-
Notifications
You must be signed in to change notification settings - Fork 0
Zero Trust Security
EnerOS Bot edited this page Jul 5, 2026
·
1 revision
中文 | English
维护版本:v0.51.2 | 最后更新:2026-07-06
EnerOS v0.39.0 引入零信任架构,从"边界防御"转向"永不信任,持续验证"。本页概述 trust / ids / audit / compliance 四大安全子系统;完整配置请参阅主仓库 docs/deployment.md §3.4 + ADR-0007 + docs/compliance/。
┌──────────────────────────────────────────────────┐
│ EnerOS 实例 │
│ │
│ ┌─────────────┐ ┌─────────────┐ │
│ │ eneros-trust│ │ eneros-ids │ │
│ │ CA / mTLS │ │ 基线 / IOC │ │
│ │ 证书轮转 │ │ 行为分析 │ │
│ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │
│ ┌──────┴────────────────┴──────┐ │
│ │ eneros-audit │ │
│ │ HMAC 链 + WORM 存储 │ │
│ └──────────────┬───────────────┘ │
│ │ │
│ ┌──────────────┴───────────────┐ │
│ │ eneros-compliance │ │
│ │ NERC CIP / IEC 62443 / │ │
│ │ GDPR / PIPL / CCPA │ │
│ └──────────────────────────────┘ │
└──────────────────────────────────────────────────┘
| 能力 | 说明 |
|---|---|
| 内部 CA | 自签名根证书 + 中间 CA,签发所有服务证书 |
| mTLS 双向认证 | 服务间通信强制 mTLS,客户端需提供由内部 CA 签发的有效证书 |
| 证书自动轮转 | 到期前 rotation_days_before_expiry(默认 30 天)自动轮转 |
| 证书撤销 | CRL + OCSP 在线撤销检查 |
[zero_trust]
ca_cert_path = "/etc/eneros/tls/ca.crt"
ca_key_path = "/etc/eneros/tls/ca.key"
cert_dir = "/var/lib/eneros/certs"
rotation_days_before_expiry = 30
mtls_required = trueEventBus broker mTLS(需启用 mtls feature):
eneros-eventbus-broker --tls-cert /etc/eneros/tls/broker.crt \
--tls-key /etc/eneros/tls/broker.key \
--tls-ca /etc/eneros/tls/ca.crt| 能力 | 说明 |
|---|---|
| API 行为基线 | 学习每个 API 端点的正常调用模式(频率 / 参数 / 来源) |
| IOC 威胁情报 | 从 JSON 文件加载 IOC(IP / 域名 / 哈希),匹配实时流量 |
| 登录锁定 | 连续 lockout_threshold(默认 5)次失败后锁定 lockout_duration_secs(默认 900s) |
| 异常告警 | 检测异常后上送事件总线,触发 AIOps 关联分析 |
[threat_detection]
enable_baseline = true
enable_ids = true
lockout_threshold = 5
lockout_duration_secs = 900
intel_file_path = "/etc/eneros/security/ioc.json"| 能力 | 说明 |
|---|---|
| WORM 存储 | Linux 上 chattr +a 设置只追加属性,防篡改;非 Linux 仅日志警告 |
| HMAC-SHA256 链 | 每条记录的 hash 包含前一条 hash,篡改历史导致后续校验失败 |
| 自动轮转 | 单文件超过 max_size_mb(默认 512)自动轮转 |
| 保留策略 | 默认保留 retention_days = 365 天 |
[audit]
storage_path = "/var/lib/eneros/audit"
max_size_mb = 512
retention_days = 365
hmac_secret = "<32-byte-hex-secret>"| 标准 | 范围 | 文档 |
|---|---|---|
| NERC CIP | 北美电力系统关键基础设施保护 | docs/compliance/nerc-cip.md |
| IEC 62443-4-1 | 工业自动化系统安全 SDLC | docs/compliance/iec-62443-4-1-sdlc.md |
| IEC 62443-4-2 | 安全等级 SL 矩阵 | docs/compliance/iec-62443-4-2-sl-matrix.md |
| GDPR | 欧盟通用数据保护条例 | v0.47.0 数据主体权利 |
| PIPL | 中国个人信息保护法 | v0.47.0 |
| CCPA | 加州消费者隐私法 | v0.47.0 |
| 层 | 工具 | 频率 | 触发 |
|---|---|---|---|
| 静态分析 | SAST(CodeQL / Semgrep) | 每次 PR | 严重漏洞阻塞合并 |
| 依赖审计 | cargo audit |
每次 PR + 每日 cron | RUSTSEC 漏洞 |
| 许可证检查 | cargo deny |
每次 PR | GPL/AGPL 拒绝 |
- IOC 威胁情报仅 JSON 文件加载,未集成威胁情报平台(如 MISP)
- 行为基线仅 API 层,未覆盖事件总线流量
- WORM 仅 Linux
chattr +a,未支持对象存储 WORM(如 S3 Object Lock) - 合规报告生成需手动触发,未支持定时报告
- ADR-0007 零信任
- 多租户 — 多租户 + 零信任组合
- 安全策略 — 漏洞报告流程
-
配置参考 —
[zero_trust]/[threat_detection]/[audit]段 - 主仓库 docs/deployment.md §3.4 — 零信任部署配置
- 主仓库 docs/compliance/ — 合规文档目录
EnerOS Wiki | v0.51.2