安全性

计算安全

HTTPS加密登录UI

默认使用HTTPS方式登录UI管理界面，进一步提升系统安全性。

HTTPS协议：ZStack ZSphere默认开启重定向至HTTPS地址的443端口，在浏览器中输入管理节点IP地址即可访问UI管理界面，例如https://management_node_ip。
HTTP协议：默认不使用HTTP协议，您可手动配置。
系统默认支持PKCS12格式证书。目前仅提供PKCS12/JKS格式证书支持，如使用其它格式证书，请自行格式转换。

虚拟机控制台

虚拟机控制台为用户提供了快捷监控管理虚拟机的入口，用户必须具有相应权限才可登录虚拟机控制台。提供两种认证方式登录虚拟机控制台：SSH密钥方式、用户名/密码方式。

SSH密钥方式
- 支持SSH密钥方式登录虚拟机，目前仅适用于Linux虚拟机。
- SSH密钥是通过一种加密算法生成的一对密钥：一个为公钥，对外公开，一个为私钥，由用户自己保留。
- 虚拟机绑定公钥后，用户可在另一台虚拟机中，通过私钥SSH登录已注入公钥的虚拟机，而无需输入密码。
- 如在创建虚拟机时绑定公钥，前提需确保虚拟机镜像已预先安装cloud-init，且cloud-init推荐版本为：0.7.9、17.1、19.4、19.4以后版本。
- 如在虚拟机创建完成后绑定公钥，前提需确保虚拟机处于运行中状态，且已安装Qemu Guest Agent (QGA)，QGA需同处于运行中状态。QGA可通过VMTools安装，如通过其他方式安装，需安装2.5及以上版本。
用户名/密码方式
- 支持用户名/密码方式登录虚拟机。
- Linux虚拟机固定用户名root，Windows虚拟机固定用户名administrator。
- 虚拟机注入密码后，用户可在另一台虚拟机中，通过用户名/密码SSH登录已注入密码的虚拟机。
- 前提需确保虚拟机镜像已预先安装cloud-init，且cloud-init推荐版本为：0.7.9、17.1、19.4、19.4以后版本。

高可用性

虚拟机高可用

虚拟机支持设置高可用模式，当虚拟机因日常维护（计划）或突发异常（非计划）导致停机时，该策略可触发虚拟机自动重启，提高虚拟机可用性。

NeverStop虚拟机高可用机制：

通过轮询、触发等机制检测虚拟机状态，如果确定虚拟机已停止，设置高可用的虚拟机将直接自动重启。
通过轮询、触发等机制检测虚拟机状态，如果不能确定虚拟机状态，将根据以下步骤进行检测：
1. 根据已有网络配置，选择最精准的方式探测虚拟机所在的主机状态。
2. 如果主机状态异常，设置高可用的虚拟机将尝试自动重启。

防IP/MAC/ARP欺诈

在传统网络里，IP/MAC/ARP欺骗一直是网络面临的严峻考验。通过IP/MAC/ARP欺骗，黑客可以扰乱网络环境，窃听网络机密。

在主机数据链路层隔离由虚拟机向外发起的异常协议访问，并阻断虚拟机MAC/ARP欺骗，在主机网络层防止虚拟机IP欺骗。

镜像/快照

镜像

支持对虚拟机创建镜像。虚拟机的数据信息完整包含在镜像中，通过镜像可快捷复制相应资源。

ZStack ZSphere支持对镜像的完整性和安全性保护：

镜像采用加密算法保护完整性。当镜像从镜像仓库下载至数据存储时，需通过加密算法校验，只有校验成功才可下载镜像。
镜像文件以切片方式存储于镜像仓库，切片的镜像文件需通过ZStack ZSphere拼接完整后，才能读取具体内容，从而实现镜像数据的安全性保护。

快照

支持对虚拟机创建快照。快照实质为某一时间点某一磁盘的数据状态文件。做重要操作前，对虚拟机创建快照，可保留特定时间点的数据状态（包括内存状态），方便出现故障后迅速回滚。如需长期备份，建议使用灾备服务。

快照功能适用于以下应用场景：

故障迅速还原：当生产环境出现异常故障，可使用快照回滚功能迅速还原至正常状态。
数据开发：通过对生产数据创建快照，从而为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数据。
提高操作容错率：在系统升级或业务数据迁移等重大操作前，建议创建一份或多份快照。一旦升级或者迁移过程中出现任何问题，可以通过快照及时恢复到正常的系统数据状态。

