安易科技：算力基础设施安全架构设计与思考（13页）.pdf

1、算力基础设施安全架构设计与思考安易科技 王亮2023年12月1日算网安全体系设计2将数据中心集群、算力枢纽、一体化大数据中心三个层级的安全需求进行工程化解耦，从国家安全角度统筹设计，通过安全服务化方式，依托威胁情报和指挥协同通道将三层四级安全体系串联贯通，达成一体化大数据安全目标。算力枢纽区域态势感知与安全运营平台安全数据数据中心集群算力枢纽安全事件威胁情报安全事件关键日志威胁情报协同通道数据中心集群态势分析数据安全风险评估多源情报态势分析国家级国家“东数西算”态势指挥平台国家级应急响应服务平台算力数网集约化、规模化、绿色化云资源一体化调度跨部门、跨区域、跨层级数据流通与治理社会治理、公共服务

2、及领域协同创新数网通-基础设施数纽传 传输通道存 存储数据数链汇 数据汇聚用 提供数据数脑创-协同、智能数盾大数据安全体系数据中心集群算力数据中心分层架构基 础 设 施算 网 安 全算 网 调 度算 网 运 维智能DNS智能路由算力感知全局负载均衡系统GSLB负载均衡CLB应用中心数据中心模型服务管理中心数字孪生DevOps应用服务编排基础设施性能监控应用性能监控性能测试监控网络存储UbuntuK8SK3SCNISDN10GESANFiberSATA操作系统网络安全运行时安全编排平台检测软件供应链安全操作系统检测IaC风险检测可观测能力DevSecOps可管理能力算力数据中心建设关注点泛在算力

3、资源的统一建模度量是算力调度的基础。针对泛在的算力资源，通过模型函数将不同类型的算力资源映射到统一的量纲维度，形成业务层可理解、可阅读的零散算力资源池；算力网络进一步模糊传统安全边界，需要利用云能力以更好地实现资源共享和明确资源权限，确保算力网络中的供需双方可以合理合法地利用算网资源；从基础设施着手，将安全与算网融合，突破传统的安全集成方法，将安全服务化，将安全服务产品化；CPUGPU算力编排系统EulerKylinNPU基 础 设施安 全架构网络安全运行时安全配置检测漏洞检测编排平台安全资源隔离与限制身份管理权限管理恶意文件检测特权运行容器逃逸网络隔离访问控制入侵检测持续检测异常行为检测软件

4、供应链风险检测镜像检测开源证书检测SBOM识别镜像签名仓库访问控制IaC风险检测依赖漏洞异常行为检测代码加固软件成分分析代码分析安全 审计密钥 管理漏洞 管理策略 管理系统 日志进程追踪性能 监控拓扑发现链路追踪持续检测 和响应DevSecOps可观测安全管理OS内核漏洞检测OS基线检测操作系统安全漏洞利用人为错误配置缺陷数据泄漏软件漏洞检测开源授权检测算力数据中心基础设施安全架构算力安全架构设计理念安全左移-大模型应用开发阶段即对代码进行安全检测；零信任-对软件、制品使用采用零信任机制设置多个检测点，避免风险向下级传递；服务化-安全能力服务化，以API方式嵌入DevOps流水线；代码仓库构建

5、系统制品仓库开发人员部署依赖项开源社区开发者代码提交签名：gitsignProvenance attestation、OCI镜像及其他制品/文件的签名及校验：cosignSBOM风险分布、软件供应链溯源分析；npm包签名及校验：sigstore-js其他语言包：sigstore-maven等 代码分析左移至开发阶段；基于SBOM全流程管控制品准入、准出；通过签名/验签机制验证代码、制品上游生成者；零信任机制贯穿软件供应链全流程管控软件风险检测：SBOM、VulIaC风险检测扫描IaC代码，解决由于IaC自身风险，带来的部分环境中的错误配置，如：S3存储桶、没有加密的数据库等 环境偏移检测和修复

6、错误配置 从开发、部署、运维三个方面将IaC集成到开发流程中 检测部署包含凭证的代码 实施最小特权原则有助于减少代码泄漏 防止IaC代码被篡改 支持多种文件及路径扫描，包括：文件系统、tar、zip、gz、bz2、xz、S3、Git、GSC 支持多格式输出：JSON、Gitlab SAST、HTML、PDF、CSV、CycloneCX、WORD 优化由于手动设置IT环境的时间及成本 通过工具创建统一安全规则及扫描策略，提升运维安全性 解决由于手动配置环境不一带造成DevOps存在差异而无法确保连续性排除错误配置识别并纠正环境偏移硬编码秘钥检测多格式检测扫