1. 概述
1.1 版本
| 运维平台版本 | 功能变更 |
|---|---|
| V2.27.0 | - |
1.2 应用场景
国企、银行等客户,对系统的安全要求较高,需要对运维平台开启防护机制。
运维平台提供自身的组件级配置「安全模式」,限制外部访问并消除数据残留风险,确保系统仅对授权网段开放,且敏感操作痕迹自动清理,从而通过安全扫描并降低攻击面。
2. 开启安全模式
1)管理员登录运维平台,点击「运维平台管理>运维组件」。
2)支持为运维平台的这些组件容器开启「安全模式」:nginx、registry
3)弹窗提醒「开启安全模式后将自动修改组件相关配置」,点击「确定」,系统自动调整安全相关配置,开启成功。
关闭安全模式的操作与开启相同,再次点击对应组件容器的「安全模式」按钮即可。
3. 安全模式影响说明
3.1 nginx
开启安全模式后:运维平台外挂目录/nginx/conf/safe中自动创建 safe.conf 文件,该文件将作为自定义配置文件加载到运维平台的 Nginx 主配置中。
关闭安全模式后:safe.conf 文件被自动删除,相关配置自动消失。
默认配置
safe.conf 文件包含以下安全响应头设置,所有经过该 Nginx 容器转发的组件响应都将携带这些安全头:
经过 Nginx 转发带有安全头的组件:alertmanager,pushgateway,grafana,prometheus,skywalking_oap
add_header Referrer-Policy "same-origin" always;
add_header X-Permitted-Cross-Domain-Policies "none";
add_header Content-Security-Policy "object-src 'self'";
add_header X-Download-Options "noopen";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header Cache-Control "no-cache";
add_header Pragma "no-cache";
add_header Expires "Thu, 01 Jan 1970 00:00:00 GMT";
自定义配置
管理员可通过编辑/fanruanxxx/nginx/conf/safe/safe.conf文件,自定义修改请求头的配置值。
| header | 说明 | ||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Referrer-Policy | 作用: 控制浏览器在跨域请求时发送的Referer信息,防止敏感URL参数泄露,避免跨站请求伪造(CSRF)攻击 支持值说明:(默认值same-origin)
| ||||||||||||||||||||||||||||||||
| X-Permitted-Cross-Domain-Policies | 作用: 限制不同域名间的资源访问权限,可有效降低跨域攻击风险 支持值说明:(默认值none)
| ||||||||||||||||||||||||||||||||
| Content-Security-Policy | 作用: 内容安全策略,通过资源加载白名单策略保障网页安全,防御XSS攻击和数据注入威胁 支持值说明:(默认值object-src 'self') 该请求头的值由指令和指令值组成,支持为不同指令设置值。 例如:add_header Content-Security-Policy "default-src 'self'; object-src 'none'"; 本文仅列出常见的指令和指令值,更多内容请自行百度学习。
| ||||||||||||||||||||||||||||||||
| X-Download-Options | 作用: 禁止浏览器自动打开下载文件,防范IE浏览器的文件预览执行风险 支持值说明:(默认值noopen) noopen:唯一有效值,禁止自动打开下载文件 | ||||||||||||||||||||||||||||||||
| X-Content-Type-Options | 作用: 禁止浏览器 MIME 嗅探,确保浏览器遵循服务器提供的MIME类型,提高安全性和一致性 支持值说明:(默认值nosniff) nosniff:唯一有效值,禁止 MIME 嗅探 | ||||||||||||||||||||||||||||||||
| X-XSS-Protection | 作用: 控制浏览器XSS过滤机制,通过检测响应中的恶意脚本阻止页面加载 支持值说明:(默认值1; mode=block)
| ||||||||||||||||||||||||||||||||
| Strict-Transport-Security | 作用: 强制浏览器使用 HTTPS 连接,防止 SSL 剥离攻击 完整语法:max-age=<seconds>; includeSubDomains; preload 默认值:max-age=31536000; includeSubDomains
| ||||||||||||||||||||||||||||||||
| Cache-Control | 作用: 指定请求和响应遵循的缓存机制 支持值说明:(默认值no-cache)
| ||||||||||||||||||||||||||||||||
| Pragma | 作用: 控制HTTP缓存机制 支持值说明:(默认值no-cache) no-cache:唯一常用值,效果类似 Cache-Control: no-cache | ||||||||||||||||||||||||||||||||
| Expires | 作用: 指定资源的过期时间 默认值:Thu, 01 Jan 1970 00:00:00 GMT | ||||||||||||||||||||||||||||||||
3.2 registry
组件说明:
Registry 是运维平台的镜像仓库组件,用于存储项目组件的私有镜像等敏感信息。关闭 Registry 可阻断外部网络访问,有效降低潜在风险。
安全模式启停说明:
安全模式开启时:Registry 容器将自动关闭(状态变更为 exited)
用户可通过手动点击「启动」或「关闭安全模式」按钮启动 Registry 容器
影响范围:
关闭 Registry 容器将导致以下依赖本地镜像仓库的操作无法执行:
部署、升级项目
扩容、添加组件
备份、还原项目
因此请在执行这些操作前,手动启动 Registry 容器
上一篇:为运维平台配置SSL
