钥是否在允许的最长时效(90 天)内完成了轮换。
描述:
长期存在的密钥会增加被攻破的风险。强制执行密钥最长有效期可缩小风险暴露窗口。
建议:
轮换超过允许最长轮换时效的密钥。
所需权限:
- GetSecret - SECRET_INSPECT
OCI 密钥 - 轮换失败(优先级:高)
基线:
检查密钥库密钥是否存在轮换失败的情况。
描述:
轮换失败会使密钥保留过时的凭据,并可能表明轮换逻辑配置有误。必须对失败的轮换进行调查和处理。
建议:
调查并解决所有失败的密钥轮换尝试。
所需权限:
- GetSecret - SECRET_INSPECT
OCI 密钥 - 未使用的密钥(优先级:低)
基线:
检查密钥库密钥是否被应用程序积极引用。
描述:
未使用的密钥代表不必要的密钥扩散和增加的攻击面。删除未使用的密钥可降低风险。
建议:
审查并删除未被积极使用的密钥库密钥。
所需权限:
- GetSecret - SECRET_INSPECT
负载均衡器
OCI 负载均衡器 - 访问日志已禁用(优先级:中)
基线:
检查负载均衡器是否已启用访问日志。
描述:
访问日志记录负载均衡器处理的所有请求,为安全调查和性能分析提供审计跟踪。
建议:
在所有负载均衡器上启用访问日志。
所需权限:
- GetLoadBalancer - LOAD_BALANCER_INSPECT
OCI 负载均衡器 - 错误日志已禁用(优先级:中)
基线:
检查负载均衡器是否已启用错误日志。
描述:
错误日志捕获连接失败和后端健康检查失败,对于诊断可用性问题和安全事件至关重要。
建议:
在所有负载均衡器上启用错误日志。
所需权限:
- GetLoadBalancer - LOAD_BALANCER_INSPECT
OCI 负载均衡器 - 标签检查(优先级:信息)
基线:
检查负载均衡器是否已应用所需标签。
描述:
标签可对负载均衡器资源实现成本归属和治理。
建议:
为所有负载均衡器应用成本追踪和治理标签。
所需权限:
- GetLoadBalancer - LOAD_BALANCER_INSPECT
OCI 负载均衡器 - 删除保护已禁用(优先级:高)
基线:
检查负载均衡器是否已启用删除保护。
描述:
没有删除保护,负载均衡器可能被意外删除,导致即时服务中断。此保护措施可防止无意删除。
建议:
在所有生产负载均衡器上启用删除保护。
所需权限:
- GetLoadBalancer - LOAD_BALANCER_INSPECT
OCI 负载均衡器 - 后端集为空(优先级:高)
基线:
检查负载均衡器后端集中是否至少有一个健康的后端。
描述:
空后端集会导致负载均衡器对所有路由到该集的流量返回错误,导致服务完全不可用。
建议:
确保所有后端集至少有一个已注册且健康的后端。
所需权限:
- GetLoadBalancer - LOAD_BALANCER_INSPECT
OCI 负载均衡器 - 公开暴露(优先级:高)
基线:
检查负载均衡器是否不必要地对外公开。
描述:
为内部服务提供服务的负载均衡器不应暴露在互联网上。公开暴露会不必要地扩大攻击面。
建议:
除非明确需要为互联网流量提供服务,否则将负载均衡器设为私有。
所需权限:
- GetLoadBalancer - LOAD_BALANCER_INSPECT
网络负载均衡器
OCI NLB - 公开暴露(优先级:高)
基线:
检查网络负载均衡器是否不必要地暴露在公共互联网上。
描述:
为内部服务提供前端的可公开访问 NLB 会不必要地扩大攻击面。NLB 只有在为面向互联网的工作负载提供服务时才应设为公开。
建议:
除非明确需要面向互联网,否则将网络负载均衡器设为私有。
所需权限:
- GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT
OCI NLB - 未启用源 IP 保留(优先级:中)
基线:
检查网络负载均衡器是否已启用源 IP 保留。
描述:
保留源 IP 允许后端服务查看原始客户端 IP 地址,这对于安全日志记录、限流和基于地理位置的访问控制至关重要。
建议:
在需要客户端 IP 可见性的网络负载均衡器上启用源 IP 保留。
所需权限:
- GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT
OCI NLB - 标签检查(优先级:信息)
基线:
检查网络负载均衡器是否已应用所需标签。
描述:
标签可对网络负载均衡器资源实现成本归属和治理。
建议:
为所有网络负载均衡器应用成本追踪和治理标签。
所需权限:
- GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT
OCI NLB - 未启用对称哈希(优先级:中)
基线:
检查网络负载均衡器是否已启用对称哈希。
描述:
对称哈希确保属于同一流的数据包在两个方向上都一致地路由到同一后端,这对于有状态协议至关重要。
建议:
为处理有状态网络协议的 NLB 启用对称哈希。
所需权限:
- GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT
OCI NLB 后端集 - 空或单一后端(优先级:中)
基线:
检查 NLB 后端集中是否有超过一个健康的后端。
描述:
只有零个或一个后端的后端集不具备冗余能力。单个后端出现任何故障都会导致服务完全丧失可用性。
建议:
在每个 NLB 后端集中至少添加两个后端,以确保高可用性。
所需权限:
- GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT
OCI NLB 后端集 - 故障开放已禁用(优先级:中)
基线:
检查 NLB 后端集是否已配置故障开放。
描述:
当后端集中的所有后端均不健康时,故障开放会将流量路由到所有后端而非直接丢弃,在健康检查失败期间维持服务连续性。
建议:
对于服务连续性优先于严格健康检查的后端集,启用故障开放。
所需权限:
- GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT
OCI NLB 后端集 - 即时故障转移已禁用(优先级:中)
基线:
检查 NLB 后端集是否已启用即时故障转移。
描述:
即时故障转移在后端变为不健康时立即重新路由流量,无需等待健康检查间隔,从而减少后端故障的影响持续时间。
建议:
启用即时故障转移,将后端故障对终端用户的影响降至最低。
所需权限:
- GetNetworkLoadBalancer - NETWORK_LOAD_BALANCER_INSPECT
互联网网关
OCI 互联网网关 - 路由表缺失(优先级:中)
基线:
检查互联网网关是否关联了路由表。
描述:
没有路由表条目的互联网网关无法正常工作,表明网络配置有误。没有适当的路由,流量将无法往来于互联网。
建议:
将具有适当路由规则的路由表与互联网网关关联。
所需权限:
- GetInternetGateway - INTERNET_GATEWAY_INSPECT
OCI 互联网网关 - 未使用(优先级:信息)
基线:
检查互联网网关是否被路由表积极使用。
描述:
未使用的互联网网关代表不必要的网络资源,应删除以简化网络拓扑。
建议:
从 VCN 中删除未使用的互联网网关。
所需权限:
- GetInternetGateway - INTERNET_GATEWAY_INSPECT
OCI 互联网网关 - 标签检查(优先级:信息)
基线:
检查互联网网关是否已应用所需标签。
描述:
标签可对网络资源实现治理和成本归属。
建议:
为所有互联网网关应用治理标签。
所需权限:
- GetInternetGateway - INTERNET_GATEWAY_INSPECT
NAT 网关
OCI NAT 网关 - 阻止检查(优先级:中)
基线:
检查 NAT 网关是否已启用流量阻止。
描述:
在 NAT 网关上启用阻止会暂停通过其发出的所有出站互联网流量。请确认阻止是有意为之,而非意外中断工作负载。
建议:
检查 NAT 网关的阻止状态,确保其符合预期的网络策略。
所需权限:
- GetNatGateway - NAT_GATEWAY_INSPECT
OCI NAT 网关 - 路由表缺失(优先级:中)
