安全性
计算安全
HTTPS加密登录UI
- HTTPS方式默认不启用。
- 启用HTTPS后,系统默认支持5443端口,且支持自定义指定其它端口登录。
- 启用HTTPS后,如使用HTTP方式的5000端口登录,将会自动重定向到HTTPS方式。目前仅支持HTTP的5000端口自动重定向到HTTPS。
- 系统默认支持PKCS12格式证书。目前仅提供PKCS12/JKS格式证书支持,如使用其它格式证书,请自行格式转换。
云主机控制台
- SSH密钥方式
- 支持SSH密钥方式登录云主机,目前仅适用于Linux云主机。
- SSH密钥是通过一种加密算法生成的一对密钥:一个为公钥,对外公开,一个为私钥,由用户自己保留。
- 云主机绑定公钥后,用户可在另一台云主机中,通过私钥SSH登录已注入公钥的云主机,而无需输入密码。
- 如在创建云主机时绑定公钥,前提需确保云主机镜像已预先安装cloud-init,且cloud-init推荐版本为:0.7.9、17.1、19.4、19.4以后版本。
- 如在云主机创建完成后绑定公钥,前提需确保云主机处于运行中状态,且已安装Qemu Guest Agent (QGA),QGA需同处于运行中状态。QGA可通过性能优化工具安装,如通过其他方式安装,需安装2.5及以上版本。
- 用户名/密码方式
- 支持用户名/密码方式登录云主机。
- Linux云主机固定用户名root,Windows云主机固定用户名administrator。
- 云主机注入密码后,用户可在另一台云主机中,通过用户名/密码SSH登录已注入密码的云主机。
- 前提需确保云主机镜像已预先安装cloud-init,且cloud-init推荐版本为:0.7.9、17.1、19.4、19.4以后版本。
高可用性
云主机高可用
云主机支持设置高可用模式,当云主机因日常维护(计划)或突发异常(非计划)导致停机时,该策略可触发云主机自动重启,提高云主机可用性。
- 通过轮询、触发等机制检测云主机状态,如果确定云主机已停止,设置高可用的云主机将直接自动重启。
- 通过轮询、触发等机制检测云主机状态,如果不能确定云主机状态,将根据以下步骤进行检测:
- 根据已有网络配置,选择最精准的方式探测云主机所在的物理机状态。
- 如果物理机状态异常,设置高可用的云主机将尝试自动重启。
负载均衡
多台云主机可使用负载均衡服务组成集群,消除单点故障,提升应用的可用性。
防IP/MAC/ARP欺诈
在传统网络里,IP/MAC/ARP欺骗一直是网络面临的严峻考验。通过IP/MAC/ARP欺骗,黑客可以扰乱网络环境,窃听网络机密。
在物理机数据链路层隔离由云主机向外发起的异常协议访问,并阻断云主机MAC/ARP欺骗,在物理机网络层防止云主机IP欺骗。
镜像/快照
镜像
支持对云主机/云盘创建镜像。云主机/云盘的数据信息完整包含在镜像中,通过镜像可快捷复制相应资源。
- 安全性:镜像文件以切片方式存储于镜像仓库,切片的镜像文件需通过云平台拼接完整后,才能读取具体内容,从而实现镜像数据的安全性保护。
- 完整性:镜像采用加密算法保护完整性。
- 当用户上传镜像至镜像仓库 (ImageStore) 时,系统将计算上传后的MD5值,用户可通过MD5比对,核验镜像完整性。
- 当镜像从镜像仓库下载至主存储时,需通过加密算法校验,只有校验成功才可下载镜像。
快照
支持对云主机/云盘创建快照。快照实质为某一时间点某一磁盘的数据状态文件。做重要操作前,对云主机/云盘创建快照,可保留特定时间点的数据状态(包括内存状态),方便出现故障后迅速回滚。如需长期备份,建议使用灾备服务。
- 手动快照:用户随时手动对云主机根云盘或数据云盘创建快照。
- 自动快照:通过定时任务创建快照,或系统在特定场景触发一次性自动快照。
- 故障迅速还原:当生产环境出现异常故障,可使用快照回滚功能迅速还原至正常状态。该手段为临时方案,考虑到数据的长期完善保护,建议使用灾备服务。
- 数据开发:通过对生产数据创建快照,从而为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数据。
- 提高操作容错率:在系统升级或业务数据迁移等重大操作前,建议创建一份或多份快照。一旦升级或者迁移过程中出现任何问题,可以通过快照及时恢复到正常的系统数据状态。
密码加密存放
支持对云平台所有明文密码加密存放,从而保护用户数据的隐私性和自主性。
- 物理机密码:非明文展示。
