安全相关

介绍 Cloudpods 平台安全相关的设计

Cloudpods 平台具备如下安全相关的设计:

系统安全

通过部署系统层面的网络安全措施,确保系统平台的安全,具体措施有:

  • 组件之间的通信都是完全采用https加密,有效防止中间人攻击,回放攻击,防止信息被监听。
  • 每个服务都采用独立的服务账号,每个服务访问数据库的账号都是独立的账号,避免账号信息泄露导致的风险。
  • 服务之间的REST API调用都需要通过keystone的认证授权才可以使用,有效避免未经授权的API访问
  • 采用网络安全策略,在私有化部署环境,采用calico network policy限制不必要的服务端口暴漏,在公有云部署环境,应用公有云VPC安全组策略限制不必要的服务端口暴漏,降低服务被网络攻击的风险

账户安全

通过账户安全措施,保证平台的安全,主要措施有:

  • 账户安全:为保证登录账户的密码安全,强制要求密码复杂度(密码长度和包含的字符种类),密码定期失效,历史密码重复校验等。
  • 登录安全:为保证账户登录安全,开启多因子认证(MFA),强制限制用户只能有一个有效登录会话,允许禁用特定用户的控制台登录权限或API访问权限,如果一个用户多次密码登录失败则禁用账户