基线:
检查 NAT 网关是否在路由表中被引用。
描述:
未在任何路由表中引用的 NAT 网关处于未使用和非功能状态。私有实例将无法访问互联网。
建议:
添加引用 NAT 网关的路由规则,或在不需要时删除该网关。
所需权限:
- GetNatGateway - NAT_GATEWAY_INSPECT
OCI NAT 网关 - 标签检查(优先级:信息)
基线:
检查 NAT 网关是否已应用所需标签。
描述:
标签可对 NAT 网关资源实现治理和成本归属。
建议:
为所有 NAT 网关应用治理标签。
所需权限:
- GetNatGateway - NAT_GATEWAY_INSPECT
服务网关
OCI 服务网关 - 路由表缺失(优先级:中)
基线:
检查服务网关是否在路由表中被引用。
描述:
未在路由表中引用的服务网关无法被私有子网用于访问 OCI 服务。流量将回退到互联网路径或失败。
建议:
添加引用服务网关的路由规则,以启用对 OCI 服务的私有访问。
所需权限:
- GetServiceGateway - SERVICE_GATEWAY_INSPECT
OCI 服务网关 - 阻止检查(优先级:中)
基线:
检查服务网关是否已启用流量阻止。
描述:
被阻止的服务网关会阻止通过其发往 OCI 服务的所有流量。请确认这是有意为之,而非影响依赖 OCI 服务连接的工作负载。
建议:
检查服务网关阻止状态,确保与网络策略保持一致。
所需权限:
- GetServiceGateway - SERVICE_GATEWAY_INSPECT
OCI 服务网关 - 标签检查(优先级:低)
基线:
检查服务网关是否已应用所需标签。
描述:
标签可对服务网关资源实现治理和成本归属。
建议:
为所有服务网关应用治理标签。
所需权限:
- GetServiceGateway - SERVICE_GATEWAY_INSPECT
动态路由网关
OCI DRG - 未使用(优先级:信息)
基线:
检查动态路由网关是否已主动附加到 VCN 或 FastConnect 线路。
描述:
未使用的 DRG 代表不必要的资源。如果没有使用计划,应将其删除以减少管理负担。
建议:
删除未附加到任何 VCN 或线路的 DRG。
所需权限:
- GetDrg - DRG_INSPECT
OCI DRG - 过时附件(优先级:中)
基线:
检查 DRG 附件是否处于降级或过时状态。
描述:
过时的 DRG 附件表明 DRG 与所附加的 VCN 或线路之间存在连接问题,可能导致本地连接的路由失败。
建议:
调查并解决过时的 DRG 附件,以恢复完整连接。
所需权限:
- GetDrgAttachment - DRG_ATTACHMENT_INSPECT
站点到站点 VPN
OCI VPN - 单一隧道(优先级:高)
基线:
检查 VPN 连接是否配置了至少两个隧道。
描述:
单隧道 VPN 是本地连接的单点故障。双隧道提供冗余,在隧道故障时实现无缝故障转移。
建议:
为每个 VPN 连接配置至少两个 VPN 隧道,以确保高可用性。
所需权限:
- GetIPSecConnection - IPSEC_CONNECTION_INSPECT
OCI VPN - 无加密(优先级:中)
基线:
检查 VPN 隧道是否配置了强加密。
描述:
没有适当加密的 VPN 隧道会使网络流量面临被截获的风险。所有 VPN 连接都应强制执行强加密算法。
建议:
为所有 VPN 隧道配置文件配置强加密(AES-256)。
所需权限:
- GetIPSecConnection - IPSEC_CONNECTION_INSPECT
OCI VPN - 标签检查(优先级:信息)
基线:
检查 VPN 连接是否已应用所需标签。
描述:
标签可对 VPN 连接资源实现成本归属和治理。
建议:
为所有 VPN 连接应用成本追踪和治理标签。
所需权限:
- GetIPSecConnection - IPSEC_CONNECTION_INSPECT
相关主题
-
本页内容
- 优势
- 使用场景
- 查看指导报表和合规性检查
- 最佳实践检查