- 主存储密码:非明文展示。
- 数据库密码:通过密钥加密存放,直接对用户隐藏。
- 日志密码:云平台所有日志密码非明文展示或直接对用户隐藏。
资源删除保护
删除策略控制
支持对重要资源进行删除策略控制,降低误操作风险。
- 立刻删除:资源直接被物理删除,并在数据库中删除,无法恢复。
- 延时删除:资源首先在数据库中被标记为删除,但不会物理删除。在一定时间内,用户可通过UI界面的回收站功能或使用云平台API恢复资源。在此期间,资源仍物理存在,仍会占用物理空间(例如磁盘空间)。超过一定时间后,资源会被物理删除,无法再恢复。
- 永不删除:资源在数据库中标记为删除,永不会被物理删除,会一直占用物理空间。
- 云主机删除策略:立刻删除、延时删除、永不删除。默认为延时删除。
- 云盘删除策略:立刻删除、延时删除、永不删除。默认为延时删除。
- 镜像删除策略:立刻删除、延时删除、永不删除。默认为延时删除。
- 裸金属主机删除策略:立刻删除、延时删除。默认为延时删除。
- 弹性裸金属实例删除策略:立刻删除、延时删除、永不删除。默认为延时删除。Note:
弹性裸金属实例是一个定制的云主机,弹性裸金属实例与云主机受同一套删除策略控制。若云主机删除策略发生变更,则弹性裸金属实例删除策略同步变更。
UI删除提醒
在UI界面对重要资源删除提供保护机制,系统会提醒删除此资源的后果,并展示与此资源直接关联的云主机、云盘数量。用户需确认后才能进行删除,降低误操作风险。
国密数据保护
提供基于国密算法(SM3、HMAC-SM3和SM4)的数据保护功能,开启该功能后,可对日志、口令、镜像等重要数据进行加密保护,保护数据的机密性和完整性。
如需使用该功能,需确保已安装密评合规模块许可证并开启数据保护。
监控报警
主要通过监控系统以及通知系统提供监控报警功能,监控系统对时序化数据和事件进行监控,通知系统推送报警消息至指定的接收端。
通过监控系统提供包括系统性能、资源用量在内的监控数据指标,以大屏监控/仪表盘/可视化图表/横幅提示等形式,让用户全面了解云平台资源使用情况、系统运行状态以及健康度。用户还可自定义报警器以及接收端,实现细粒度灵活监控,及时发现并诊断相关问题。
- 时序化监控:目前支持监控两种时序化数据类型。
- 资源负载数据:例如云主机CPU使用率、物理机内存使用率等。
- 资源容量数据:例如可用IP数量、运行中云主机的总数量等。
- 事件收集:收集云平台中发生的预定义事件,例如物理机失联,云主机高可用功能启动等。
- 报警功能:对时序化数据或事件进行报警,并针对重要资源进行全局提示,例如主存储可用物理容量等。
- 审计功能:记录所有操作并提供搜索。
- 自定义功能:用户可自定义设置报警器和报警消息模板。
- 推送报警消息至指定的接收端。
- 系统默认提供一个系统类型接收端,用户可自行设置邮箱/钉钉/HTTP应用/短信/Microsoft Teams类型接收端。
安全场景封装
| 名称 | 描述 |
|---|---|
| 云平台登录IP黑白名单 | 默认为false,用于设置是否开启IP黑白名单功能,开启后,云平台将对登录IP进行防护。 |
| 物理机密码加密存储开关 |
默认为None,用于设置物理机密码在数据库中的加密存储策略。可选策略为:None、LocalEncryption。
Note: 如已开启平台密评合规功能,“当前生效值”会变为SecurityResourceEncryption,表示使用密码机进行加密。此时不支持更换加密存储策略。
|
| 禁止同一用户多会话连接开关 | 默认为false,用于设置是否禁止同一用户多会话连接。若为true,则同一用户只能存在一个登录会话,历史会话将强制退出。 |
| 会话超时时间 | 默认为7200,单位为s/m/h/d(即:秒/分/小时/天)。 Note: 当前会话登录超过该会话时间后,系统将不可用,需重新登录。 |
| SSL证书检查开关 | 默认为false,用于设置是否开启跳过LDAP SSL证书的所有检查的开关。若为true,表示跳过所有LDAP SSL证书的检查。 |
| 云平台登录验证码策略 | 默认为false,用于设置是否启用登录控制中的验证码功能。开启后连续登录失败次数超过上限将触发验证码保护机制,要求输入正确的账户名、密码以及验证码才能成功登录云平台。 |
| 云平台登录密码更新周期 | 默认为false,用于设置是否开启按周期修改密码功能。若设置为true,密码使用时间达到所设置的密码更新周期后,重新登录将提示修改密码。 |
