算力基礎(chǔ)設(shè)施安全架構(gòu)設(shè)計(jì)與思考

安易科技王亮2023年12月1日算網(wǎng)安全體系設(shè)計(jì)數(shù)腦創(chuàng)-協(xié)同、智能社會(huì)治理、公共服務(wù)及領(lǐng)域協(xié)同創(chuàng)新威脅情報(bào)協(xié)同通道將數(shù)據(jù)中心集群、算力樞紐、一體化大數(shù)據(jù)數(shù)腦創(chuàng)-協(xié)同、智能社會(huì)治理、公共服務(wù)及領(lǐng)域協(xié)同創(chuàng)新威脅情報(bào)協(xié)同通道國(guó)家級(jí)安全事件國(guó)家“東數(shù)西算”態(tài)勢(shì)指揮平臺(tái)威脅情報(bào)國(guó)家級(jí)應(yīng)急響應(yīng)服務(wù)平臺(tái)安全事件關(guān)鍵日志跨部門、跨區(qū)域、跨層級(jí)數(shù)據(jù)流通與治理數(shù)鏈匯–數(shù)據(jù)匯聚用–提供數(shù)據(jù)安全事件關(guān)鍵日志跨部門、跨區(qū)域、跨層級(jí)數(shù)據(jù)流通與治理數(shù)鏈匯–數(shù)據(jù)匯聚用–提供數(shù)據(jù)數(shù)紐傳–傳輸通道存–存儲(chǔ)數(shù)據(jù)云資源一體化調(diào)度數(shù)網(wǎng)通-基礎(chǔ)設(shè)施集約化、規(guī)?；?、綠色化算力樞紐算力樞紐區(qū)域態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)態(tài)勢(shì)分析態(tài)勢(shì)分析多源情報(bào)多源情報(bào)態(tài)勢(shì)分析態(tài)勢(shì)分析數(shù)據(jù)安全風(fēng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估安全數(shù)據(jù)數(shù)據(jù)中心集群數(shù)據(jù)中心集群算力數(shù)網(wǎng)數(shù)據(jù)中心集群數(shù)據(jù)中心集群數(shù)據(jù)中心集群算力數(shù)據(jù)中心分層架構(gòu)應(yīng)用服務(wù)編排應(yīng)用服務(wù)編排數(shù)據(jù)中心模型服務(wù)應(yīng)用中心管理中心基礎(chǔ)設(shè)施性能監(jiān)控基礎(chǔ)設(shè)施性能監(jiān)控?cái)?shù)字孿生全局負(fù)載均衡系統(tǒng)GSLB全局負(fù)載均衡系統(tǒng)GSLB負(fù)載均衡CLB智能路由智能DNS算力感知應(yīng)用性能監(jiān)控性能測(cè)試應(yīng)用性能監(jiān)控性能測(cè)試操作系統(tǒng)檢測(cè)可管理能力軟件供應(yīng)鏈安全編排平臺(tái)檢測(cè)運(yùn)行時(shí)安全編排系統(tǒng)操作系統(tǒng)?泛在算力資源的統(tǒng)一建模度量是算力調(diào)度的基礎(chǔ)。針對(duì)泛在的算力資源，通過(guò)模型函數(shù)將不同類型的算力資源映射到統(tǒng)一的量綱維度，形成業(yè)務(wù)層可理解、可閱讀的零散算力資源池；?算力網(wǎng)絡(luò)進(jìn)一步模糊傳統(tǒng)安全邊界，需要利用云能力以更好地實(shí)現(xiàn)資源共享和明確資源權(quán)限，確保算力網(wǎng)絡(luò)中的供需雙方可以合理合法地利用算網(wǎng)資源；?從基礎(chǔ)設(shè)施著手，將安全與算網(wǎng)融合，突破傳統(tǒng)的安全集成方法，將安全服務(wù)化，將安全服務(wù)產(chǎn)品化；??安全左移-大模型應(yīng)用開(kāi)發(fā)階段即對(duì)代碼進(jìn)行安全檢測(cè)；?