会员服务
安全框架 · 设计 · 事件 · Kubernetes · 关联 ·
4 月 28 日
Design and Implementation of an Open-Source Security Framework for Cloud Infrastructure
翻译:基于云基础设施的开源安全框架设计与实现
Wanru Shao
Wanru Shao

Misconfiguration, excessive privilege, and fragmented controls remain major causes of cloud-infrastructure incidents. This paper proposes an open-source framework that contributes a cross-platform identity-resource graph for Kubernetes and OpenStack, a policy-to-evidence data model linking OPA/Gatekeeper and Checkov results to live assets, an identity-aware correlation algorithm for reducing noisy runtime alerts, and a guarded remediation workflow that converts validated policy violations into Kubernetes patches or Terraform plans. The evaluation is made reproducible by specifying workload generation, injected misconfiguration classes, run repetitions, metric definitions, and statistical reporting. In a 50-200 node private-cloud testbed, the framework reduced assessment time from 120.4 +/- 6.8 min to 18.2 +/- 1.7 min, lowered the false-positive rate from 12.1% to 4.7%, and increased checked component coverage from 48% to 92%. The reported 62% reduction in observable events corresponding to injected violations and approximately 40% cost reduction are scoped to the defined 30-day operational test and one-year 200-node cost model, respectively, and are not claimed as hyperscale results.


翻译:配置错误、过度授权和碎片化控制仍是云基础设施事件的主要成因。本文提出一个开源框架,该框架贡献了跨平台的身份资源关系图(支持Kubernetes和OpenStack)、将OPA/Gatekeeper和Checkov结果关联至实时资产的策略证据数据模型、用于降低运行时告警噪声的身份感知关联算法,以及将已验证策略违规转化为Kubernetes补丁或Terraform计划的安全修复工作流。通过指定工作负载生成、注入配置错误类别、重复运行次数、指标定义和统计报告方式,确保了评估的可复现性。在50-200节点的私有云测试环境中,该框架将评估时间从120.4±6.8分钟缩短至18.2±1.7分钟,误报率从12.1%降至4.7%,受检组件覆盖率从48%提升至92%。针对注入违规的可观测事件减少62%及成本降低约40%的结论,分别限定于30天运维测试和200节点一年期成本模型,未宣称适用于超大规模场景。
0
下载
关闭预览

相关内容

《利用云计算推进美国国家安全:强化情报、网络韧性与国土防御战略》
《利用云计算推进美国国家安全:强化情报、网络韧性与国土防御战略》
专知会员服务
13+阅读 · 5月20日
《军事领域人工智能网络安全的数字主权控制框架》
《军事领域人工智能网络安全的数字主权控制框架》
专知会员服务
21+阅读 · 2025年9月20日
国家标准《信息技术云计算参考架构》
国家标准《信息技术云计算参考架构》
专知会员服务
37+阅读 · 2024年5月24日
【2023新书】构建数据和机器学习平台:在云端实现分析和人工智能驱动的创新,564页pdf
【2023新书】构建数据和机器学习平台:在云端实现分析和人工智能驱动的创新,564页pdf
专知会员服务
78+阅读 · 2023年11月1日
63页pdf!《数据安全治理与实践白皮书》,腾讯安全携手中国信通院云大所发布
63页pdf!《数据安全治理与实践白皮书》,腾讯安全携手中国信通院云大所发布
专知会员服务
48+阅读 · 2023年7月4日
重磅!国家标准《信息技术云计算参考架构》征求意见稿发布,87页pdf详细规定云计算架构
重磅!国家标准《信息技术云计算参考架构》征求意见稿发布,87页pdf详细规定云计算架构
专知会员服务
47+阅读 · 2023年6月14日
【Manning新书】云计算安全指南:以AWS为例,311页pdf
【Manning新书】云计算安全指南:以AWS为例,311页pdf
专知会员服务
40+阅读 · 2022年9月11日
云计算安全研究
专知会员服务
36+阅读 · 2021年10月17日
《人工智能安全框架(2020年)》白皮书,68页pdf
《人工智能安全框架(2020年)》白皮书,68页pdf
专知会员服务
167+阅读 · 2021年1月9日
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
专知会员服务
39+阅读 · 2019年11月7日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
专知
11+阅读 · 2022年2月19日
国防科技大学发布最新「3D点云深度学习」综述论文,带你全面了解最新点云学习方法
国防科技大学发布最新「3D点云深度学习」综述论文,带你全面了解最新点云学习方法
专知
21+阅读 · 2019年12月31日
【研究报告】《边缘计算参考架构3.0》、《边云协同白皮书》发布!(附下载)
【研究报告】《边缘计算参考架构3.0》、《边云协同白皮书》发布!(附下载)
产业智能官
26+阅读 · 2019年10月12日
这个项目火了!各种深度学习架构,模型和技巧的集合
这个项目火了!各种深度学习架构,模型和技巧的集合
大数据技术
14+阅读 · 2019年6月13日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
