云安全

考虑物理设施安全、网络安全、主机安全、应用安全四个层次及相关的虚拟化安全、数据安全、用户管理和安全管理等。这几个方面，既是一种防护基础，同时也是一个循环递进的工程，需要不断的自我完善和增强，才能够形成一套合理有效的资源池安全防护系统。

云安全需求

• 网络隔离

  • 虚拟机的业务网络与物理机的管理网完全隔离，物理机不分配任何的业务网络地址，虚拟机的网络流量直接经过物理网卡出服务器，不与物理机内的业务数据进行交换，保证了网络层面虚拟机无法访问宿主机。
  • 用户侧业务网络隔离，用户根据需求按照不同的业务种类或不同的使用部门进行业务隔离规划，云平台提供基于VLAN/VXLAN的二层网络和VPC网络的三层能力，对不同的业务网络进行隔离。

• 安全组

  • 用户根据虚拟机安全需求创建安全组，每个安全组可以设定一组访问规则。当虚拟机加入安全组后，即受到该访问规则组的保护。用户通过在创建虚拟机时选定要加入的安全组来对自身的虚拟机进行安全隔离和访问控制。
  • 同一个安全组中的虚拟机可能分布在多个物理位置分散的物理机上，一个安全组内的虚拟机之间是可以相互通信，而不同的安全组之间的虚拟机默认是不允许进行通信的，可配置为允许通信。

• 防IP及MAC仿冒

  • 为防止虚拟机用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击，增强用户虚拟机的网络安全，可以配置IP和MAC绑定方式。
  • 在云平台配置中开启“防IP/MAC伪造和ARP欺骗开关”后，云平台在物理机数据链路层隔离由云主机向外发起的异常协议访问，并阻断云主机MAC/ARP欺骗，在物理机网络层防止云主机IP欺骗。

• 企业管理权限

  • ZStack Cloud云平台以单独的功能模块形式提供企业管理功能。企业管理主要为企业用户提供组织架构管理，以及基于项目的资源访问控制、工单管理、独立区域管理等功能。
  • 企业管理权限功能点：
    • 在企业管理中，用户与角色分离，角色作为一组权限的集合，可灵活绑定到企业管理用户或从企业管理用户解绑。
    • 角色分为系统角色和自定义角色，系统角色是云平台默认提供的预定义权限范围的角色，自定义角色是用户按需自行创建的角色。
    • 企业管理用户可在UI界面进行API级别的权限控制，灵活适配各种场景的权限配置需求。

• 双因子认证

  • ZStack Cloud云平台在静态密码认证基础上支持第二层防护：双因子认证。当云平台开启双因子认证后，每次登录均需正确输入身份验证器APP提供的6位动态安全码才能成功登录。
  • 当开启双因子认证并首次成功登录后，不再展示登录二维码，有效防止恶意登录，进一步提升系统安全。

• 账号访问端IP黑白名单

  • 用户可以跟据需求开启/关闭云平台登录IP的黑白名单机制，通过对访客身份的识别和过滤，进一步提升云平台访问控制安全。ZStack Cloud云平台支持配置登录IP黑白名单，对云平台登录IP进行防护。
  • 用户可按需配置IP黑白名单，黑名单中的IP地址将被阻止登录云平台，而白名单为中侧为允许登录的IP地址，从而实现对访客身份的识别和过滤，提升云平台访问控制安全。