w88005215-ctrl/yandex-cloud-security-remediation-program

# Yandex Cloud 安全修复项目 ## 项目组合发布摘要 本仓库是基于 Yandex Cloud 构建的一个基于证据的云安全修复案例。 它展示了： - 基于 Terraform 的云基础设施交付。 - IAM 和短期凭证工作流。 - 无需长期云密钥的 GitHub Actions OIDC 验证。 - Managed Kubernetes 基线与修复证据。 - Kyverno 准入策略执行。 - Container Registry 供应链验证。 - SBOM 和漏洞扫描。 - 最终修复指标、控制矩阵、风险登记册和发布就绪工件。 - 概念性的 AWS/GCP/Azure 控制映射，并具有明确的非声明边界。 核心最终报告： - [最终技术报告 EN](docs/final-technical-report-en.md) - [最终技术报告 RU](docs/final-technical-report-ru.md) - [最终修复指标](docs/final-remediation-metrics.md) - [最终控制矩阵](docs/final-control-matrix.md) - [最终风险登记册](docs/final-risk-register.md) - [跨云控制映射](docs/final-cross-cloud-control-mapping.md) - [发布就绪](docs/final-publication-readiness.md) - [保留的引导清理计划](docs/retained-bootstrap-cleanup-plan.md) 发布边界：本仓库展示了 Yandex Cloud 的实施证据，并在概念上映射了 AWS/GCP/Azure 的等效项。它不提供 AWS/GCP/Azure 的实时部署证据。 Terraform + IAM/OIDC/SAML + Managed Kubernetes 加固 + 审计证据 ## 项目目的 本仓库在真实的托管云基础设施上演示了一个基于 Yandex Cloud 的类生产环境的云安全修复项目。 该项目被设计为一个达到项目组合级别的 Cloud Security / DevSecOps 案例。它展示了如何通过具备审计就绪能力的证据，对不安全的云和 Kubernetes 基线进行识别、修复、衡量和记录。 ## 范围 项目涵盖： - Terraform / OpenTofu 基础设施即代码 - Yandex Cloud IAM 和最小权限 - GitHub Actions OIDC / Workload Identity Federation - SAML/SSO 联合身份模式 - Yandex Managed Service for Kubernetes - Kubernetes 不安全基线 - Kubernetes 加固 - RBAC 最小权限 - NetworkPolicy - Pod Security Standards - Kyverno 策略即代码 - CI/CD 安全门禁 - Trivy, Checkov, Gitleaks, Syft, Grype 及相关安全工具 - 审计轨迹和脱敏证据 - 修复前/后指标 - 风险登记册 - 控制矩阵 - AWS/GCP/Azure 控制映射 - RU/EN 最终报告 ## 定位 本项目不作为 AWS、GCP 或 Azure 生产环境经验进行声明。 准确定位： 在真实的托管云基础设施上进行的类生产环境云安全修复项目，包含映射至 AWS/GCP/Azure 的云提供商无关控制措施。 ## 运作模型 本项目遵循本地优先和短期云证据运行的模型： 1. 在本地准备 Terraform、Kubernetes manifests、CI/CD 检查和证据模型。 2. 运行本地验证和安全扫描。 3. 仅在准备好收集证据时，创建短期的 Yandex Cloud 资源。 4. 收集证据。 5. 应用修复。 6. 衡量修复前/后的结果。 7. 检查成本。 8. 销毁昂贵的资源。 Managed Kubernetes 集群、计算节点、公网 IP 地址和负载均衡器不得在没有主动证据收集目的的情况下保持运行。 ## 仓库结构 主要区域： - terraform/ — Terraform 模块和环境 - kubernetes/ — 不安全基线、加固后的 manifests、RBAC、NetworkPolicy、PSS 和 Kyverno 策略 - .github/workflows/ — CI/CD 安全门禁和基于 OIDC 的云工作流 - docs/ — 架构、威胁模型、控制矩阵、风险登记册和映射 - evidence/ — 脱敏后的命令输出、截图和修复前/后指标 - docs/ — 架构、最终报告、控制矩阵、风险登记册、映射和发布文档 - presentation/ — 演示大纲 - scripts/ — 用于证据、脱敏、成本检查和销毁检查的辅助脚本 ## 证据优先的方法 每个重要阶段都必须产生证据： - 命令输出存入 evidence/command-outputs/ - 截图存入 evidence/screenshots/ - 基线发现存入 evidence/before/ - 修复结果存入 evidence/after/ - 脱敏审计工件存入 evidence/sanitized/ - 可衡量的结果存入 evidence/before-after-metrics.md ## 安全规则 仓库绝不能包含： - Terraform state - kubeconfig 文件 - 服务账户密钥 - IAM tokens - OIDC tokens - 原始审计日志 - 账单数据 - 未脱敏的截图 - 个人或支付数据 ## 当前状态 项目状态：**已完成的项目组合级云安全修复案例**。 