KsaiLab
Диплом Дани

Реферат

DOCX

Выпускная квалификационная работа содержит 68 страниц, 6 таблиц, 5 рисунков, 5 приложений, 40 источников.

КЛЮЧЕВЫЕ СЛОВА: инфраструктура как код, контейнеризация, Kubernetes, автоматизация развёртывания, информационная безопасность, учебная платформа, Nuxt 4, клиентская часть, лабораторный комплекс, изолированные окружения, GitOps, capability-driven доступ, сетевые политики безопасности, кибериммунная архитектура.

Объект исследования - образовательная веб-платформа управления лабораторным комплексом подготовки специалистов по информационной безопасности.

Предмет исследования - методы и архитектурные решения, обеспечивающие защищённое автоматизированное развёртывание компонентов платформы, изоляцию учебных сред и организацию пользовательского взаимодействия через веб-интерфейс.

Цель работы - разработка защищённой автоматизированной инфраструктуры и клиентской части для веб-платформы управления лабораторным комплексом обучения информационной безопасности на основе контейнерных технологий и концепции «инфраструктура как код».

В работе применялся инженерно-экспериментальный метод исследования, включающий: сравнительный анализ архитектурных альтернатив, моделирование угроз по методологии STRIDE, проектирование целевой модели безопасности, реализацию прототипа промышленного уровня и количественную верификацию результатов на стендовом кластере.

В результате выполнения работы решены все поставленные задачи:

  • проведён анализ предметной области и сформулированы измеримые функциональные (FR-1 - FR-7) и нефункциональные (NFR-1 - NFR-6) требования к платформе; построена модель угроз по методологии STRIDE с приоритизацией критичных векторов (Information Disclosure, DoS, Elevation of Privilege);
  • выполнен сравнительный анализ контейнерных технологий, подходов Infrastructure as Code и инструментов клиентской разработки; обоснован выбор Kubernetes в качестве операционной основы, Helm как механизма декларативного управления конфигурацией, GitOps как процесса управления изменениями инфраструктуры; обосновано асинхронное разделение: FastAPI backend публикует задачи в RabbitMQ, Celery Workers являются единственным авторизованным компонентом для операций с Kubernetes API;
  • спроектирована многослойная архитектура платформы с семиконтурной namespace-сегментацией (platform, infrastructure, messaging, auth, labs, ingress-nginx, monitoring), гибридной моделью авторизации (RBAC на уровне Keycloak-ролей, capability bundles для расчёта effective_capabilities, ABAC для ресурсно-ориентированных проверок) и формальной моделью жизненного цикла лабораторной сессии в виде конечного автомата из пяти состояний (PENDING → PROVISIONING → RUNNING → STOPPING → STOPPED);
  • разработана кибериммунная структура развёртывания лабораторных окружений на основе принципа минимальных доверенных связей: default-deny NetworkPolicy, SecurityContext с запретом эскалации привилегий, seccomp-профиль, ресурсные квоты, верификация цепочки поставки образов через Cosign;
  • разработана клиентская часть платформы на базе Nuxt 4 / Vue 3 с capability-driven навигацией; аутентификация реализована как backend-owned OIDC flow через Keycloak: фронт потребляет opaque-сессионную cookie и получает effective_capabilities через единственный bootstrap-endpoint, не владея кодовым обменом напрямую;
  • проведена апробация на тестовом трёхузловом кластере (24 vCPU / 48 GiB RAM), подтвердившая выполнение всех установленных требований: медианное время запуска лабораторной среды - 18,3 с; p95 задержки API - 213 мс; доля ошибок API - 0 %; коэффициент межсессионной изоляции - 0 из 50 попыток.

Практическая значимость работы определяется возможностью применения разработанных архитектурных решений и автоматизированных процессов при построении защищённых учебно-лабораторных комплексов в образовательных организациях, осуществляющих подготовку специалистов в области информационной безопасности, в том числе на базе СПбГМТУ.

Перечень сокращений