算力基础设施安全架构设计与思考.docx

  1. 1、本文档共25页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

算力基础设施安全架构设计与思考

安易科技王亮2023年12月1日

算网安全体系设计

数脑创-协同、智能社会治理、公共服务及领域协同创新威胁情报协同通道将数据中心集群、算力枢纽、一体化大数据

数脑

创-协同、智能

社会治理、公共服务及领域协同创新

威胁情报协同通道

国家级

安全事件

国家“东数西算”态势指挥平台

威胁情报

国家级应急响应服务平台

安全事件关键日志跨部门、跨区域、跨层级数据流通与治理数链汇–数据汇聚用–提供数据

安全事件关键日志

跨部门、跨区域、跨层级数据流通与治理

数链

汇–数据汇聚用–提供数据

数纽

传–传输通道存–存储数据

云资源一体化调度

数网

通-基础设施

集约化、规模化、绿色化

算力枢纽

算力枢纽区域态势感知与安全运营平台

态势分析

态势分析

多源情报

多源情报

态势分析

态势分析

数据安全风

数据安全风险评估

安全数据

数据中心集群数据中心集群算力数网数据中心集群

数据中心集群

数据中心集群

算力数据中心分层架构

算网调度算网运维算网安全基础设施

应用服务编排

应用服务编排

数据中心

模型服务

应用中心

管理中心

基础设施性能监控

基础设施性能监控

数字孪生

监控

全局负载均衡系统GSLB

全局负载均衡系统GSLB

负载均衡CLB

智能路由

智能DNS

算力感知

应用性能监控性能测试

应用性能监控性能测试

DevOps

DevSecOps

DevSecOps

网络安全

操作系统检测

可观测能力

IaC风险检测

可管理能力

软件供应链安全

编排平台检测

运行时安全

K8S

K8S

Ubuntu

CPU

CNI

SAN

NPU

SATA

编排系统

操作系统

算力

K3S

GPU

SDN

Fiber

存储

Kylin

Euler

10GE

网络

算力数据中心建设关注点

?泛在算力资源的统一建模度量是算力调度的基础。针对泛在的算力资源,通过模型函数将不同类型的算力资源映射到统一的量纲维度,形成业务层可理解、可阅读的零散算力资源池;

?算力网络进一步模糊传统安全边界,需要利用云能力以更好地实现资源共享和明确资源权限,确保算力网络中的供需双方可以合理合法地利用算网资源;

?从基础设施着手,将安全与算网融合,突破传统的安全集成方法,将安全服务化,将安全服务产品化;

算力安全架构设计理念?

算力安全架构设计理念

?安全左移-大模型应用开发阶段即对代码进行安全检测;

?零信任-对软件、制品使用采用零信任机制设置多个检测点,

避免风险向下级传递;

?服务化-安全能力服务化,以

API方式嵌入DevOps流水线;

安全管理代码加固软件成分分析开源授权检测代码分析软件漏洞检测

安全管理

代码加固

软件成分分析

开源授权检测

代码分析

软件漏洞检测

拓扑发现

进程追踪

性能监控

链路追踪

系统日志

密钥管理

持续检测和响应

策略管理

漏洞管理

安全审计

软件供应链风险检测基础设施安全架构IaC风险检测网络隔离访问控制异常行为检测入侵检测持续检测编排平台安全操作系统安全

软件供应链风险检测

基础设施安全架构

IaC风险检测

网络隔离访问控制异常行为检测入侵检测持续检测

编排平台安全

操作系统安全

开源证书检测SBOM识别镜像检测镜像签名

开源证书检测

SBOM识别

镜像检测

依赖漏洞数据泄漏人为错误配置缺陷

依赖漏洞

数据泄漏

人为错误

配置缺陷

容器逃逸特权运行恶意文件检测运行时安全

容器逃逸

特权运行

恶意文件检测

漏洞利用

漏洞利用

网络安全

网络安全

权限管理身份管理配置检测漏洞检测资源隔离与限制

权限管理

身份管理

配置检测

漏洞检测

资源隔离与限制

OS基线检测OS内核漏洞检测

OS基线检测

OS内核漏洞检测

零信任机制贯穿软件供应链全流程管控

?

?代码分析左移至开发阶段;

?基于SBOM全流程管控制品准入、准出;

?通过签名/验签机制验证代码、制品上游生成者;

Provenanceattestation、OCI镜像及其他制品/文件的签名及校验:cosign

代码提交签名:gitsign软件风险检测:SBOM、VulSBOM风险分布、软件供应链溯源分析;

npm包签名及校验:sigstore-js

其他语言包:sigstore-maven等

I

文档评论(0)

186****0576 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:5013000222000100

1亿VIP精品文档

相关文档