最终状态： - 最终的 RU/EN 技术报告已完成。 - 最终的 PDF 报告已放置在仓库根目录的 `README.md` 旁。 - 云证据收集已完成。 - Managed Kubernetes 基线/修复证据已完成。 - 已完成无需长期云密钥的 GitHub Actions OIDC 验证。 - 供应链验证、SBOM、漏洞指标、Kyverno 策略执行以及 Checkov/Gitleaks 门禁已完成。 - 保留的引导资源在证据验证后已清理。 - 公共仓库审计、脱敏和发布工件整理已完成。 - 最终的修复指标、控制矩阵、风险登记册和跨云映射已发布。 最终公共 PDF： - [`yandex_cloud_security_remediation_final_report_ru_en.pdf`](yandex_cloud_security_remediation_final_report_ru_en.pdf) ## 目标受众 本项目面向： - GitHub 项目组合审查 - 技术面试讨论 - Cloud Security / DevSecOps 演示 - 学术或培训项目答辩 - 安全工程审查 ## Kubernetes 安全修复案例 本仓库包含一个 Kubernetes 安全修复轨道，展示了完整的证据驱动工作流： 就绪清单 -> 基线验证 -> 修复控制 -> 修复前/后对比 -> 项目组合案例研究。 关键文档： - docs/kubernetes-security-remediation-case-study.md - docs/kubernetes-baseline-validation-plan.md - docs/kubernetes-baseline-findings.md - docs/kubernetes-remediation-results.md - docs/kubernetes-before-after-remediation-comparison.md ## 最终仓库审计和发布脱敏 最终公开审计工件： - [最终仓库审计报告 EN](docs/final-repository-audit-en.md) - [Финальный аудит репозитория RU](docs/final-repository-audit-ru.md) - [发布脱敏报告 EN](docs/publication-sanitization-report-en.md) - [Отчёт по публикационной очистке RU](docs/publication-sanitization-report-ru.md) 发布边界：仓库证据已为公开的项目组合用途进行了脱敏。它不包含实时云凭证、Terraform state、kubeconfig 文件、PEM 密钥或保留的云运行时工件。 ## 最终项目完成报告 该项目包含最终的双语完成报告，总结了已实施的云安全修复工作流、已验证的证据领域、敏感数据/发布安全状态以及声明边界： - [最终项目完成报告 — EN](docs/final-project-completion-report-en.md) - [Финальный отчёт о завершении проекта — RU](docs/final-project-completion-report-ru.md) 这些报告是对最终技术报告、仓库审计、脱敏报告、控制矩阵、风险登记册、修复指标和证据索引的补充。 ## 发布工件整理 最终的公共仓库树已经过整理，以减少中间执行噪音，同时保留了最终报告、最终指标、已验证的安全证据、审计报告、脱敏记录和发布边界文档。 - [发布工件整理](docs/publication-artifact-curation.md) - [最终项目完成报告 — EN](docs/final-project-completion-report-en.md) - [Финальный отчет о завершении проекта — RU](docs/final-project-completion-report-ru.md) ## 最终 PDF 报告 包含一份最终的双语 PDF 报告，用于项目组合审查、技术面试讨论和项目答辩： - [最终 PDF 报告 - RU/EN](yandex_cloud_security_remediation_final_report_ru_en.pdf) - [PDF 报告索引](docs/final-pdf-report.md)

标签：Chrome Headless, CISA项目, DevOps安全, DevSecOps, DNS解析, ECS, GitHub Actions, GitHub Advanced Security, GPT, Kubernetes安全, Modbus, OIDC, SAML, SBOM, StruQ, Terraform, Web截图, Yandex Cloud, 上游代理, 子域名突变, 安全加固, 安全合规, 容器安全, 容器镜像仓库, 开源项目, 控制矩阵, 无长期密钥, 最佳实践, 概念映射, 漏洞管理, 硬件无关, 网络代理, 自动笔记, 证据驱动, 身份与访问管理