安全管理
北鲲云平台为企业用户出于安全管理考虑,开放了安全管理功能,在 安全管理 中设置是为账号全局安全设置,将对账号下所有用户生效。
注意事项: 安全管理功能只针对企业版及以上版本开放,标准版不支持安全管理功能。
一. 基础设置
基础设置可以设置账号的登录策略、共享目录数据读写权限、数据传输加密、节点出公网流量控制等,设置将对账号全局生效。
二. 密钥对管理
北鲲云密钥对管理,管理用户或者子用户通过SSH密钥对来进行连接管理节点,是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux节点,SSH密钥对通过加密算法生成一对密钥,默认采用RSA 2048位的加密方式,要使用SSH密钥对登录Linux节点,您必须先创建或者上传一个密钥对,并在 基础设置 中将连接策略设为以密钥对创建SSH连接,以使密钥对配置生效。
相关概念
成功创建SSH密钥对后:
- 北鲲云会保存SSH密钥对的公钥部分,在Linux管理节点中,公钥内容放在~/.ssh/authorized_keys文件内。
- 平台不保存私钥信息,您需要下载并妥善保管私钥,私钥使用未加密的PEM(Privacy-Enhanced Mail)编码的
PKCS#8
格式。 - 在密钥对管理中点应用可以设置为账号默认密钥对或者手动分配给指定用户使用。
安全性:SSH密钥对登录认证更为安全可靠。
- 密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。
- 不可能通过公钥推导出私钥。
便捷性:
- 便于远程登录Linux管理节点,方便管理。如果您需要批量维护多台Linux管理节点,推荐使用这种方式登录。
注意事项:
- 平台不保存私钥信息,请妥善保管您的私钥,然后使用私钥连接节点。
- 密钥对名称最多可使用 30 个字符,(支持大小写字母,中文,数字,不支持空格)
- 如果使用SSH密钥对登录Linux节点,将会禁用密码登录,以提高安全性。
- 仅支持Linux管理节点或者Linux系统启动的图形应用,Windows管理节点不生效。
- 通过控制台基础设置绑定密钥对时,是为账号全局安全设置,将对账号下所有用户新启动的Linux管理节点或者Linux系统启动的图形应用节点生效,已有节点不受影响,对命令行启动的计算节点不生效。
三. 网络策略管理
北鲲云平台为满足企业用户个性化需求,新增网络策略,网络策略是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置计算集群、计算节点的网络访问控制,控制节点级别的出入流量,是重要的网络安全隔离手段。
相关概念
- 出于安全考虑,网络策略只能通过管理账户或者安全管理员在 安全管理 中修改和配置,如有修改需求请联系账户管理员或者安全管理修改。
网络策略规则
网络策略规则包括如下组成部分:
- 授权对象:源数据(入站)或目标数据(出站)的 IP或者IP段。
- 协议类型和协议端口:协议类型如 TCP、UDP 等。
注意事项
- 网络策略功能只针对企业版及以上版本开放,标准版不支持网络策略功能。
- 网络策略默认规则,不支持更改、停用、删除、克隆等操作,除已启用的默认策略所指定的端口外,其他端口的出入流量均默认拒绝。
- 网络策略只支持管理账户和安全管理员在用户中心-安全管理菜单栏中新增网络策略和修改自定义网络策略规则,启用的网络策略,修改规则可实时生效,命令行启动的计算节点和之前已经创建的管理节点不生效。
- 网络策略名称只支持英文字母、数字和特殊字符(. _ -),不支持中文,每个计算区最多创建3个网络策略并启用,每个策略最多可创建25个规则。
- 管理用户或者安全管理员在安全管理菜单栏中启用网络策略,支持将对账号下指定用户新启节点生效或设置为账户默认网络策略对所有账户新起节点生效。
四. 操作审计
北鲲云操作审计功能帮助企业用户记录子用户的敏感操作信息,供管理员查阅,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。
功能特性
- 开箱即用:无需配置,操作审计默认为您追踪并记录最近30天的事件,支持在线查阅事件。
- 多维度查询:管理员进入“操作审计”页面可查看子用户过往敏感操作记录,管理员可根据时间、模块、操作人员、计算区进行过滤。
应用场景
安全分析:操作审计会对用户操作进行详细的记录,通过这些事件您可以判断您的账号是否存在安全问题。