bvlik/biotech-secure-infra
GitHub: bvlik/biotech-secure-infra
一套面向生物识别数据企业的零信任纵深防御基础设施工程档案,包含架构设计、运维手册、渗透测试验证与经验教训,完全基于开源技术栈实现。
Stars: 0 | Forks: 0
# 🛡️ biotech-secure-infra
**一个零信任、纵深防御的基础设施 —— 完成设计、构建 PoC,并通过渗透测试验证。**
将处理生物识别数据的扁平网络架构进行全面重新设计,使其转变为一个
分段、加固、高可用的开源架构 —— 随后通过攻击性测试进行验证,
所有攻击场景均被拦截和检测。包含架构、运维手册、渗透测试
以及经验教训,是一份完整的工程档案。
[](LICENSE)




🤝 与 @StaiLee 合作
## 背景
一个处理生物识别数据(属于不可再生、受 GDPR 第 9 条保护的数据)的架构,之前运行在
**扁平网络、明文传输,且生产环境中存在 Kali 主机**。只要一台 Web 服务器被攻破,
就意味着整个数据库泄露。本项目是对此的全面回应:围绕**零信任和纵深防御**重新设计信息系统,
证明而非仅仅声称所达到的安全水平,并**完全基于开源**实现,以保持自主权并每年节省约 4.5 万欧元的许可费用。
本项目的记录方式与真实的业务需求一致:包含目标架构、可部署的概念验证、
运维手册、攻击性验证,以及诚实的经验教训总结。
## 项目档案
| # | 文档 | 包含内容 |
|---|----------|--------------|
| 1 | [技术架构 (TAD)](docs/01-architecture-dat.md) | DICT 评级、遗留系统的 STRIDE 分析、零信任设计、17 虚拟机目标、HA/SPOF 消除、映射到 CIS v8 + MITRE ATT&CK 的 4 层防御 |
| 2 | [运维与安装 (DEX)](docs/02-operations-dex.md) | 11 个可重放的运维手册(分段、加固、MFA、LVM、数据库复制、LDAP/SSO、反向代理、WAF、DNS、HTTPS)、SOC 运维、备份与灾备 (DR) |
| 3 | [渗透测试计划与结果](docs/03-pentest.md) | PTES/OWASP 方法论、10 个黑盒与灰盒场景、开启/关闭 WAF 前后的 SQL 注入演示、OWASP Top 10 覆盖情况、检测规则 |
| 4 | [经验教训 (RETEX)](docs/04-retex.md) | 成功之处、根本原因、工程启示、目标架构与 PoC 的差异原因 |
| 5 | [附录](docs/05-annexes.md) | IP 规划、完整流矩阵、FinOps (CAPEX/OPEX)、甘特图、扩展术语表、参考文献 |
## 目标架构
```
flowchart TB
INT([Internet / Branch VPN]) -->|HTTPS 443 + IPsec| FW{{pfSense HA - CARP\nSuricata IDS/IPS\nDefault reject}}
subgraph N["Niort - Production"]
subgraph V10["VLAN 10 - DMZ"]
H1[HAProxy HA]
end
subgraph V20["VLAN 20 - Application"]
W1[Nginx x2]
ANU[OpenLDAP]
SVC[Mail / SFTP / NFS]
end
subgraph V30["VLAN 30 - Data (sanctuary)"]
DBM[(PostgreSQL master)]
DBS[(PostgreSQL replica)]
end
subgraph V40["VLAN 40 - Admin / Build (Tier 0)"]
BAS[Bastion]
ANS[Ansible]
PMT[Patch air-gap]
end
subgraph V50["VLAN 50 - SOC"]
WAZ[Wazuh + collector]
end
end
subgraph P["Pacy - DRP"]
STK[Backup storage]
end
FW --> H1 --> W1 -->|SQL 5432 TLS| DBM
DBM ==>|WAL replication| DBS
DBM ==>|encrypted rsync| STK
BAS -.->|SSH| V20 & V30
V10 & V20 & V30 -.->|Logs TLS| WAZ
```
## 核心亮点
- ✅ **设计即零信任** — 微分段的隔离 VLAN、默认拒绝的防火墙、与互联网无路由的 sanctuarized 数据区
- ✅ **4 层纵深防御**(网络 / 系统 / 应用 / 数据),每项控制均映射到 **CIS Controls v8** 和 **MITRE ATT&CK** 缓解措施
- ✅ **管理分层**(ANSSI 模型),位于单一加固堡垒机之后,需密钥 + TOTP 验证
- ✅ **高可用性** — pfSense CARP、HAProxy/Keepalived VRRP、PostgreSQL 主/从复制、跨站点 DRP(RTO/RPO 4 小时)
- ✅ **气隙补丁管理** — 单向传输、签名包、生产环境无互联网连接
- ✅ **经证明而非自诩** — 10/10 渗透测试场景被拦截;在没有 WAF 的情况下 SQL 注入绕过身份验证,启用 WAF 后则返回 `403 Forbidden`
- ✅ **100% 开源** — Proxmox、pfSense、Rocky/Debian、PostgreSQL、OpenLDAP、HAProxy、Wazuh、Suricata、Ansible(避免了每年约 4.5 万欧元的许可费用)
## 目标架构与概念验证
本档案严格按照真实项目的逻辑划分为两个层面:
- **目标架构**(TAD)— 理想的本地部署解决方案:跨 Niort、Pacy 和 Bièvres 的 17 台 Rocky Linux / Debian 虚拟机,Proxmox VE 和 pfSense;
- **概念验证**(DEX + 渗透测试)— 实际部署并在 Azure 上演示的沙盒环境(受学术限制使用 4 台 Ubuntu 虚拟机),从端到端验证了目标架构的安全原则。
## 相关工作
属于同一安全作品集的项目:
- [home-detection-lab](https://github.com/bvlik/home-detection-lab) — Sigma 规则 + MITRE ATT&CK 场景 + 可运行的检测器
- [sigma-rule-pack](https://github.com/bvlik/sigma-rule-pack) — 映射到 MITRE ATT&CK 的精选 Sigma 检测规则
- [cloud-cis-checker](https://github.com/bvlik/cloud-cis-checker) — 映射到 CIS Azure Foundations Benchmark 的只读 Azure 审计工具
由 bvlik 与 @StaiLee 构建 —— 基础设施安全、零信任与蓝队工程。
标签:Metaprompt, 合规框架, 开源基础架构, 测试用例, 生物特征数据, 系统提示词, 纵深防御, 网络安全, 运维手册, 隐私保护, 零信任架构