密码加密存放

支持对ZStack ZSphere所有明文密码加密存放，从而保护用户数据的隐私性和自主性。

支持的密码加密存放场景包括但不限于：

主机密码：非明文展示。
数据存储密码：非明文展示。
数据库密码：通过密钥加密存放，直接对用户隐藏。
任务密码：ZStack ZSphere所有任务日志密码非明文展示或直接对用户隐藏。

资源删除保护

删除策略控制

支持对重要资源进行删除策略控制，降低误操作风险。

目前删除策略包括：立刻删除、延时删除、永不删除。

立刻删除：资源直接被物理删除，并在数据库中删除，无法恢复。
延时删除：资源首先在数据库中被标记为删除，但不会物理删除。在一定时间内，用户可通过UI界面的回收站功能或使用ZStack ZSphereAPI恢复资源。在此期间，资源仍物理存在，仍会占用物理空间（例如磁盘空间）。超过一定时间后，资源会被物理删除，无法再恢复。
永不删除：资源在数据库中标记为删除，永不会被物理删除，会一直占用物理空间。

目前支持删除策略控制的资源包括：虚拟机、硬盘、镜像、裸金属主机。

虚拟机删除策略：立刻删除、延时删除、永不删除。默认为延时删除。
硬盘删除策略：立刻删除、延时删除、永不删除。默认为延时删除。
镜像删除策略：立刻删除、延时删除、永不删除。默认为延时删除。
裸金属主机删除策略：立刻删除、永不删除。默认为永不删除。

UI删除提醒

在UI界面对重要资源删除提供保护机制，系统会提醒删除此资源的后果，并展示与此资源直接关联的虚拟机、硬盘数量。用户需确认后才能进行删除，降低误操作风险。

监控报警

主要通过监控系统以及通知系统提供监控报警功能，监控系统对时序化数据和事件进行监控，通知系统推送报警消息至指定的接收端。

通过监控系统提供包括系统性能、资源用量在内的监控数据指标，以大屏监控/仪表盘/可视化图表/横幅提示等形式，让用户全面了解ZStack ZSphere资源使用情况、系统运行状态以及健康度。用户还可自定义报警器以及接收端，实现细粒度灵活监控，及时发现并诊断相关问题。

监控系统功能特点：

时序化监控：目前支持监控两种时序化数据类型。
- 资源负载数据：例如虚拟机CPU使用率、主机内存使用率等。
- 资源容量数据：例如可用IP数量、运行中虚拟机的总数量等。
事件收集：收集ZStack ZSphere中发生的预定义事件，例如主机失联，虚拟机高可用功能启动等。
报警功能：对时序化数据或事件进行报警，并针对重要资源进行全局提示，例如数据存储可用物理容量等。
事件功能：记录所有操作并提供搜索。
自定义功能：用户可自定义设置报警器和报警消息模板。

通知系统功能特点：

推送报警消息至指定的接收端。
系统默认提供一个系统类型接收端，用户可自行设置其他类型接收端。

网络安全

安全组

为虚拟机提供安全组控制，控制TCP/UDP/ICMP等数据包进行有效过滤，对指定网卡流量按照指定的安全规则进行有效控制。

权限管理安全

双因子认证

在静态密码认证基础上支持第二层防护：双因子认证。当ZStack ZSphere开启双因子认证后，每次登录均需正确输入身份验证器APP提供的6位动态安全码才能成功登录。

当开启双因子认证并首次成功登录后，不再展示登录二维码，有效防止恶意登录，进一步提升系统安全。

AccessKey认证

支持AccessKey认证功能。

本地AccessKey：包括AccessKey ID和AccessKey Secret，是ZStack ZSphere授权第三方用户调用ZStack ZSphereAPI来访问ZStack ZSphere云资源的安全凭证，需严格保密。

任务事件

为用户提供统一的任务日志管理，记录ZStack ZSphere各类账号下的用户登录及资源操作，包括：操作描述、任务结果、操作员、登录IP、任务创建/完成时间，以及操作返回详情。通过任务事件，可满足用户进行安全分析、入侵检测、资源变更追踪以及合规性事件等需求。