零信任-對(duì)軟件、制品使用采用零信任機(jī)制設(shè)置多個(gè)檢測(cè)點(diǎn)，避免風(fēng)險(xiǎn)向下級(jí)傳遞；?服務(wù)化-安全能力服務(wù)化，以API方式嵌入DevOps流水線；安全管理代碼加固分分析權(quán)檢測(cè)代碼分析洞檢測(cè)安全管理代碼加固分分析權(quán)檢測(cè)代碼分析洞檢測(cè)拓?fù)浒l(fā)現(xiàn)進(jìn)程追蹤鏈路追蹤持續(xù)檢測(cè)和響應(yīng)漏洞基礎(chǔ)設(shè)施安全架構(gòu)網(wǎng)絡(luò)隔離訪問(wèn)控制異常行為檢測(cè)入侵檢測(cè)持續(xù)檢測(cè)編排平臺(tái)安全操作系統(tǒng)安全基礎(chǔ)設(shè)施安全架構(gòu)網(wǎng)絡(luò)隔離訪問(wèn)控制異常行為檢測(cè)入侵檢測(cè)持續(xù)檢測(cè)編排平臺(tái)安全操作系統(tǒng)安全開(kāi)源證書(shū)檢測(cè)鏡像檢測(cè)鏡像簽名開(kāi)源證書(shū)檢測(cè)鏡像檢測(cè)依賴漏洞數(shù)據(jù)泄漏人為錯(cuò)誤依賴漏洞數(shù)據(jù)泄漏人為錯(cuò)誤容器逃逸特權(quán)運(yùn)行惡意文件檢測(cè)運(yùn)行時(shí)安全容器逃逸特權(quán)運(yùn)行惡意文件檢測(cè)漏洞利用漏洞利用權(quán)限管理漏洞檢測(cè)資源隔離與限制權(quán)限管理漏洞檢測(cè)資源隔離與限制零信任機(jī)制貫穿軟件供應(yīng)鏈全流程管控??代碼分析左移至開(kāi)發(fā)階段；?基于SBOM全流程管控制品準(zhǔn)入、準(zhǔn)出；?通過(guò)簽名/驗(yàn)簽機(jī)制驗(yàn)證代碼、制品上游生成者；Provenanceattestation、OCI鏡像及其他制品/文件的簽名及校驗(yàn)：cosign代碼提交簽名：gitsign軟件風(fēng)險(xiǎn)檢測(cè)：SBOM、VulSBOM風(fēng)險(xiǎn)分布、軟件供應(yīng)鏈溯源分析；npm包簽名及校驗(yàn)：sigstore-js其他語(yǔ)言包：sigstore-maven等IaC風(fēng)險(xiǎn)檢測(cè)排除錯(cuò)誤配置排除錯(cuò)誤配置掃描IaC代碼，解決由于IaC自身風(fēng)險(xiǎn)，帶來(lái)的部分環(huán)境中的錯(cuò)誤配置，如：S3存儲(chǔ)桶、沒(méi)有加密的數(shù)據(jù)庫(kù)等識(shí)別并糾正環(huán)境偏移識(shí)別并糾正環(huán)境偏移?環(huán)境偏移檢測(cè)和修復(fù)錯(cuò)誤配置?從開(kāi)發(fā)、部署、運(yùn)維三個(gè)方面將IaC集成到開(kāi)發(fā)流程中硬編碼秘鑰檢測(cè)硬編碼秘鑰檢測(cè)?檢測(cè)部署包含憑證的代碼?實(shí)施最小特權(quán)原則有助于減少代碼泄漏?防止IaC代碼被篡改多格式檢測(cè)掃描多格式檢測(cè)掃描?支持多種文件及路徑掃描，包括：文件系統(tǒng)、tar、zip、gz、bz2、xz、S3、Git、GSC?支持多格式輸出：JSON、GitlabSASTCSV、CycloneCX、WORD優(yōu)化及提升運(yùn)維時(shí)間優(yōu)化及提升運(yùn)維時(shí)間?優(yōu)化由于手動(dòng)設(shè)置IT環(huán)境的時(shí)間及成本?通過(guò)工具創(chuàng)建統(tǒng)一安全規(guī)則及掃描策略，提升運(yùn)維安全性?