| 云平台登录密码不重复次数 | 默认为false,若设置为true,则在重新设置密码时,新密码不能与之前已使用过的历史密码重复,不重复次数可配置。 |
| 云平台连续登录失败锁定用户 | 默认为false,用于设置是否启用连续登录失败锁定用户。若设置为true,则用户连续登录失败数次,账户会被锁定一段时间。 |
| 云平台登录密码强度 | 默认为false,若设置为true,则可以手动设置密码的长度和选择是否启用数字、大小写和特殊字符组合的策略。 |
| 云平台登录双因子认证开关 | 默认为false,登录云平台时,是否开启双因子认证。 |
| VNC控制台密码强度 | 默认为false,用于设置是否启用密码登录VNC控制台。 Note: VNC密码长度范围格式为m~n,取值范围[6,8]的整数,默认为6~8,并支持选择是否启用数字、大小写和特殊字符组合的策略。 |
| 云主机密码强度 | 默认为false,用于设置是否启用密码登录云主机。 Note:
|
灾备服务
灾备服务以业务为中心,融合定时增量备份、定时全量备份等多种灾备技术到云平台中,支持本地灾备、异地灾备、公有云灾备多种灾备方案,用户可根据自身业务特点,灵活选择合适的灾备方式。以单独的功能模块形式提供灾备服务。
典型场景
- 支持将本地部署的镜像仓库作为本地备份服务器,用于存放本地云主机/云盘/管理节点数据库(简称数据库)的定时备份数据。同时本地备份服务器支持主备无缝切换,有效保障业务连续性。
- 当发生本地数据误删,或本地主存储中数据损坏等情况,可将本地备份服务器中的备份数据还原至本地。
- 当本地数据中心发生灾难时,完全可依赖本地备份服务器重建数据中心并恢复业务。
- 支持将异地机房的存储服务器作为异地备份服务器,用于存放本地云主机/云盘/数据库的定时备份数据。备份数据需通过本地备份服务器同步至异地备份服务器。
- 当发生本地数据误删,或本地主存储中数据损坏等情况,可将异地备份服务器中的备份数据还原至本地。
- 当本地数据中心发生灾难时,完全可依赖异地备份服务器重建数据中心并恢复业务。
- 支持将公有云上的存储服务器作为公有云备份服务器,用于存放本地云主机/云盘/数据库的定时备份数据。备份数据需通过本地备份服务器同步至公有云备份服务器。
- 当发生本地数据误删,或本地主存储中数据损坏等情况,可将公有云备份服务器中的备份数据还原至本地。
- 当本地数据中心发生灾难时,完全可依赖公有云备份服务器备份服务器重建数据中心并恢复业务。
CDP服务
CDP服务为云主机中的重要业务系统提供秒级细粒度的持续备份,即可以将云主机数据恢复到指定时间状态,又可以在不恢复系统的情况下找回文件。CDP恢复支持新建云主机和恢复到原云主机两种策略,用户可根据自身业务需求,灵活选择合适的恢复方式。以单独的功能模块形式提供持续数据保护(CDP)服务。
典型场景
- 支持将本地部署的镜像仓库作为本地备份服务器,用于存放本地云主机数据。
- 支持为多台云主机创建CDP任务,对批量云主机提供统一CDP保护。创建CDP任务时,支持秒/分钟级别的RPO设置。进行重要业务调整时,用户可对恢复点进行标记和锁定,长期保存重要恢复点数据。
- 当发生本地数据误删,或突发故障导致数据损坏,由于用户的业务应用有硬件授权,为快速验证业务的可用性,可找到锁定恢复点,将数据恢复到原云主机查看应用是否正常。支持通过新建云盘方式恢复到原云主机,恢复前的云盘支持全部保留并重新加载回云主机,最大限度保证数据安全。
- CDP恢复时,云主机会快速拉起,RTO最低可达到秒级,有效保障业务连续性。
- 支持将本地部署的镜像仓库作为本地备份服务器,用于存放本地云主机数据。
- 支持为多台云主机创建CDP任务,对批量云主机提供统一CDP保护。创建CDP任务时,支持秒/分钟级别的RPO设置。
- 进行重要恢复演练时,可在不影响当前云主机正常运行的情况下,基于所选恢复点新建云主机,确认数据无误后再恢复到原环境中。
- CDP恢复时,云主机会快速拉起,RTO最低可达到秒级,有效保障业务连续性。
功能优势
- 软件定义,不依赖硬件,可扩展。
- 无需恢复系统,即可预览和下载备份文件。
- 操作向导化以及参数智能推荐,大幅降低使用门槛以及使用出错概率。
- 云主机无需安装代理,不受操作系统限制,对云主机性能无损耗。
- 为云主机提供细粒度至秒级的持续数据保护,RPO最低可达1秒。
