Заключение

В результате выполнения выпускной квалификационной работы решены все поставленные задачи и достигнута цель: разработана защищённая автоматизированная инфраструктура и клиентская часть веб-платформы управления лабораторным комплексом обучения информационной безопасности на основе контейнерных технологий и концепции «инфраструктура как код».

В части первой задачи проведён сравнительный анализ контейнерных технологий и IaC-подходов: обоснован выбор Kubernetes как оркестратора, Helm как инструмента управления конфигурацией, GitOps как процессной модели изменений. Выбор подтверждён сравнительными таблицами по формализованным критериям.

В части второй задачи проанализированы ресурсные требования к платформе: определены шесть нефункциональных требований в измеримой форме, включая не более 20 секунд на запуск среды без прогретого кэша образов, не менее 30 параллельных сессий без деградации, нулевую межсессионную связность.

В части третьей задачи спроектирована клиентская часть на базе Nuxt 4 / Vue 3 с capability-driven навигацией и гибридная модель авторизации: RBAC (три системные роли Keycloak) выполняет грубозернистую классификацию субъекта; capability bundles агрегируют права в effective_capabilities, возвращаемые фронту через GET /api/v1/auth/me; ABAC на стороне backend реализует ресурсно-ориентированные проверки (teacher = creator/co-author, student = active group member). Аутентификация реализована как backend-owned OIDC flow: браузер перенаправляется на GET /api/v1/auth/login, backend выполняет code exchange и возвращает opaque-сессионную cookie; фронт не владеет кодовым обменом и не парсит токены.

В части четвёртой задачи разработана кибериммунная структура безопасного развёртывания: сегментация пространств имён с запрещающей по умолчанию сетевой политикой, SecurityContext с запретом повышения привилегий и seccomp-профилями, подпись образов через Cosign, централизованный аудит через Loki.

В части пятой задачи автоматизирован полный жизненный цикл лабораторной среды (от запуска по запросу до автоматической очистки по TTL) с формализацией в виде конечного автомата из пяти состояний (PENDING → PROVISIONING → RUNNING → STOPPING → STOPPED). Автоматическая очистка истёкших сессий реализована через планировщик Celery Beat, который каждые 5 минут публикует задачи удаления Pod'ов, превысивших TTL, в очередь RabbitMQ.

Практическая апробация на тестовом трёхузловом кластере подтвердила выполнение всех шести нефункциональных требований. Среднее время запуска среды составило 18,3 с при 30 параллельных сессиях. Медианная задержка API составила 47 мс, p95 достигла 213 мс, доля ошибок равна 0%. Коэффициент межсессионной изоляции составил 0 успешных соединений из 50 попыток.

Разработанное решение обеспечивает воспроизводимое, безопасное и масштабируемое развёртывание лабораторных сред для подготовки специалистов по информационной безопасности и может служить основой для создания полноценного учебного киберполигона в СПбГМТУ.