BabsBBG/fortisaid-cloud-security-project

# FortisAid 云安全项目 ## 概述 本仓库记录了在 **FortisAid**（一个模拟的云原生医疗保健组织，负责处理敏感的患者和运营数据）中， 分层安全控制的设计与实施。 该项目并非一系列孤立的实验室。每个实验室都代表了一项深思熟虑的安全工程决策——身份保护、网络隔离、工作负载强化、遥测可见性以及自动化威胁响应——这些决策共同构成了贯穿端到端 Azure 环境的纵深防御策略。 ## 关于 FortisAid FortisAid 是一个虚构的医疗保健平台，用于模拟企业级的云安全挑战： - 保护敏感的患者数据 (PHI) - 对关键工作负载的管理员访问进行严格控制 - 减少虚拟网络中的横向移动 - 安全的容器部署流水线 - 持续的工作负载监控和安全态势评估 - 威胁检测和自动化事件响应 本项目也反映了我向**云安全工程师**和**安全平台**角色迈进的成长历程。 所有实验室均基于 **Microsoft Azure** 构建。 ## 技术栈 - **基础设施与配置:** Azure CLI, PowerShell, Bicep/ARM, YAML (Kubernetes) - **查询与检测:** KQL (Kusto Query Language) - **平台:** Azure Portal, Microsoft Defender for Cloud, Microsoft Sentinel ## 设计理念 每个实验室都回答了一个特定的安全问题： | 实验室 | 安全问题 | |:---|:---| | 01 – RBAC | 如何使用组大规模分配最低权限访问？ | | 02 – NSG + ASG | 如何实现工作负载的微分段并减少横向移动？ | | 03 – Azure Firewall | 如何控制出站流量并防止数据外泄？ | | 04 – ACR + AKS | 如何保护容器镜像安全并控制集群访问？ | | 05 – Storage Endpoints | 如何将存储账户与公共互联网隔离？ | | 06 – AMA + DCR | 如何构建为 SIEM 提供数据的遥测流水线？ | | 07 – Defender Plan 2 | 如何部署无代理保护（FIM、JIT、漏洞扫描）？ | | 08 – JIT Access | 如何消除对 VM 的长期管理员访问权限？ | | 09 – Sentinel | 如何构建检测规则和自动化事件响应？ | ## 实验室索引与详细说明 ### [01 – 在 Azure 中设计最低权限访问 (RBAC)](https://medium.com/@tobibabalola21/designing-least-privilege-access-in-azure-users-groups-group-based-rbac-fortisaid-lab-1-44888cac7ca5) **核心技能:** Entra ID 用户/组、角色分配、基于组的 RBAC、验证 ### [02 – 使用 NSG 和 ASG 进行网络分段](https://medium.com/@tobibabalola21/network-segmentation-with-nsgs-and-asgs-fortisaid-lab-02-983dc6308cc8) **核心技能:** VNet/子网设置、ASG 分组、用于实现入站最低权限的 NSG ### [03 – 使用 Azure Firewall 和强制路由控制出站流量](https://medium.com/@tobibabalola21/controlled-egress-with-azure-firewall-and-forced-routing-fortisaid-lab-03-67e1342d1378) **核心技能:** 防火墙部署、路由表、L7 过滤（允许 Bing/DNS）、验证 ### [04 – 使用 ACR 和 AKS 保护容器供应链](https://medium.com/@tobibabalola21/securing-container-supply-chains-with-acr-and-aks-fortisaid-lab-04-3cdbbd72a174) **核心技能:** ACR 构建/推送、AKS 部署（免费层）、托管标识 RBAC、LoadBalancers ### [05 – 使用服务终结点实现存储网络隔离](https://medium.com/@tobibabalola21/storage-network-isolation-with-service-endpoints-fortisaid-lab-05-5cb37e7d2a87) **核心技能:** 终结点启用、存储限制、VM 验证、SMB 挂载 ### [06 – 使用 AMA 和数据收集规则构建安全遥测](https://medium.com/@tobibabalola21/building-security-telemetry-with-ama-and-data-collection-rules-fortisaid-lab-06-f651b875a68d) **核心技能:** RG/LAW/VM 设置、用于遥测的 DCR、KQL 调查、SIEM 基础 ### [07 – 使用 Defender for Servers Plan 2 实现无代理工作负载保护](https://medium.com/@tobibabalola21/agentless-workload-protection-with-defender-for-servers-plan-2-fortisaid-lab-07-6bc03478bcef) **核心技能:** 订阅启用、FIM/JIT、工作区集成、无代理验证 ### [08 – 使用 Just-in-Time VM Access 减少管理面暴露](https://medium.com/@tobibabalola21/reducing-administrative-exposure-with-just-in-time-vm-access-fortisaid-lab-08-0145e85f7704) **核心技能:** JIT 启用、NSG 注入/移除、减少暴力破解 ### [09 – 使用 Microsoft Sentinel 构建云 SOC](https://medium.com/@tobibabalola21/building-a-cloud-soc-with-microsoft-sentinel-fortisaid-lab-09-33303e0199fe) **核心技能:** Sentinel 引导、活动引入、检测规则、Playbook 升级 ## 本项目展示的能力 - 具备纵深防御思维的云安全工程能力 - 将医疗保健合规要求转化为 Azure 原生控制措施 - 跨身份、网络、容器、存储和 SIEM 领域的工作经验 - 以书面形式沟通技术决策（每个实验室都有一篇公开文章） ## 相关项目 - [FortisAid GRC 政策冲刺](https://github.com/blvckbillgates/fortisaid-grc-policy-sprint) - [FortisAid 网络威胁情报冲刺](https://github.com/blvckbillgates/fortisaid-cti-sprint) ## 联系方式 - **Medium:** [@tobibabalola21](https://medium.com/@tobibabalola21) - **LinkedIn:** [Tobi Babalola](https://www.linkedin.com/in/tobi-babalola001/) ## 保密声明 FortisAid 是一个虚构的组织。所有实验室配置和文档均为原创的教育作品。

标签：ACR, AI合规, AKS安全, AMSI绕过, Azure安全, Bicep, CISA项目, DevSecOps, IP 地址批量处理, JSONLines, KQL, Microsoft Sentinel, OpenCanary, RBAC, Web截图, 上游代理, 云安全工程师, 医疗安全, 威胁检测, 安全实验室, 容器安全, 纵深防御, 网络安全, 网络微隔离, 身份与访问管理, 隐私保护, 零信任