算力基础设施安全架构设计与思考.docx

算力基础设施安全架构设计与思考

安易科技王亮2023年12月1日

算网安全体系设计

数脑创-协同、智能社会治理、公共服务及领域协同创新威胁情报协同通道将数据中心集群、算力枢纽、一体化大数据

数脑

创-协同、智能

社会治理、公共服务及领域协同创新

威胁情报协同通道

国家级

安全事件

国家“东数西算”态势指挥平台

威胁情报

国家级应急响应服务平台

安全事件关键日志跨部门、跨区域、跨层级数据流通与治理数链汇–数据汇聚用–提供数据

安全事件关键日志

跨部门、跨区域、跨层级数据流通与治理

数链

汇–数据汇聚用–提供数据

数纽

传–传输通道存–存储数据

云资源一体化调度

数网

通-基础设施

集约化、规模化、绿色化

算力枢纽

算力枢纽区域态势感知与安全运营平台

态势分析

态势分析

多源情报

多源情报

态势分析

态势分析

数据安全风

数据安全风险评估

安全数据

数据中心集群数据中心集群算力数网数据中心集群

数据中心集群

数据中心集群

算力数据中心分层架构

算

算网调度算网运维算网安全基础设施

应用服务编排

应用服务编排

数据中心

模型服务

应用中心

管理中心

基础设施性能监控

基础设施性能监控

数字孪生

监控

全局负载均衡系统GSLB

全局负载均衡系统GSLB

负载均衡CLB

智能路由

智能DNS

算力感知

应用性能监控性能测试

应用性能监控性能测试

DevOps

DevSecOps

DevSecOps

网络安全

操作系统检测

可观测能力

IaC风险检测

可管理能力

软件供应链安全

编排平台检测

运行时安全

K8S

K8S

Ubuntu

CPU

CNI

SAN

NPU

SATA

编排系统

操作系统

算力

K3S

GPU

SDN

Fiber

存储

Kylin

Euler

10GE

网络

算力数据中心建设关注点

?泛在算力资源的统一建模度量是算力调度的基础。针对泛在的算力资源，通过模型函数将不同类型的算力资源映射到统一的量纲维度，形成业务层可理解、可阅读的零散算力资源池；

?算力网络进一步模糊传统安全边界，需要利用云能力以更好地实现资源共享和明确资源权限，确保算力网络中的供需双方可以合理合法地利用算网资源；

?从基础设施着手，将安全与算网融合，突破传统的安全集成方法，将安全服务化，将安全服务产品化；

算力安全架构设计理念?

算力安全架构设计理念

?安全左移-大模型应用开发阶段即对代码进行安全检测；

?零信任-对软件、制品使用采用零信任机制设置多个检测点，

避免风险向下级传递；

?服务化-安全能力服务化，以

API方式嵌入DevOps流水线；

安全管理代码加固软件成分分析开源授权检测代码分析软件漏洞检测

安全管理

代码加固

软件成分分析

开源授权检测

代码分析

软件漏洞检测

拓扑发现

进程追踪

性能监控

链路追踪

系统日志

密钥管理

持续检测和响应

策略管理

漏洞管理

安全审计

软件供应链风险检测基础设施安全架构IaC风险检测网络隔离访问控制异常行为检测入侵检测持续检测编排平台安全操作系统安全

软件供应链风险检测

基础设施安全架构

IaC风险检测

网络隔离访问控制异常行为检测入侵检测持续检测

编排平台安全

操作系统安全

开源证书检测SBOM识别镜像检测镜像签名

开源证书检测

SBOM识别

镜像检测

依赖漏洞数据泄漏人为错误配置缺陷

依赖漏洞

数据泄漏

人为错误

配置缺陷

容器逃逸特权运行恶意文件检测运行时安全

容器逃逸

特权运行

恶意文件检测

漏洞利用

漏洞利用

网络安全

网络安全

权限管理身份管理配置检测漏洞检测资源隔离与限制

权限管理

身份管理

配置检测

漏洞检测

资源隔离与限制

OS基线检测OS内核漏洞检测

OS基线检测

OS内核漏洞检测

零信任机制贯穿软件供应链全流程管控

?

?代码分析左移至开发阶段；

?基于SBOM全流程管控制品准入、准出；

?通过签名/验签机制验证代码、制品上游生成者；

Provenanceattestation、OCI镜像及其他制品/文件的签名及校验：cosign

代码提交签名：gitsign软件风险检测：SBOM、VulSBOM风险分布、软件供应链溯源分析；

npm包签名及校验：sigstore-js

其他语言包：sigstore-maven等

I