跳转至

DevSecOps 与安全架构 (DevSecOps & Security Architecture)

在传统环境中,安全往往是开发过程末端的一个“关卡”。在 Cyberun Cloud 中,安全是您行进的道路。我们实施严格的 DevSecOps 流水线,在不减缓开发速度的情况下自动强制执行安全标准。

“安全左移 (Shift-Left)” 哲学

我们坚信,捕获漏洞的最佳时机是在它被部署 之前

1. 安全供应链 (软件成分分析)

推送到我们私有仓库 (registry.cyberun.cloud) 的每个容器镜像都会立即接受深度检查。

  • 引擎: 由 Trivy 驱动。
  • 范围: 我们扫描操作系统层(如 Alpine, Debian)和语言依赖项(如 npm, pip, go.mod)。
  • 策略: 带有“严重 (Critical)”漏洞的镜像会被自动隔离。Kubernetes 将拒绝拉取它们,从而防止受损代码启动。

2. 不可变基础设施 (GitOps)

我们将集群状态视为不可变的。FluxCD 充当持续警惕的守护者。

  • 漂移检测: 如果恶意行为者(或困惑的管理员)通过 kubectl 手动创建后门用户,FluxCD 会检测到此更改在 Git 仓库中不存在。
  • 自动修复: FluxCD 会立即将集群状态还原回 Git 定义,有效地在几秒钟内消除手动篡改。

网络安全层级

我们假设网络是充满敌意的。

  • 零信任网格: 所有节点间流量都封装在 WireGuard 隧道中。我们不信任物理网络提供商。
  • 默认拒绝策略: 使用 Cilium 网络策略 (L3/L4),我们执行严格的“默认拒绝”态势。除非明确允许,否则 Pod 之间无法通信。
  • 示例: “前端”Pod 可以与“后端”对话,但它在加密层面上被阻止访问“数据库”。

合规与报告

对于我们的企业合作伙伴,我们提供自动化的透明度。

  • SBOM 生成: 我们可以为任何正在运行的工作负载生成 软件物料清单 (SBOM),详细说明存在哪些库和版本。
  • 漏洞仪表板: 合作伙伴可以通过 Harbor 控制台实时查看其安全态势,显示漏洞修复的趋势。

Git 作为审计日志 (Git as an Audit Log)

在 Cyberun Cloud,我们不使用黑盒管理控制台进行变更。所有的基础设施变更都必须通过 Git 提交。这为您提供了天然的、不可篡改的审计线索。

  • 谁 (Who): Git Commit 的作者(通过 GPG 签名验证)。
  • 什么 (What): git diff 显示的精确代码变更。
  • 何时 (When): 提交的时间戳。
  • 为什么 (Why): Pull Request 中的描述与关联的工单 (Jira/Linear)。

审计员无需登录服务器查看日志,只需审查 Git 仓库的历史记录即可完成合规性检查。