安易科技王亮2023年12月1日算網安全體系設計數腦創-協同、智能社會治理、公共服務及領域協同創新威脅情報協同通道將數據中心集群、算力樞紐、一體化大數據數腦創-協同、智能社會治理、公共服務及領域協同創新威脅情報協同通道國家級安全事件國家“東數西算”態勢指揮平臺威脅情報國家級應急響應服務平臺安全事件關鍵日志跨部門、跨區域、跨層級數據流通與治理數鏈匯–數據匯聚用–提供數據安全事件關鍵日志跨部門、跨區域、跨層級數據流通與治理數鏈匯–數據匯聚用–提供數據數紐傳–傳輸通道存–存儲數據云資源一體化調度數網通-基礎設施集約化、規模化、綠色化算力樞紐算力樞紐區域態勢感知與安全運營平臺態勢分析態勢分析多源情報多源情報態勢分析態勢分析數據安全風數據安全風險評估安全數據數據中心集群數據中心集群算力數網數據中心集群數據中心集群數據中心集群算力數據中心分層架構應用服務編排應用服務編排數據中心模型服務應用中心管理中心基礎設施性能監控基礎設施性能監控數字孿生全局負載均衡系統GSLB全局負載均衡系統GSLB負載均衡CLB智能路由智能DNS算力感知應用性能監控性能測試應用性能監控性能測試操作系統檢測可管理能力軟件供應鏈安全編排平臺檢測運行時安全編排系統操作系統?泛在算力資源的統一建模度量是算力調度的基礎。針對泛在的算力資源，通過模型函數將不同類型的算力資源映射到統一的量綱維度，形成業務層可理解、可閱讀的零散算力資源池；?算力網絡進一步模糊傳統安全邊界，需要利用云能力以更好地實現資源共享和明確資源權限，確保算力網絡中的供需雙方可以合理合法地利用算網資源；?從基礎設施著手，將安全與算網融合，突破傳統的安全集成方法，將安全服務化，將安全服務產品化；??安全左移-大模型應用開發階段即對代碼進行安全檢測；?零信任-對軟件、制品使用采用零信任機制設置多個檢測點，避免風險向下級傳遞；?服務化-安全能力服務化，以API方式嵌入DevOps流水線；安全管理代碼加固分分析權檢測代碼分析洞檢測安全管理代碼加固分分析權檢測代碼分析洞檢測拓撲發現進程追蹤鏈路追蹤持續檢測和響應漏洞基礎設施安全架構網絡隔離訪問控制異常行為檢測入侵檢測持續檢測編排平臺安全操作系統安全基礎設施安全架構網絡隔離訪問控制異常行為檢測入侵檢測持續檢測編排平臺安全操作系統安全開源證書檢測鏡像檢測鏡像簽名開源證書檢測鏡像檢測依賴漏洞數據泄漏人為錯誤依賴漏洞數據泄漏人為錯誤容器逃逸特權運行惡意文件檢測運行時安全容器逃逸特權運行惡意文件檢測漏洞利用漏洞利用權限管理漏洞檢測資源隔離與限制權限管理漏洞檢測資源隔離與限制零信任機制貫穿軟件供應鏈全流程管控??代碼分析左移至開發階段；?基于SBOM全流程管控制品準入、準出；?通過簽名/驗簽機制驗證代碼、制品上游生成者；Provenanceattestation、OCI鏡像及其他制品/文件的簽名及校驗：cosign代碼提交簽名：gitsign軟件風險檢測：SBOM、VulSBOM風險分布、軟件供應鏈溯源分析；npm包簽名及校驗：sigstore-js其他語言包：sigstore-maven等IaC風險檢測排除錯誤配置排除錯誤配置掃描IaC代碼，解決由于IaC自身風險，帶來的部分環境中的錯誤配置，如：S3存儲桶、沒有加密的數據庫等識別并糾正環境偏移識別并糾正環境偏移?環境偏移檢測和修復錯誤配置?從開發、部署、運維三個方面將IaC集成到開發流程中硬編碼秘鑰檢測硬編碼秘鑰檢測?檢測部署包含憑證的代碼?實施最小特權原則有助于減少代碼泄漏?防止IaC代碼被篡改多格式檢測掃描多格式檢測掃描?支持多種文件及路徑掃描，包括：文件系統、tar、zip、gz、bz2、xz、S3、Git、GSC?支持多格式輸出：JSON、GitlabSASTCSV、CycloneCX、WORD優化及提升運維時間優化及提升運維時間?優化由于手動設置IT環境的時間及成本?通過工具創建統一安全規則及掃描策略，提升運維安全性?解決由于手動配置環境不一帶造成DevOps存在差異而無法確保連續性云原生運行時安全檢測知識圖譜引擎知識圖譜引擎網絡訪問關系網絡訪問關系集成自研、商業、開源多集成自研、商業、開源多個惡意文件掃描引擎容器行為事件記錄容器行為事件記錄，溯源分析文件讀寫文件讀寫自學習免疫檢測引擎自學習免疫檢測引擎進程啟停進程啟停網絡網絡DPI引擎云原生網絡安全IngressController安全控制臺 > __>軟負載API網關IngressController安全控制臺 > __>軟負載API網關）：絡策略實現技術sidecar、eBPF-X操作系統風險檢測檢測引擎檢測引擎APPAPPAPPAPPAPPAPP業務容器APP業務容器APPVMVM/Server/IaaSAPPAPPAPPAPPAPPAPPAPPAPP業務容器業務容器容器編排系統容器編排系統DevOps流程安全能力集成??安全能力以API方式被DevOps流水線關鍵節點git-commit、ci-2鏡像構建過程軟件風險分析；2鏡像構建過程軟件風險分析；84容器集群節點上鏡像掃描、可信鏡像管理等；596生產倉庫鏡像確認掃描、倉庫掃描、可信鏡像管理源碼管理構建平臺762385218生產鏡像測試鏡像74云原生安全平臺容器集群節點上鏡像掃描、可信鏡像管理等；596生產倉庫鏡像確認掃描、倉庫掃描、可信鏡像管理源碼管理構建平臺762385218生產鏡像測試鏡像74云原生安全平臺可觀測性監控監控?告警-資源及安全事件觸發?概況-算力網絡癥狀與表象?排錯-安全事件出現的位置及?剖析-運用數據和信息進行根?依賴分析-厘清系統模塊，基于資產關系及業務流程進行關聯溯源分析；算力數據中心安全架構建設愿景??通過對軟件供應鏈全流程管控及檢測點左移，努力實現早期識別，早期預警；?基于云原生應用全生命周期貫徹零信任機制，管控風險流動；?安全能力服務化與Devops流程有效結合，提高安全檢測、防護、響應機制的實現效率；可視化可視化&可追溯安全與合規供應鏈管控統一管理策略管控代碼風險代碼風險開源軟件風險工作負載風險風險管理制品風險