bvlik/biotech-secure-infra

GitHub: bvlik/biotech-secure-infra

一套面向生物识别数据企业的零信任纵深防御基础设施工程档案,包含架构设计、运维手册、渗透测试验证与经验教训,完全基于开源技术栈实现。

Stars: 0 | Forks: 0

# 🛡️ biotech-secure-infra **一个零信任、纵深防御的基础设施 —— 完成设计、构建 PoC,并通过渗透测试验证。** 将处理生物识别数据的扁平网络架构进行全面重新设计,使其转变为一个 分段、加固、高可用的开源架构 —— 随后通过攻击性测试进行验证, 所有攻击场景均被拦截和检测。包含架构、运维手册、渗透测试 以及经验教训,是一份完整的工程档案。 [![License](https://img.shields.io/badge/License-MIT-green.svg)](LICENSE) ![Zero-Trust](https://img.shields.io/badge/Model-Zero--Trust-0A1929?style=for-the-badge) ![Defense in depth](https://img.shields.io/badge/Defense-in%20depth-0A1929?style=for-the-badge) ![Open source](https://img.shields.io/badge/Stack-Open%20Source-0A1929?style=for-the-badge&logo=linux&logoColor=12ABDB) ![Frameworks](https://img.shields.io/badge/Mapped-ANSSI%20%7C%20CIS%20v8%20%7C%20ATT%26CK-0070AD?style=for-the-badge) 🤝 与 @StaiLee 合作
## 背景 一个处理生物识别数据(属于不可再生、受 GDPR 第 9 条保护的数据)的架构,之前运行在 **扁平网络、明文传输,且生产环境中存在 Kali 主机**。只要一台 Web 服务器被攻破, 就意味着整个数据库泄露。本项目是对此的全面回应:围绕**零信任和纵深防御**重新设计信息系统, 证明而非仅仅声称所达到的安全水平,并**完全基于开源**实现,以保持自主权并每年节省约 4.5 万欧元的许可费用。 本项目的记录方式与真实的业务需求一致:包含目标架构、可部署的概念验证、 运维手册、攻击性验证,以及诚实的经验教训总结。 ## 项目档案 | # | 文档 | 包含内容 | |---|----------|--------------| | 1 | [技术架构 (TAD)](docs/01-architecture-dat.md) | DICT 评级、遗留系统的 STRIDE 分析、零信任设计、17 虚拟机目标、HA/SPOF 消除、映射到 CIS v8 + MITRE ATT&CK 的 4 层防御 | | 2 | [运维与安装 (DEX)](docs/02-operations-dex.md) | 11 个可重放的运维手册(分段、加固、MFA、LVM、数据库复制、LDAP/SSO、反向代理、WAF、DNS、HTTPS)、SOC 运维、备份与灾备 (DR) | | 3 | [渗透测试计划与结果](docs/03-pentest.md) | PTES/OWASP 方法论、10 个黑盒与灰盒场景、开启/关闭 WAF 前后的 SQL 注入演示、OWASP Top 10 覆盖情况、检测规则 | | 4 | [经验教训 (RETEX)](docs/04-retex.md) | 成功之处、根本原因、工程启示、目标架构与 PoC 的差异原因 | | 5 | [附录](docs/05-annexes.md) | IP 规划、完整流矩阵、FinOps (CAPEX/OPEX)、甘特图、扩展术语表、参考文献 | ## 目标架构 ``` flowchart TB INT([Internet / Branch VPN]) -->|HTTPS 443 + IPsec| FW{{pfSense HA - CARP\nSuricata IDS/IPS\nDefault reject}} subgraph N["Niort - Production"] subgraph V10["VLAN 10 - DMZ"] H1[HAProxy HA] end subgraph V20["VLAN 20 - Application"] W1[Nginx x2] ANU[OpenLDAP] SVC[Mail / SFTP / NFS] end subgraph V30["VLAN 30 - Data (sanctuary)"] DBM[(PostgreSQL master)] DBS[(PostgreSQL replica)] end subgraph V40["VLAN 40 - Admin / Build (Tier 0)"] BAS[Bastion] ANS[Ansible] PMT[Patch air-gap] end subgraph V50["VLAN 50 - SOC"] WAZ[Wazuh + collector] end end subgraph P["Pacy - DRP"] STK[Backup storage] end FW --> H1 --> W1 -->|SQL 5432 TLS| DBM DBM ==>|WAL replication| DBS DBM ==>|encrypted rsync| STK BAS -.->|SSH| V20 & V30 V10 & V20 & V30 -.->|Logs TLS| WAZ ``` ## 核心亮点 - ✅ **设计即零信任** — 微分段的隔离 VLAN、默认拒绝的防火墙、与互联网无路由的 sanctuarized 数据区 - ✅ **4 层纵深防御**(网络 / 系统 / 应用 / 数据),每项控制均映射到 **CIS Controls v8** 和 **MITRE ATT&CK** 缓解措施 - ✅ **管理分层**(ANSSI 模型),位于单一加固堡垒机之后,需密钥 + TOTP 验证 - ✅ **高可用性** — pfSense CARP、HAProxy/Keepalived VRRP、PostgreSQL 主/从复制、跨站点 DRP(RTO/RPO 4 小时) - ✅ **气隙补丁管理** — 单向传输、签名包、生产环境无互联网连接 - ✅ **经证明而非自诩** — 10/10 渗透测试场景被拦截;在没有 WAF 的情况下 SQL 注入绕过身份验证,启用 WAF 后则返回 `403 Forbidden` - ✅ **100% 开源** — Proxmox、pfSense、Rocky/Debian、PostgreSQL、OpenLDAP、HAProxy、Wazuh、Suricata、Ansible(避免了每年约 4.5 万欧元的许可费用) ## 目标架构与概念验证 本档案严格按照真实项目的逻辑划分为两个层面: - **目标架构**(TAD)— 理想的本地部署解决方案:跨 Niort、Pacy 和 Bièvres 的 17 台 Rocky Linux / Debian 虚拟机,Proxmox VE 和 pfSense; - **概念验证**(DEX + 渗透测试)— 实际部署并在 Azure 上演示的沙盒环境(受学术限制使用 4 台 Ubuntu 虚拟机),从端到端验证了目标架构的安全原则。 ## 相关工作 属于同一安全作品集的项目: - [home-detection-lab](https://github.com/bvlik/home-detection-lab) — Sigma 规则 + MITRE ATT&CK 场景 + 可运行的检测器 - [sigma-rule-pack](https://github.com/bvlik/sigma-rule-pack) — 映射到 MITRE ATT&CK 的精选 Sigma 检测规则 - [cloud-cis-checker](https://github.com/bvlik/cloud-cis-checker) — 映射到 CIS Azure Foundations Benchmark 的只读 Azure 审计工具

bvlik@StaiLee 构建 —— 基础设施安全、零信任与蓝队工程。

标签:Metaprompt, 合规框架, 开源基础架构, 测试用例, 生物特征数据, 系统提示词, 纵深防御, 网络安全, 运维手册, 隐私保护, 零信任架构