裸金属云实验室架构与安全策略解析

# 裸金属云实验室架构与安全策略解析 ## 一、裸金属云实验室架构概述 ### 1.1 沙箱与平台定制 沙箱在裸金属云环境中具有重要作用，它不仅能加速销售周期，还能提供对硬件和软件的访问，实现快速高效的平台定制，这正是第三代云平台所追求的目标。 ### 1.2 HaaS 实验室联邦架构 HaaS 实验室采用分层架构，能在任意规模的系统中实现所需功能。最高层是实验室的联邦，这些实验室可以分布在不同地理位置。每个实验室代表一个建筑物或数据中心位置，内部可划分为一个或多个逻辑分区，称为“pod”，可能由部门或业务部门边界定义。 一个 pod 由一排或多排设备机架组成，机架中放置被测系统（SUT）和辅助服务主机。服务主机是运行虚拟化环境的物理服务器，其中包含最终用户可见的前端主机虚拟机。 虚拟前端主机可以为大量终端用户提供服务，同时最大限度地减少辅助支持设备的硬件需求。在大多数情况下，主机工作负载往往是交互式的，处理需求较低，因此将尽可能多的虚拟前端主机整合到最少的服务主机中是合理的。但在出于安全、性能或其他特殊要求时，也可以使用物理前端主机。 ### 1.3 详细架构层次 在更详细的层次上，有一个 pod 指挥中心，通常位于一个机架中，为内部的排提供服务。每一排又有一个排指挥中心，通常也在一个专用机架中。每个排指挥中心依次连接到一个或多个物理服务主机。 服务主机运行一个虚拟机管理程序（如 VMware ESX），定义一个虚拟化网络和一个或多个用户前端主机。终端用户访问该设施时，登录到指定的前端主机。虚拟机管理程序将虚拟化网络连接到物理网卡（NIC），这些 NIC 有四种类型： - **Server**：分配给 SUT 中运行的操作系统的应用程序 NIC。 - **BMC**：分配给管理网络，连接到 BMC 的 NIC。 - **Control network**：辅助实验室设备控制器连接到该网络，例如用于操作 GPIO 的 Galileo 板控制器。 - **Spare**：用于未来扩展，当前架构实例中未使用的端口。 控制器（如 Galileo 板或 Intel RSC2）也需要前端主机。保留这些前端主机的原始物理实例可能最简单，但虚拟化前端主机可以避免额外的硬件需求，并且设置虚拟化版本并不比配置物理主机更耗时。USB 连接可以映射到物理控制器主机实例。 ### 1.4 SUT 布局 实际的 SUT 布局由客户需求决定。通常，部署的实际布局是能完成工作的最简单布局。例如，图中展示了两种 SUT 布局： - **SUT 1**：客户需要操作基板中的某个 GPIO，通过连接到内部 GPIO 的 Galileo 微控制器板实现。Galileo 需要通过 USB 连接到前端主机，这里前端主机是虚拟化的，运行在服务主机中，Galileo 虚拟前端主机连接到服务主机中的物理 USB 端口。 - **SUT 2**：使用 RSC2 进行更复杂的设置。RSC2 也需要前端主机，在这种情况下，实验室客户要求保留物理前端主机。RSC2 可以实现 SUT 的物理电源循环，以及访问 SUT 中的测试探针、跳线和前面板。 实验室架构并非规定性的，联邦中的实验室可以是公司内部不同地理位置的对等实验室，也可以属于不同公司或提供商。实验室可以使用替代方法来部署功能，甚至可以提供部分功能，如通过单个 Web 门户和单个 IP 地址访问，采用扁平网络配置，但这种设置可能会引起一些客户的担忧，因为从安全角度来看，客户之间的隔离较薄，Web 环境容易被破坏。实验室必须在功能描述和服务级别协议（SLA）中声明任何已知的操作限制。 ## 二、实验室服务水平协议及相关策略 ### 2.1 数据管理目标 实验室的数据管理政策旨在实现以下目标： - 定义协调流程，保护实验室中托管的数据和应用程序，最大限度地减少数据泄露和泄漏的风险。 - 明确各方在实现实验室长期目标方面的角色和责任，具体项目目标包括： - 对实验室客户的关键应用程序进行性能评估，确定应用程序和硬件要求。 - 将应用程序架构映射到当前一代服务器平台，包括根据性能评估结果优化配置平台，以在最短时间内交付结果。 - 开发下一代平台的战略应用程序架构映射，包括使用特定于应用程序的基板，以实现应用程序需求与先进硅技术的成本和能源高效结合。 ### 2.2 一般考虑因素 - **架构和配置**：实验室架构和设备配置没有明确限制，但需考虑成本因素，且不能与现有的英特尔 IT 或企业数据政策冲突。实际实验室配置由双方共同商定。 - **基础设施动态性**：基础设施旨在响应实验室客户的业务需求，将随着技术发展和资源允许的速度动态构建。对于特定级别的基础设施建设，实验室客户需确定特定数据和代码投放里程碑的风险是否可接受。 - **定期会议**：建立定期的联合项目开发团队（PDT）会议，以协调正在进行的安全和技术问题并进行报告，最初每周一次，根据需要改为每两周一次。 ### 2.3 实验室访问 - **人员授权**：实验室工作人员将为授权的英特尔和实验室客户工程师提供实验室访问权限。 - **物理边界**：实验室客户设备有双重物理边界，即进入实验室房间和进入锁定机柜内的实验室客户设备。 - **访问控制**：只有访问控制列表（ACL）中的英特尔员工才能进入实验室房间，访问权限有有效期，需要定期更新。不在 ACL 中的英特尔员工或非英特尔访客只有在 ACL 中的人员陪同下才能进入实验室。 ### 2.4 实验室访问日志 - **事件调查**：在发生闯入或设备丢失等事件时，安全团队可以访问实验室周边的日志，无需人力资源法律部门批准即可审查数据以调查事件。 - **第三方访问**：第三方或英特尔员工的日志访问请求需要升级并获得人力资源法律部门的批准，该部门可能会拒绝请求，批准将根据具体情况进行。项目团队需要与人力资源法律团队合作了解周转时间。 - **支持时间**：在工作日（美国太平洋时区，周一至周五，8:00 - 17:00）提供支持，预期周转时间为 1 至 3 小时。 ### 2.5 物理访问安全和访问控制列表 - **机架锁定**：项目的机架前后将配备简单锁，钥匙由当地支持人员保管。机架放置在专门为实验室客户使用的封闭区域内，该区域内只有指定给项目的设备。 - **访问机制**：进入封闭区域通过磁卡、RFID 或生物识别机制实现。笼子锁定机制连接到一个服务节点，该节点执行 ACL 并实现日志记录功能。实验室客户管理 ACL，安全服务节点使用与其他服务节点相同的连接方式连接到广域网。实验室客户可以随时登录安全节点检索访问日志、编辑 ACL 并配置安全节点通过短信或电子邮件通知可报告事件，日志仅包含与项目相关的事件。 - **被动安全机制**：在发生物理入侵的情况下，可以使用硬盘加密等被动机制作为额外的安全层，但需考虑技术、性能或实施成本等因素。 ### 2.6 硬件维护和升级 当需要对服务器进行更改（如升级内存类型/大小、更换处理器、重启系统或更改 BIOS/FW 配置）时，实验室客户将向英特尔工程师提供明确的任务列表。经双方同意和批准后，工程师将获取机架钥匙，打开机架并执行所需更改。更改成功后，将机架锁定并将钥匙交还给实验室工作人员。执行的更改将记录在电子表格中，并通过电子邮件通知英特尔和实验室客户的关键利益相关者。 ### 2.7 存储柜 实验室工作人员提供一个存储柜空间，用于在英特尔设施内存储英特尔安全团队批准的物品。需要存储的设备类型和所需空间需要与实验室工作人员讨论。 ### 2.8 实验室数据存储 任何留下保管的文档、软件或硬件将由实验室工作人员记录，并在锁定的存储区域进行管理。 ### 2.9 媒体传输 - **设备注册**：任何