S3curethecloud/securethecloud-operational-intelligence-fabric

GitHub: S3curethecloud/securethecloud-operational-intelligence-fabric

一个模拟受监管企业环境的 AI 运营智能实验室,整合遥测关联、OPA 策略评估、AI 辅助调查和人工审批工作流。

Stars: 1 | Forks: 0

# SecureTheCloud Operational Intelligence Fabric ## Palantir 风格 AI 运营实验室 SecureTheCloud Operational Intelligence Fabric 是一个用于构建受治理的 AI 运营平台的投资组合实操实验室。它模拟了一个受监管的企业环境,包含运行时遥测、Kubernetes 风格的运营事件、OPA 策略关联、AI 辅助调查、证据重放以及人工审核(human-in-the-loop)审批。 该实验室旨在展示企业级的运营架构思维,而非玩具式的聊天机器人演示。 ## 场景 **安全的 AI 银行运营** 你正在为一个受监管的银行环境构建内部运营智能平台。该平台帮助安全和运营团队调查可疑的运行时活动、关联遥测数据、评估策略上下文、生成有证据支持的 AI 总结,并要求在采纳运营建议之前进行人工审核。 ## MVP 构建顺序 从以下顺序开始: ``` Phase 0 -> Phase 1 -> Phase 4 -> Phase 5 -> Phase 6 -> Phase 7 -> Phase 8 -> Phase 9 ``` 将真实的 Falco、Kubernetes、OpenTelemetry、Grafana 和 Terraform 留到第二阶段进行。 ## 此 MVP 构建的内容 | 阶段 | 产出 | |---|---| | 阶段 0 | GitHub 仓库基础 | | 阶段 1 | 本地 Docker 服务和项目脚手架 | | 阶段 4 | OPA 策略关联 | | 阶段 5 | Go 运营 API | | 阶段 6 | Python AI 调查服务 | | 阶段 7 | 人工审批工作流 | | 阶段 8 | Next.js AI 运营工作区 | | 阶段 9 | 证据重放 | ## 架构 ``` +-------------------------------------------------------------+ | AI Operations Workspace | | Next.js Investigator UI | +--------------------------+----------------------------------+ | v +-------------------------------------------------------------+ | API Layer | | Go API Gateway + Python AI Service | +------------+-------------------+----------------------------+ | | v v +---------------------+ +-----------------------------+ | Operational Store | | AI Investigation Workflow | | PostgreSQL + Redis | | FastAPI + Mock LLM First | +---------------------+ +-----------------------------+ | | v v +-------------------------------------------------------------+ | Evidence + Governance Layer | | OPA Decisions | Approval Records | Audit Chain | +-------------------------------------------------------------+ ^ | +-------------------------------------------------------------+ | Runtime Detection Fabric | | Simulated Runtime Events | OPA | Future Falco/K8s/Otel | +-------------------------------------------------------------+ ``` ## 治理边界 AI 层仅用于证据汇总和建议。 它可以: - 汇总证据 - 关联信号 - 解释策略上下文 - 建议下一步审查步骤 - 引用证据 ID 它不可以: - 授权运行时操作 - 声称已执行生产环境强制措施 - 修改基础设施 - 绕过 OPA、SENTINEL 或人工审批 - 签发 token 或创建运行时会话 - 未经通知地批准修复 ## 快速开始 ### 1. 启动基础设施 ``` cp .env.example .env make up ``` ### 2. 启动 Go API ``` make api ``` 如果 8080 端口已被占用,请运行: ``` cd api PORT=18080 go run ./cmd/server ``` ### 3. 