Auto-sync: 2026-04-19 16:02

2026-04-19 16:02:56 +08:00
parent fc0dde291f
commit 8341ee6cc4
29 changed files with 998 additions and 4 deletions
--- a/wiki/sources/ctp-topic-21-supply-chain-security-in-micro-focus.md
+++ b/wiki/sources/ctp-topic-21-supply-chain-security-in-micro-focus.md
@@ -0,0 +1,48 @@
+---
+title: "CTP Topic 21 Supply Chain Security in Micro Focus"
+type: source
+tags:
+  - Security
+  - Supply-Chain
+  - CTP
+  - Cloud-Learning
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-21-supply-chain-security-in-micro-focus.md]]
+
+## Summary
+- 核心主题：Micro Focus 软件供应链安全的新方法
+- 问题域：云转型背景下的供应链安全挑战
+- 方法/机制：从 99% 研发安全转向全生命周期安全防护，将供应链安全作为 SDL 第五大支柱
+- 结论/价值：必须同时确保 CI（构建环境、自动化服务器）和 CD（交付系统）的完整性
+
+## Key Claims
+- Micro Focus 内部存在 17 种不同的源码管理工具（SCM），为统一安全基准带来挑战
+-SolarWinds 攻击事件是供应链安全的重要警示，黑客通过渗透构建过程注入恶意代码
+- 供应链安全应作为软件开发生命周期（SDL）的第五大支柱
+
+## Key Quotes
+> "供应链不仅包含纯粹的代码开发，还涵盖了从源码管理（SCM）、构建组件（CI）、制品库到最终交付系统（CD）的所有环节"
+
+## Key Concepts
+- [[Supply Chain Security]]：软件供应链安全，保护从开发到交付的全流程
+- [[SDL (Security Development Lifecycle)]]：软件安全开发生命周期
+- [[CI/CD Security]]：持续集成与持续交付的安全
+- [[SolarWinds Hack]]：著名的供应链攻击事件
+
+## Key Entities
+- [[Micro Focus]]：企业软件公司，正在进行云转型
+- [[Shlomi Ben-Hur]]：Micro Focus 产品安全小组，主讲人
+
+## Connections
+- [[CTP Overview]] ← context_of ← [[Supply Chain Security]]
+- [[Security Development Lifecycle]] ← includes ← [[Supply Chain Security]]
+
+## Contradictions
+- 无
+
+## Notes
+- 视频来源：NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 21_ Supply Chain Security in Micro Focus.mp4`
+- 状态：已完成 Gemini 摘要
--- a/wiki/sources/ctp-topic-49-container-lifecycle-hardening-standards.md
+++ b/wiki/sources/ctp-topic-49-container-lifecycle-hardening-standards.md
@@ -0,0 +1,48 @@
+---
+title: "CTP Topic 49 Container Lifecycle Hardening Standards"
+type: source
+tags: [Container, Security, Hardening, CTP, Micro Focus]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-49-container-lifecycle-hardening-standards.md]]
+
+## Summary
+- 核心主题：Micro Focus 容器生命周期加固标准，聚焦构建阶段的安全最佳实践
+- 问题域：容器镜像安全、运行时安全配置、供应链安全
+- 方法/机制：11 项容器镜像构建标准，涵盖基础镜像选择、敏感信息管理、文件系统加固、镜像扫描等
+- 结论/价值：为容器化应用提供系统化的安全加固指导，降低容器被攻破的风险
+
+## Key Claims
+- 使用 Micro Focus 基础镜像可避免开源默认镜像的已知漏洞
+- 采用 init 系统（如 teeny）可处理信号并防止僵尸进程耗尽资源
+- 敏感信息不应嵌入容器镜像，应使用 Kubernetes Secrets 在运行时获取
+- 只读文件系统（readOnlyRootFilesystem=true）可防止未授权文件创建
+- 每个容器应只运行一个应用程序，防止进程间相互干扰
+- 禁用容器内 Kubernetes API 访问（automountServiceAccountToken=false）可限制潜在 compromise 的影响范围
+- 应使用私有服务账户而非默认服务账户，控制权限并最小化权限提升
+
+## Key Quotes
+> "Use micro focus base image which are configured to be secure with non and trust weighted components." — Ashish, Product Security Group
+> "If one application is compromised process in one application can interfere with the process of other application in the same container." — 标准说明
+
+## Key Concepts
+- [[Container-Lifecycle-Hardening]]：容器全生命周期（构建、部署、运行）的安全加固实践
+- [[Container-Image-Scanning]]：使用扫描工具识别容器镜像中的漏洞
+- [[Read-Only-Root-Filesystem]]：将容器根文件系统设为只读的安全配置
+- [[Init-System]]：容器内的初始化进程，用于处理信号和回收僵尸进程
+- [[Kubernetes-Service-Account]]：Kubernetes 中用于 Pod 身份认证的机制
+
+## Key Entities
+- [[Micro Focus]]：企业软件公司，产品安全组制定本标准
+- [[Kubernetes]]：容器编排平台，本标准主要针对 K8s 环境
+- [[Ashish]]：Product Security Group 安全专家，本课程讲师
+
+## Connections
+- [[Container-Lifecycle-Hardening]] ← applies_to ← [[Micro Focus]]
+- [[Container-Image-Scanning]] ← depends_on ← [[Kubernetes]]
+- [[CTP Topic 21 Supply Chain Security in Micro Focus]] ← relates_to ← 本标准（供应链安全）
+
+## Contradictions
+- 本标准专注于构建阶段，部署和运行阶段的标准将在后续会议中覆盖
--- a/wiki/sources/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md
+++ b/wiki/sources/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md
@@ -0,0 +1,42 @@
+---
+title: "CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)"
+type: source
