Tato stránka může být částečně přeložena. Některý obsah je zobrazen v angličtině.

Poznámka k bezpečnostní architektuře

Strukturální vlastnosti, předpoklady a chování při selhání OmegaOS™ Kernel.

Rozsah a předpoklady

Tato stránka popisuje strukturální bezpečnostní vlastnosti runtime OmegaOS™ Kernel podle návrhu. Zahrnuje rozhodovací engine, auditní ledger a model nasazení operátora.

Předpoklady

  • Operátor kontroluje prostředí nasazení.
  • Operátor odpovídá za síťový perimetr, posílení zabezpečení hostitelského OS a řízení přístupu k nasazení.
  • Runtime neprovádí žádná odchozí síťová volání během vyhodnocování politik.
  • OmegaOS™ Kernel je ve výchozím stavu pouze poradní. V režimech observe a shadow produkuje rozhodnutí bez provádění downstream akcí.

Co tato stránka nepokrývá

  • Federaci identit na aplikační vrstvě (odpovědnost operátora).
  • Zranitelnosti hostitelského OS nebo container runtime (specifické pro nasazení).
  • Denial of service na síťové vrstvě (problematika infrastruktury).
  • Výsledky penetračních testů (nejsou veřejně publikovány).

Strukturální vlastnosti

Výchozí fail-closed

Když je engine politik nedostupný nebo vyhodnocení selže, brána v režimu enforce přejde do výchozího stavu DENY. Fail-open není dostupná konfigurace.

Append-only ledger

Runtime služby mohou pouze vytvářet nové záznamy. Žádná úprava ani mazání záznamů ledgeru. Odvolání vytvářejí nové záznamy, nikoli mazání.

Víceklientská izolace dat

Každý dotaz je filtrován přes izolační politiky na úrovni infrastruktury. Runtime služby přistupují pouze k záznamům náležejícím aktuálnímu kontextu tenanta.

Pouze poradní návrh

OmegaOS™ Kernel produkuje strukturovaná rozhodnutí, která informují lidské operátory. Autonomně neprovádí downstream akce.

Chování při selhání

Každá cesta selhání přechází do nejvíce restriktivního stavu. Žádné tiché udělení přístupu, žádné syntetické povolení.

ScénářChování
Engine politik nedostupný DENY (režim enforce)
Interní chyba při vyhodnocení DENY (režim enforce)
Licence vypršela Automatická degradace na OBSERVE
Evidence bez platného podpisu Označena nebo odmítnuta při příjmu

Model izolace tenantů

Izolace dat na úrovni infrastruktury je vynucována na úrovni záznamu. I pokud útočník dosáhne injekce přes aplikační vrstvu, přístup k datům jiného tenanta je strukturálně znemožněn.

Úroveň přístupuIzolacePoužívá
Administrativní Plný přístup Operátorské nástroje, migrace
Runtime Omezeno na tenanta Aplikační služby
Hranice: Administrativní přístup není nikdy využíván runtime službami. Je omezen na operátorské nástroje, které běží odděleně.

Kryptografická integrita

Autentizace evidence

Každá položka evidence je kryptograficky autentizována při příjmu. Evidence přicházející bez platného podpisu může být označena nebo odmítnuta — čímž se prokazuje integrita dat na aplikační vrstvě, nezávisle na transportním šifrování.

VlastnostHodnota
AutentizaceAutentizační kód zprávy
Oddělení doménNa bezpečnostní kontext
RozsahNa položku evidence
OvěřeníPři příjmu — před rozhodnutím

Řetězec důkazů

Každé rozhodnutí je zřetězeno do append-only kryptografické struktury. Zpětná modifikace narušuje ověření integrity. Důkazy o zahrnutí jsou ověřitelné bez odhalení jiných rozhodnutí.

Digitální podpisy

Exportní manifesty, licence a atestace buildů jsou podepsány kryptografickými digitálními podpisy. Ověření je plně offline.

Důvěryhodné časové razítkování

Kryptografické kořeny jsou pravidelně ukotveny v externím orgánu pro vydávání časových razítek (TSA). Při konfiguraci s kvalifikovanou TSA mohou časová razítka podporovat požadavky na prokazování časování v souladu se ZertES a eIDAS. Právní účinek závisí na jurisdikci a kontextu.

Hranice operátora

Síťová izolace

Pouze brána přijímá externí připojení. Interní služby nejsou zvenku dostupné. Administrativní nástroje běží jako izolované procesy, nikoli trvalé služby.

Runtime izolace

Spuštění bez root oprávnění, souborový systém pouze pro čtení, nepotřebné capabilities odstraněny. Žádná cesta k eskalaci oprávnění.

Řízení požadavků

Konfigurovatelné limity pro velikost požadavků, timeouty připojení a timeouty vyhodnocení. Parametry nastavitelné pro každé nasazení.

Formální verifikace

Pět systémových invariantů je formálně ověřeno pomocí matematické kontroly modelů nad konečnými stavovými prostory. Jedná se o vyčerpávající průzkum ohraničeného stavového prostoru — nikoli dokazování vět.

  • INDETERMINATE je primitivum — ALLOW/DENY vyžadují explicitní rozlišení
  • Append-only ledger — žádná modifikace, žádné mazání
  • Determinismus — stejné vstupy produkují stejné výstupy
  • Izolace tenantů — žádný přístup k datům jiného tenanta
  • Žádná automatická nevratná akce — vyžaduje lidský dohled
RozsahPokryté invarianty
Rozlišení rozhodnutíDeterminismus, tri-stavová logika, izolace tenantů
Auditní ledgerAppend-only, řetězec integrity, žádná mutace
Kombinovaný modelVšech 5 invariantů dohromady
Poznámka k rozsahu: Kontrola modelů ověřuje invarianty nad konečným modelem. Prokazuje absenci porušení v prozkoumaném stavovém prostoru. Úplný matematický důkaz by vyžadoval formální dokazování vět — to není nárokováno.

Autentizace API

  • Přihlašovací údaje: Kryptograficky silné API klíče
  • Uložení: Bezpečně hashováno
  • Rotace: Rotace klíčů bez výpadku podporována
  • Mapování: API klíč mapuje na kontext tenanta pro izolaci dat

Ověření licence

  • Metoda: Kryptografické ověření
  • Správa klíčů: Vestavěné ověření klíčem
  • Síť: Plně offline
  • Fallback: Plynulá degradace při vypršení

Infrastruktura a jurisdikce

Infrastruktura podporující tyto webové stránky je hostována ve Švýcarsku a operuje pod švýcarskou jurisdikcí.

  • Data hostována v rámci Švýcarska
  • Podléhá švýcarskému právnímu rámci
  • Žádný úmyslný přenos dat mimo Švýcarsko
  • Žádné behaviorální analytiky třetích stran

Související dokumentace

Technický artefakt popisuje runtime sémantiku. Edice pokrývají rozsah nasazení.

Technický artefakt Edice