- 支持任一恢复点快速还原云主机,业务环境立即可用,RTO最低可达1秒。
- 精简备份,智能识别磁盘分区和有效数据,以较小量数据和较快速度备份有效数据。
- 支持备份频率、RPO、保留策略等灵活设置,满足不同场景需求。
- 支持多种恢复级别,如整机恢复和文件级恢复。
- 整机恢复支持多种策略,支持新建云主机和恢复到原云主机两种策略。
- 不受云平台主存储类型限制,满足不同存储场景下的CDP需求。
- UI界面提供CDP概览,支持统一查看CDP状态以及相关告警。
- 数据恢复支持保留当前云盘数据,较大限度保证数据安全,有利于故障事后分析。
- 支持基于所选恢复点新建云主机,确认数据无误后再恢复到原环境中,满足恢复演练需求。
- 支持对恢复点进行标记和锁定,长期保存重要恢复点数据。
- 提供恢复任务列表,支持查看恢复记录和恢复进度,方便后续审计和追溯。
SE设备加密
网络安全
安全组
为云主机提供三层网络安全组控制,按照指定的安全规则对进出网卡的TCP/UDP/ICMP等数据包进行有效过滤。
VPC防火墙
支持对VPC路由器配置防火墙。VPC防火墙创建后,系统为VPC路由器自动配置入方向规则集,用户可灵活配置出方向规则集。VPC路由器的每个接口方向允许应用一个规则集,通过对VPC路由器接口处的南北向流量进行过滤,可有效保护整个VPC的通信安全以及VPC路由器安全。与作用于云主机虚拟网卡、侧重于保护VPC内部东西向通信安全的安全组相辅相成。
VPC路由器高可用组
支持VPC路由器高可用组功能。可在一个VPC路由器高可用组内部署一对互为主备的VPC路由器,当主VPC路由器状态异常,会秒级触发高可用切换,自动切换至备VPC路由器工作,从而保障业务持续稳定运行。
Netflow
支持VPC路由器定向导出Netflow网络流分析监控。通过Netflow对VPC路由器网卡的进出流量进行分析监控,从而快速定位整个网络的流量瓶颈,优化网络拓扑以及网络带宽,防止恶意攻击,增强网络安全。目前支持Netflow V5、V9两种数据流输出格式。
端口镜像
支持端口镜像功能。将云主机网卡的出入流量转发至另一台云主机上,在不影响源端口正常业务吞吐的情况下,可获取云主机端口上的业务报文进行分析,方便企业对内部网络数据进行监控管理,快速定位网络故障。端口镜像需使用单独的流量网络,不与其它网络复用,确保传输效率。
权限管理安全
三员分立
支持三员分立权限管理,将超级管理员(admin)权限分解并赋予系统管理员、安全管理员和安全审计员。其中,系统管理员负责云平台资源管理、安全管理员负责云平台权限管理、安全审计员负责云平台审计管理,三者之间相互独立,相互制约。
三员分立将超级管理员的超级权限分解,由三员分而治之,可有效降低因超级管理员权限过大带来的安全风险,进一步加强云平台安全。
租户管理权限
租户管理主要为企业用户提供组织架构管理,以及基于项目的资源访问控制、工单管理、独立区域管理等功能。以单独的功能模块形式提供租户管理功能。
- 用户与角色分离,角色作为一组权限的集合,可灵活绑定到租户管理用户或从租户管理用户解绑。
- 角色分为系统角色和自定义角色,系统角色是云平台默认提供的预定义权限范围的角色,自定义角色是用户按需自行创建的角色。
- UI界面支持API级别的权限控制,灵活适配各种场景的权限配置需求。
国密证书登录
提供基于国密算法(SM2)的证书登录功能。开启该功能后,需使用UKey进行登录认证,确保身份的真实性。
如需使用该功能,需确保已安装密评合规模块许可证并开启证书登录。
支持为admin或租户开启证书登录。若需为租户开启证书登录,需确保云平台已安装租户管理模块许可证。
双因子认证
在静态密码认证基础上支持第二层防护:双因子认证。当云平台开启双因子认证后,每次登录均需正确输入身份验证器APP提供的6位动态安全码才能成功登录。
当开启双因子认证并首次成功登录后,不再展示登录二维码,有效防止恶意登录,进一步提升系统安全。
AccessKey认证
支持AccessKey认证功能。
- 本地AccessKey:包括AccessKey ID和AccessKey Secret,是云平台授权第三方用户调用云平台API来访问云平台云资源的安全凭证,需严格保密。
- 第三方AccessKey:包括AccessKey ID和AccessKey Secret,是第三方用户授权用户调用第三方API来访问第三方云资源的安全凭证,需严格保密。