Auto-sync: 2026-04-17 13:17

wiki/concepts/Defense-in-Depth.md

@@ -0,0 +1,30 @@
+---
+title: "Defense in Depth"
+type: concept
+tags: [security, architecture, risk-mitigation]
+sources: [self-healing-home-server-infrastructure-management]
+last_updated: 2026-04-17
+---
+
+## Summary
+Defense in Depth（纵深防御）是一种多层安全架构策略，通过在多个层面部署安全控制来保护系统，即使某一层被突破，其他层仍能提供保护。在 AI Agent 安全设置中尤为重要。
+
+## Definition
+通过在网络、主机、应用和数据多个层面部署互补的安全控制，实现全面防护的安全架构。
+
+## Key Layers
+1. **网络层**：网络分段、防火墙、入侵检测
+2. **主机层**：访问控制、系统加固、监控
+3. **应用层**：输入验证、安全扫描、审计日志
+4. **数据层**：加密、访问控制、备份
+
+## AI Agent Security Application
+- 专用 1Password vault 限制 AI 访问范围
+- 网络分段隔离敏感服务
+- 每日安全审计检查特权容器、硬编码 secrets、过度宽松权限
+- 分支保护：PR 必须人工审查，Agent 无法覆盖
+
+## Connections
+- [[TruffleHog]] ← implements ← [[Defense in Depth]]：TruffleHog 扫描实现应用层安全
+- [[Gitea]] ← enables ← [[Defense in Depth]]：本地 Git 作为防御层
+- [[Zero Trust Architecture]] ← related_to ← [[Defense in Depth]]：纵深防御是零信任的基础