nexus/wiki/concepts/Defense-in-Depth.md

---
title: "Defense in Depth"
type: concept
tags: [security, architecture, risk-mitigation]
sources: [self-healing-home-server-infrastructure-management]
last_updated: 2026-04-17
---

## Summary
Defense in Depth（纵深防御）是一种多层安全架构策略，通过在多个层面部署安全控制来保护系统，即使某一层被突破，其他层仍能提供保护。在 AI Agent 安全设置中尤为重要。

## Definition
通过在网络、主机、应用和数据多个层面部署互补的安全控制，实现全面防护的安全架构。

## Key Layers
1. **网络层**：网络分段、防火墙、入侵检测
2. **主机层**：访问控制、系统加固、监控
3. **应用层**：输入验证、安全扫描、审计日志
4. **数据层**：加密、访问控制、备份

## AI Agent Security Application
- 专用 1Password vault 限制 AI 访问范围
- 网络分段隔离敏感服务
- 每日安全审计检查特权容器、硬编码 secrets、过度宽松权限
- 分支保护：PR 必须人工审查，Agent 无法覆盖

## Connections
- [[TruffleHog]] ← implements ← [[Defense in Depth]]：TruffleHog 扫描实现应用层安全
- [[Gitea]] ← enables ← [[Defense in Depth]]：本地 Git 作为防御层
- [[Zero Trust Architecture]] ← related_to ← [[Defense in Depth]]：纵深防御是零信任的基础