+tags: [Security, CSPM, 3LoD, CTP, Cloud-Security]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md]]
+
+## Summary
+- 核心主题：三道防线（3LoD）框架与云安全态势管理（CSPM）
+- 问题域：企业云安全组织架构与统一安全态势管理
+- 方法/机制：3LoD 框架明确角色职责，CSPM 统一监控多云账户安全配置
+- 结论/价值：通过 Cloud Guard 实现跨云账户的安全配置集中监控与合规评估
+
+## Key Claims
+- 三道防线模型经 ELT 审批通过，成为组织标准安全框架
+- CSPM 解决多云环境安全割裂问题，提供单一视图
+- Cloud Guard 在账户创建时自动接入，确保全面覆盖
+
+## Key Quotes
+> "The three lines of defense model was approved by ELT mid-year and serves as the organization's go-to model." — Coyote, Head of Enterprise Application Security
+
+> "CSPM should consolidate misconfigurations from multiple cloud accounts into a single platform, provide compliance framework views (CIS, NIST, ISO), and allow custom policies." — 核心需求
+
+## Key Concepts
+- [[Three-Lines-of-Defense]]：三道防线框架，第一道为业务单元，第二道为集团办公室，第三道为审计
+- [[Cloud-Security-Posture-Management]]：云安全态势管理，持续监控云资源配置合规性
+- [[Cloud-Guard]]：选中 CSPM 解决方案，提供态势管理、资产管理、网络配置探索、事件管理、身份管理
+
+## Key Entities
+- [[Coyote]]：Head of Enterprise Application Security，三道防线框架与 CSPM 方案主讲人
+
+## Connections
+- [[Three-Lines-of-Defense]] ← depends_on ← [[Regulatory-Compliance]]
+- [[Cloud-Security-Posture-Management]] ← implements ← [[Cloud-Guard]]
+- [[Cloud-Guard]] ← monitors ← [[Multi-Account-Cloud-Environment]]
+- [[CTP-Topic-52]] ← part_of ← [[Public-Cloud-Learning-Sessions]]
+
+## Contradictions
+- 无冲突记录
--- a/wiki/sources/ctp-topic-55-aws-firewall-manager.md
+++ b/wiki/sources/ctp-topic-55-aws-firewall-manager.md
@@ -0,0 +1,69 @@
+---
+id: ctp-topic-55-aws-firewall-manager
+title: "CTP Topic 55 AWS Firewall Manager"
+type: source
+tags:
+  - AWS
+  - Firewall-Manager
+  - Security
+  - CTP
+  - Multi-Account
+  - Security-Group
+sources:
+  - raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager.md
+last_updated: 2026-04-19
+---
+
+## Source File
+
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager.md]]
+
+## Summary
+
+- **核心主题**：AWS Firewall Manager 多账号安全策略集中管理
+- **问题域**：多 Landing Zone 环境下的跨账号防火墙策略统一配置与自动修复
+- **方法/机制**：Firewall Manager + AWS Config + Lambda 事件驱动策略执行
+- **结论/价值**：实现安全策略的中央化管理，减少安全策略推广时间，统一基线安全组
+
+## Key Claims
+
+- Firewall Manager 可跨多个 Landing Zone（RLabs、RD、SAS、CAT）集中管理安全策略
+- Firewall Manager 支持三种安全组策略类型：通用安全组、审计与强制、清理未使用安全组
+- 通过 Prefix List + RAM 实现跨账号安全组规则共享和更新
+- 使用 AWS Config + Lambda 触发事件并执行策略自动修复
+
+## Key Quotes
+
+> "The primary reasons for adopting Firewall Manager in Grand Torque Landing Zone are to address the challenges of managing security policies across multiple landing zones with varying security requirements."
+
+> "SAS Landing Zone serves external customers via public subnets, necessitated additional security rules to protect against traffic not scanned by Checkpoint."
+
+> "Prefix list facilitates sharing security group rules across accounts using RAM."
+
+## Key Concepts
+
+- [[AWS Firewall Manager]]：跨账号集中配置防火墙规则和安全策略的管理服务
+- [[AWS Config]]：AWS 配置审计与合规性服务，用于触发策略事件
+- [[Prefix List]]：预定义 CIDR 块集合，用于跨账号共享规则
+- [[RAM（Resource Access Manager）]]：AWS 资源访问管理工具，支持跨账号资源分享
+- [[Security Group]]：AWS VPC 安全组，控制入站和出站流量
+
+## Key Entities
+
+- [[Grand Torque Landing Zone]]：组织采用的多账号 Landing Zone 架构（RLabs、RD、SAS、CAT）
+- [[LAPS Landing Zone]]：早期使用 Checkpoint Firewall 的 Landing Zone
+- [[SAS Landing Zone]]：面向外部客户提供服务的 Landing Zone，需要额外安全规则
+- [[Digital Factory Landing Zone]]：部署 Atlantis 服务器用于发布 Firewall Manager 变更
+- [[QALIS]]：共享服务，扫描产品账户中的实例
+
+## Connections
+
+- [[AWS Firewall Manager]] ← managed_by ← [[AWS Config]]
+- [[AWS Firewall Manager]] ← uses ← [[RAM]]
+- [[Security Group]] ← shared_via ← [[Prefix List]]
+- [[SAS Landing Zone]] ← protected_by ← [[AWS Firewall Manager]]
+- [[LAPS Landing Zone]] ← previously_used ← [[Checkpoint Firewall]]
+
+## Contradictions
+
+- 与 [[Checkpoint Firewall]] 在 LAPS Landing Zone 中的广泛开放规则冲突：Firewall Manager 提供更细粒度的安全组控制