启动 AI 服务 在另一个终端中: ``` make ai ``` 在运行调查步骤之前,请给 AI 服务几秒钟的时间来安装依赖并启动。 ### 4. 启动前端 在另一个终端中: ``` make frontend ``` ### 5. 模拟可疑的运行时事件 ``` ./scripts/simulate_runtime_event.sh ``` ### 6. 打开仪表板 ``` http://localhost:3000 ``` ## 演示流程 1. 打开仪表板。 2. 显示没有活跃的事件,或显示示例队列。 3. 运行 `./scripts/simulate_runtime_event.sh`。 4. 打开事件队列。 5. 选择新的高风险事件。 6. 查看运行时证据。 7. 查看 OPA 策略上下文。 8. 运行 AI 调查。 9. 查看有证据支持的 AI 建议。 10. 批准、拒绝或请求更多证据。 11. 重放证据时间线。 12. 显示审计日志。 ## MVP 验收标准 当满足以下条件时,MVP 即完成: - `make up` 启动本地服务。 - `make api` 启动 Go API。 - `make ai` 启动 Python AI 服务。 - `make frontend` 启动 Next.js 仪表板。 - 事件模拟器发布一个运行时事件。 - API 将运行时事件存储在内存中以供 MVP 演示使用。 - API 调用 OPA,或者在 OPA 不可用时回退到本地策略上下文。 - 高风险事件创建一个 incident。 - AI 服务生成有证据支持的总结。 - 人工审核员可以批准、拒绝或请求更多证据。 - 事件证据重放显示事件、策略、调查、批准和审计链。 ## 第二阶段路线图 MVP 运行成功后,添加: - PostgreSQL 持久化 - Redis 支持的调查作业 - NATS 流式摄取 - 真实的 Falco 事件摄取 - Fluent Bit 转发 - kind Kubernetes 工作负载模拟 - OpenTelemetry 链路追踪 - Grafana 仪表板 - Terraform 本地基础设施完善 - pgvector 证据检索 - LangGraph 工作流实现 ## 面向招聘人员的总结 SecureTheCloud Operational Intelligence Fabric 是一个受治理的 AI 运营实验室,它模拟了受监管企业如何将遥测、运行时检测、策略关联、有证据支持的 AI 调查和人工审批工作流结合到一个统一的运营智能平台中。 ## 简历要点 构建了 SecureTheCloud Operational Intelligence Fabric,这是一个受治理的 AI 运营平台,用于在 Kubernetes 和云原生环境中进行遥测关联、运行时调查、策略感知的 Agent 编排、有证据支持的工作流以及人工干预的运营审批。 # 已验证的 MVP 截图 以下截图展示了端到端的 MVP 工作流程。 ## 1. API 运行中 ![API 运行中](https://static.pigsec.cn/wp-content/uploads/repos/cas/c4/c4b572a6c253c1f0ae37f62e687d473a40bf6d07ac315cfe00c4487e7c401980.png) ## 2. 运行时事件摄取 ![运行时事件摄取](https://static.pigsec.cn/wp-content/uploads/repos/cas/57/57b765d8db1872f611f2035e407e585de07ed60a7f8bf382eff6380aa3d59da6.png) ## 3. 实时 OPA 策略评估 ![实时 OPA 策略](https://static.pigsec.cn/wp-content/uploads/repos/cas/cd/cdc864e077108844aaf55286bf536f70519b6389d39fd7a00a94673856c09e4a.png) ## 4. AI 辅助调查 ![AI 调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/18/1804a60c869bcd09060b08a27af594960410d441661f2d813b117d82523c5417.png) ## 5. 人工审批工作流 ![人工审批](https://static.pigsec.cn/wp-content/uploads/repos/cas/7e/7ed124966b869bef4176e42a6a57344a91509d4d56390de77dc04f1aa0c46885.png) ## 6. 证据重放 ![证据重放](https://static.pigsec.cn/wp-content/uploads/repos/cas/ba/bab2c57e7ec2253b3878a4a606b35a36bf3cebcea6735bca2883715f4a6e7534.png) ## 7. GitHub 仓库主页 ![GitHub 仓库主页](https://static.pigsec.cn/wp-content/uploads/repos/cas/da/da5210afc4d4b42a1b672bc41758833dcc3bdfec8ce48b3fa759013e3c1ed1bd.png)
标签:AI运维, EVTX分析, Falco, Go, OPA策略, Python, Ruby工具, 安全运营中心, 搜索引擎查询, 敏感词过滤, 无后门, 日志审计, 测试用例, 网络映射, 请求拦截, 逆向工具