【中台】什么是中台?企业为什么要建中台?从数据中台到AI中台。
【中台】什么是中台?企业为什么要建中台?从数据中台到AI中台。
产业智能官
12+阅读 · 2019年1月29日
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
专知
21+阅读 · 2018年12月22日
【干货】通过OpenFace来理解人脸识别
【干货】通过OpenFace来理解人脸识别
专知
56+阅读 · 2018年1月23日
平安云监控 || 当open-falcon遇上kubernetes
平安云监控 || 当open-falcon遇上kubernetes
运维帮
10+阅读 · 2017年7月4日
云计算环境下属性基密码及其应用研究
国家自然科学基金
0+阅读 · 2015年12月31日
下一代异构移动网络中分布式云存储的设计与研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向云计算数据隐私保护的访问控制策略模型与技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
可信多云协作关键安全问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向云数据中心应用感知的参与式资源调度技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
移动云服务中的隐私保护与安全保障机制研究
国家自然科学基金
1+阅读 · 2014年12月31日
面向隐私保护的云数据访问模型与方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
云架构接入网中面向多业务的计算与无线资源分配研究
国家自然科学基金
2+阅读 · 2014年12月31日
CloudCons: A Comprehensive End-to-End Benchmark for Cloud Resource Consolidation
Arxiv
0+阅读 · 6月11日
Authorized and Verifiable Searchable Encryption Based on Public Key Equality Test for Cloud Storage
Arxiv
0+阅读 · 6月5日
Architecting Distributed Quantum Computers: Design Insights from Resource Estimation
Arxiv
0+阅读 · 4月23日
NimbusGuard: A Novel Framework for Proactive Kubernetes Autoscaling Using Deep Q-Networks
Arxiv
0+阅读 · 4月13日
Modular Energy Steering for Safe Text-to-Image Generation with Foundation Models
Arxiv
0+阅读 · 4月2日
Evaluating AI Companies' Frontier Safety Frameworks
Arxiv
0+阅读 · 3月26日
Toward a Multi-Layer ML-Based Security Framework for Industrial IoT
Arxiv
0+阅读 · 3月26日
CloudFormer: An Attention-based Performance Prediction for Public Clouds with Unknown Workload
Arxiv
0+阅读 · 3月25日
Evaluating AI Companies' Frontier Safety Frameworks: Methodology and Results
Arxiv
0+阅读 · 3月22日
PlanTwin: Privacy-Preserving Planning Abstractions for Cloud-Assisted LLM Agents
Arxiv
0+阅读 · 3月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
安全框架
设计
事件
Kubernetes
关联
最新内容
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
1+阅读 · 今天15:03
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
0+阅读 · 今天14:31
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
0+阅读 · 今天14:29
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
12+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
4+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
7+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
6+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
8+阅读 · 6月18日
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
11+阅读 · 6月18日
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
11+阅读 · 6月18日
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
7+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
12+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
8+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
21+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
10+阅读 · 6月17日
相关VIP内容
《利用云计算推进美国国家安全:强化情报、网络韧性与国土防御战略》
《利用云计算推进美国国家安全:强化情报、网络韧性与国土防御战略》
专知会员服务
13+阅读 · 5月20日
《军事领域人工智能网络安全的数字主权控制框架》
《军事领域人工智能网络安全的数字主权控制框架》
专知会员服务
21+阅读 · 2025年9月20日
国家标准《信息技术云计算参考架构》
