SECURITY ARCHITECTURE
Firecracker microVM 沙箱安全模型 · 资源限额 · 审计与性能
AISR 红队工具集的全部执行均在 Firecracker microVM 中进行。本文阐述其隔离机制、资源限额、审计日志与启动性能,是企业红队私有化部署的关键设计参考。
沙箱架构图
用户请求Workbench 编排Sandbox Pool(Firecracker microVM × N)模型容器(GPU 共享)
sandbox pool 与模型容器逻辑分离 · microVM 仅可访问 model gateway 出站 · 模型容器不直接面向用户 · 审计 sink 单写多读
01
隔离机制
AISR 沙箱基于 AWS Firecracker microVM,由 KVM 提供硬件虚拟化,virtio 提供最小化设备模型,每实例仅 ~ 5 MB 内存开销。强于共享内核的 Docker / runc。
- •KVM + virtio:CPU / 内存 / 网络 / 块设备 4 类硬件接口
- •seccomp 白名单:默认仅 ~ 35 类 syscall 通过
- •cgroup v2:CPU / 内存 / IO 多维限额
- •jailer:chroot + uid/gid 隔离 + capabilities drop
02
资源限额(默认 profile)
默认沙箱仅授予完成红队任务所需的最小资源,避免资源耗尽影响其他用户。可按用例 override(如长跑 nanoGCG 任务)。
- •CPU:2 vCPU(cgroup cpu.max = 200000 / 100000)
- •内存:4 GiB(cgroup memory.max = 4G,OOM 即时回收)
- •磁盘:10 GiB(rootfs ro + scratch rw)
- •网络:白名单(仅允许 model gateway / artifact sink 出站)
- •生命周期:默认 30 min idle 即销毁;最长 4h 强制回收
03
审计日志
每次任务执行的全部 syscall / 网络包 / 文件 IO 经审计 sink 持久化,满足 ISO 27001 A.8.15(日志记录)与 ISO 42001 7.5(文档化信息)取证要求。
- •syscall 流:execve / open / connect / read / write 全量
- •网络包:ingress / egress 五元组 + 长度 + 时间戳
- •文件 IO:rootfs / scratch 写入清单 + sha256
- •工件封存:执行结束自动 seal + 签名上链(可选 timestamping)
- •查询:审计中心 7 天热查 / 1 年冷归档
04
启动性能
通过 kernel snapshot + warm pool,沙箱冷启控制在 200 ms 内,热启 < 50 ms。500+ 并发沙箱可在 128 vCPU / 512G 单节点稳定运行。
- •冷启:< 200 ms(kernel snapshot + initramfs 直挂)
- •热启:< 50 ms(warm pool 复用闲置 microVM)
- •内存开销:~ 5 MB / microVM(Firecracker 进程本身)
- •并发:500+ / 单节点(实测参考值,128 vCPU / 512G)
性能数据为参考值,实际表现因硬件 / kernel / 负载而异