解決由于手動(dòng)配置環(huán)境不一帶造成DevOps存在差異而無(wú)法確保連續(xù)性云原生運(yùn)行時(shí)安全檢測(cè)知識(shí)圖譜引擎知識(shí)圖譜引擎網(wǎng)絡(luò)訪問(wèn)關(guān)系網(wǎng)絡(luò)訪問(wèn)關(guān)系集成自研、商業(yè)、開(kāi)源多集成自研、商業(yè)、開(kāi)源多個(gè)惡意文件掃描引擎容器行為事件記錄容器行為事件記錄，溯源分析文件讀寫(xiě)文件讀寫(xiě)自學(xué)習(xí)免疫檢測(cè)引擎自學(xué)習(xí)免疫檢測(cè)引擎進(jìn)程啟停進(jìn)程啟停網(wǎng)絡(luò)網(wǎng)絡(luò)DPI引擎云原生網(wǎng)絡(luò)安全I(xiàn)ngressController安全控制臺(tái) > __>軟負(fù)載API網(wǎng)關(guān)IngressController安全控制臺(tái) > __>軟負(fù)載API網(wǎng)關(guān)）：絡(luò)策略實(shí)現(xiàn)技術(shù)sidecar、eBPF-X操作系統(tǒng)風(fēng)險(xiǎn)檢測(cè)檢測(cè)引擎檢測(cè)引擎APPAPPAPPAPPAPPAPP業(yè)務(wù)容器APP業(yè)務(wù)容器APPVMVM/Server/IaaSAPPAPPAPPAPPAPPAPPAPPAPP業(yè)務(wù)容器業(yè)務(wù)容器容器編排系統(tǒng)容器編排系統(tǒng)DevOps流程安全能力集成??安全能力以API方式被DevOps流水線關(guān)鍵節(jié)點(diǎn)git-commit、ci-2鏡像構(gòu)建過(guò)程軟件風(fēng)險(xiǎn)分析；2鏡像構(gòu)建過(guò)程軟件風(fēng)險(xiǎn)分析；84容器集群節(jié)點(diǎn)上鏡像掃描、可信鏡像管理等；596生產(chǎn)倉(cāng)庫(kù)鏡像確認(rèn)掃描、倉(cāng)庫(kù)掃描、可信鏡像管理源碼管理構(gòu)建平臺(tái)762385218生產(chǎn)鏡像測(cè)試鏡像74云原生安全平臺(tái)容器集群節(jié)點(diǎn)上鏡像掃描、可信鏡像管理等；596生產(chǎn)倉(cāng)庫(kù)鏡像確認(rèn)掃描、倉(cāng)庫(kù)掃描、可信鏡像管理源碼管理構(gòu)建平臺(tái)762385218生產(chǎn)鏡像測(cè)試鏡像74云原生安全平臺(tái)可觀測(cè)性監(jiān)控監(jiān)控?告警-資源及安全事件觸發(fā)?概況-算力網(wǎng)絡(luò)癥狀與表象?排錯(cuò)-安全事件出現(xiàn)的位置及?剖析-運(yùn)用數(shù)據(jù)和信息進(jìn)行根?依賴分析-厘清系統(tǒng)模塊，基于資產(chǎn)關(guān)系及業(yè)務(wù)流程進(jìn)行關(guān)聯(lián)溯源分析；算力數(shù)據(jù)中心安全架構(gòu)建設(shè)愿景??通過(guò)對(duì)軟件供應(yīng)鏈全流程管控及檢測(cè)點(diǎn)左移，努力實(shí)現(xiàn)早期識(shí)別，早期預(yù)警；?基于云原生應(yīng)用全生命周期貫徹零信任機(jī)制，管控風(fēng)險(xiǎn)流動(dòng)；?安全能力服務(wù)化與Devops流程有效結(jié)合，提高安全檢測(cè)、防護(hù)、響應(yīng)機(jī)制的實(shí)現(xiàn)效率；可視化可視化&可追溯安全與合規(guī)供應(yīng)鏈管控統(tǒng)一管理策略管控代碼風(fēng)險(xiǎn)代碼風(fēng)險(xiǎn)開(kāi)源軟件風(fēng)險(xiǎn)工作負(fù)載風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理制品風(fēng)險(xiǎn)