对于大规模、私有云生产环境的部署,CXMind 的安全要求近乎严苛。我们严格禁止核心架构组件(及其底层的 VM 接口或 Docker 守护进程)拥有通往广域网(WAN)的路由路径。我们强烈建议构建深层受限的三层 VPC 拓扑(3-Tier VPC Topology),以保护核心摄取网格免受外部探测或未经授权的操作。
1. 三层 VPC 拓扑架构 (3-Tier VPC Topology)
通过物理与逻辑的双重隔离,确保即使边缘节点受损,核心数据仍处于“离线”保护状态。
公有子网 (Public Subnet / DMZ)
仅部署负载均衡器 (ALB/NLB) 和堡垒机 (Bastion Hosts)。这是唯一允许与外部流量进行有限握手的区域。
私有应用子网 (Private App Subnet)
部署 Ingestion Engine 和 AI 处理节点。此层禁止分配公网 IP。所有流向 WAN 的必要出站请求(如第三方 ASR API)必须通过受控的 NAT 网关 或 专用端点 (PrivateLink) 进行。
核心数据子网 (Isolated Data Subnet)
部署 Redis 状态中心、MongoDB 和存储系统。该子网不配置任何通往公网的路由,仅接受来自私有应用子网的内网流量。
2. VoIP 专用安全增强
由于 VoIP 协议(SIP/RTP)的特殊性,传统的防火墙策略往往不足以应对。
- 信令与媒体分离 (Signaling & Media Separation):严格限制 SIP 端口(UDP 5060/9060)仅接受来自已知白名单(如指定的运营商 SBC 或云网关)的流量。
- 强制
SRTP加密:在摄取网格内部,所有媒体流必须采用 SRTP 进行传输。密钥在内存中即时生成并销毁,确保即使内网链路被监听,语音内容也无法被解码。 BPF丢弃策略:利用 Linux 内核的 BPF 过滤器,在网络协议栈的最底层丢弃所有非 HEP/SIP 格式的畸形数据包,防止拒绝服务(DoS)攻击。
3. 零信任与管理平面安全
JIT(Just-In-Time) 访问控制:禁止永久性的管理员 SSH 访问。所有维护操作必须通过具有多因子验证 (MFA) 的短效令牌授权。- 静默交互令牌 (Silent Interaction Tokens):利用 RBAC v2.0 中的双令牌机制,确保管理后台(Control Plane)与核心引擎(Data Plane)之间的每一次指令调用都经过强加密签名验证。
Sidecar代理隔离:在 Docker 环境中,建议使用 Sidecar 模式处理所有的出站加密,使核心容器逻辑完全与网络透明层解耦。
Need more help or have a specific architecture question?
Contact Engineering Support