国家标准《信息技术云计算参考架构》
专知会员服务
37+阅读 · 2024年5月24日
【2023新书】构建数据和机器学习平台:在云端实现分析和人工智能驱动的创新,564页pdf
【2023新书】构建数据和机器学习平台:在云端实现分析和人工智能驱动的创新,564页pdf
专知会员服务
78+阅读 · 2023年11月1日
63页pdf!《数据安全治理与实践白皮书》,腾讯安全携手中国信通院云大所发布
63页pdf!《数据安全治理与实践白皮书》,腾讯安全携手中国信通院云大所发布
专知会员服务
48+阅读 · 2023年7月4日
重磅!国家标准《信息技术云计算参考架构》征求意见稿发布,87页pdf详细规定云计算架构
重磅!国家标准《信息技术云计算参考架构》征求意见稿发布,87页pdf详细规定云计算架构
专知会员服务
47+阅读 · 2023年6月14日
【Manning新书】云计算安全指南:以AWS为例,311页pdf
【Manning新书】云计算安全指南:以AWS为例,311页pdf
专知会员服务
40+阅读 · 2022年9月11日
云计算安全研究
专知会员服务
36+阅读 · 2021年10月17日
《人工智能安全框架(2020年)》白皮书,68页pdf
《人工智能安全框架(2020年)》白皮书,68页pdf
专知会员服务
167+阅读 · 2021年1月9日
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
专知会员服务
39+阅读 · 2019年11月7日
热门VIP内容
相关资讯
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
重磅!国家标准《信息技术人工智能知识图谱技术框架》征求意见稿发布,35页pdf详细规定知识图谱技术框架
专知
11+阅读 · 2022年2月19日
国防科技大学发布最新「3D点云深度学习」综述论文,带你全面了解最新点云学习方法
国防科技大学发布最新「3D点云深度学习」综述论文,带你全面了解最新点云学习方法
专知
21+阅读 · 2019年12月31日
【研究报告】《边缘计算参考架构3.0》、《边云协同白皮书》发布!(附下载)
【研究报告】《边缘计算参考架构3.0》、《边云协同白皮书》发布!(附下载)
产业智能官
26+阅读 · 2019年10月12日
这个项目火了!各种深度学习架构,模型和技巧的集合
这个项目火了!各种深度学习架构,模型和技巧的集合
大数据技术
14+阅读 · 2019年6月13日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
【中台】什么是中台?企业为什么要建中台?从数据中台到AI中台。
【中台】什么是中台?企业为什么要建中台?从数据中台到AI中台。
产业智能官
12+阅读 · 2019年1月29日
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
【探索框架本源】开源中文书《TensorFlow内核剖析》,335页pdf
专知
21+阅读 · 2018年12月22日
【干货】通过OpenFace来理解人脸识别
【干货】通过OpenFace来理解人脸识别
专知
56+阅读 · 2018年1月23日
平安云监控 || 当open-falcon遇上kubernetes
平安云监控 || 当open-falcon遇上kubernetes
运维帮
10+阅读 · 2017年7月4日
相关论文
CloudCons: A Comprehensive End-to-End Benchmark for Cloud Resource Consolidation
Arxiv
0+阅读 · 6月11日
Authorized and Verifiable Searchable Encryption Based on Public Key Equality Test for Cloud Storage
Arxiv
0+阅读 · 6月5日
Architecting Distributed Quantum Computers: Design Insights from Resource Estimation
Arxiv
0+阅读 · 4月23日
NimbusGuard: A Novel Framework for Proactive Kubernetes Autoscaling Using Deep Q-Networks
Arxiv
0+阅读 · 4月13日
Modular Energy Steering for Safe Text-to-Image Generation with Foundation Models
Arxiv
0+阅读 · 4月2日
Evaluating AI Companies' Frontier Safety Frameworks
Arxiv
0+阅读 · 3月26日
Toward a Multi-Layer ML-Based Security Framework for Industrial IoT
Arxiv
0+阅读 · 3月26日
CloudFormer: An Attention-based Performance Prediction for Public Clouds with Unknown Workload
Arxiv
0+阅读 · 3月25日
Evaluating AI Companies' Frontier Safety Frameworks: Methodology and Results
Arxiv
0+阅读 · 3月22日
PlanTwin: Privacy-Preserving Planning Abstractions for Cloud-Assisted LLM Agents
Arxiv
0+阅读 · 3月20日
相关基金
云计算环境下属性基密码及其应用研究
国家自然科学基金
0+阅读 · 2015年12月31日
下一代异构移动网络中分布式云存储的设计与研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向云计算数据隐私保护的访问控制策略模型与技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
可信多云协作关键安全问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向云数据中心应用感知的参与式资源调度技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
移动云服务中的隐私保护与安全保障机制研究
国家自然科学基金
1+阅读 · 2014年12月31日
面向隐私保护的云数据访问模型与方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
云架构接入网中面向多业务的计算与无线资源分配研究
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top