tyrenker/aegis_sustainment_platform
GitHub: tyrenker/aegis_sustainment_platform
围绕 DoD 合规标准构建的强化型 AWS/Kubernetes 安全平台参考实现,涵盖 IaC、STIG 硬化、GitOps、零信任身份与 AI 红队测试。
Stars: 0 | Forks: 0
# Aegis 保障平台 (ASP)
这是我为自己设计并正在构建的一个强化版 AWS/Kubernetes 平台,用于一个虚构的陆军保障
司令部 —— 属于军事行动中的后勤/装备维护部分,而非作战系统。
该项目直接仿照国防部 (DoD) 承包商的一个真实的云/Kubernetes 安全工程师招聘启事进行建模,
因此它是围绕该职位实际使用的相同技术栈构建的:AWS、Kubernetes、GitOps、
CI/CD 和 Zero Trust,所有这些都严格按照真实的 DoD 合规标准(STIG、NIST 800-171、
CMMC)实施,而不是一个通用的教程设置。它还包含一个由我亲自对其进行红队测试的自托管 AI 助手,
因为保护 AI 集成系统属于一种传统基础设施控制无法涵盖的安全准则。
**状态:进行中。** 下方的清单反映的是实际进度,而不是计划进度 —— 如果某个
阶段未勾选,说明它尚未构建。
## 这展示了什么
- **AWS 基础设施** —— VPC/子网设计、最小权限 IAM(包含经过测试而非假设的
边界),以及将特定基础设施与特定合规要求联系起来的 NIST SP 800-171 控制映射。
- **基础设施即代码** —— 整个环境由 Terraform 定义,通过
`plan`/`apply` 进行审查,而不是在控制台中手动构建。
- **DISA STIG 合规即代码** —— 根据 DISA STIG 进行强化的 RHEL 9 镜像,
通过 Packer + Ansible 构建成 AMI,确保每个新节点在启动时即已合规,
并通过前后的 OpenSCAP 扫描进行验证,而不是声称一个合规百分比。
- **Kubernetes 强化** —— 通过 CIS Kubernetes Benchmark 检查的 EKS 集群,
包含手写的 OPA/Gatekeeper 准入策略(而不是导入的策略包)以及 Falco 运行时
检测。
- **GitOps** —— ArgoCD 持续将实时集群与作为单一
事实来源的 Git 仓库进行协调,并自动检测和还原配置漂移。
- **DevSecOps CI/CD** —— GitHub Actions 流水线强制执行三个独立的安全门禁
(Terraform/IaC 扫描、容器镜像扫描、策略测试),任何代码都必须通过后才能合并。
- **Zero Trust 身份** —— SPIFFE/SPIRE 发布加密工作负载身份,以便服务
通过 mTLS 相互认证,而不是根据网络位置来信任流量。
- **AI 系统安全** —— 一个自托管的 RAG 助手(外加辅助的 AWS Bedrock 集成),
通过我植入的间接 prompt 注入攻击对其进行红队测试,并映射到 MITRE ATLAS 和
OWASP LLM Top 10,同时采取了经过测试的缓解措施。
## 这是如何构建的
由本人亲手编写,遵循本仓库中的 `aegis_sustainment_platform_capstone.md` —— 这是一份完整的教学
文档,我将其作为每一个概念以及每一步背后逻辑的参考,
而不是用于复制粘贴的来源。在 `../aegis-reference/` 处存在一个单独的由 AI 生成的参考实现,
仅供比较,且是在我已经编写并测试完给定部分的自己的版本之后
才去查阅的 —— 绝不在编写之前查阅。
## 状态
- [X] 阶段 0 —— 工具与 AWS 账户设置
- [X] 阶段 1 —— 基础:VPC、IAM、NIST 控制映射
- [ ] 阶段 2 —— STIG 强化 AMI (Packer + Ansible) —— *进行中*
- [ ] 阶段 3 —— EKS 集群、CIS 强化、Gatekeeper 策略
- [ ] 阶段 4 —— GitOps (ArgoCD)
- [ ] 阶段 5 —— CI/CD DevSecOps 门禁
- [ ] 阶段 6 —— Zero Trust 身份 (SPIRE)
- [ ] 阶段 7 —— AI 助手(自托管 RAG + Bedrock)
- [ ] 阶段 8 —— 全面的合规/监控检查
- [ ] 阶段 9 —— AI 红队 + 检测工程
- [ ] 阶段 10 —— 全栈破坏性验证
- [ ] 阶段 11 —— 架构说明文档
## 仓库布局
| 路径 | 阶段 | 放置内容 |
|---|---|---|
| `terraform/` | 1, 3 | VPC、IAM、EKS 集群 |
| `packer/`, `ansible/` | 2 | STIG 强化 AMI 构建 |
| `k8s/` | 3, 4, 6 | 工作负载清单、Gatekeeper 策略、ArgoCD 应用、SPIRE 配置 |
| `policy/` | 5 | Conftest CI 策略(在不同的执行点镜像 `k8s/gatekeeper/`) |
| `.github/workflows/` | 5 | CI/CD 流水线 |
| `ai-assistant/` | 7, 9 | RAG 助手、Bedrock 调用、红队缓解措施 |
| `docs/` | 1, 8, 9, 11 | 控制映射、合规性评分器、红队日志、说明文档 |
每个带有 `# TODO (Phase N, step X): ...` 注释的文件都是我需要亲自编写的部分 —— 那也是
真正学习发生的地方。没有 TODO 的文件(例如 Terraform provider 块、
Packer 包装器、ArgoCD Application 结构)属于参考文档中已经确认的
样板代码,可以直接按原样使用。
标签:AI安全, Chat Copilot, DevSecOps, JSONLines, 上游代理, 合规自动化, 后端开发, 子域名突变, 系统提示词, 零信任