<340 ns Ανά απόφαση
<600 ps Λογική λειτ.
2.9M/sec Διεκπεραίωση
On-premise εγγενές Χωρίς cloud runtime

Ασφάλεια εκ δομής, όχι εκ διόρθωσης

Ο OmegaOS™ Kernel λειτουργεί ως fail-closed εξ ορισμού, μόνο-προσθήκης εκ δομής και συμβουλευτικός εκ σχεδιασμού. Κάθε μέτρο μετριασμού είναι δομικό — ενσωματωμένο στο σχήμα, τον χρόνο εκτέλεσης και το μοντέλο ανάπτυξης.

Μοντέλο απειλών

🔒

Μη εξουσιοδοτημένη πρόσβαση σε δεδομένα

Μετριάζεται μέσω Row-Level Security (RLS) ανά ενοίκο σε επίπεδο Postgres, καθώς και πιστοποίηση μέσω κλειδιού API με ~285 bits εντροπίας.

📓

Παραποίηση ελεγκτικού ίχνους

Μετριάζεται μέσω σχήματος μόνο-προσθήκης. Οι υπηρεσίες εκτέλεσης (hovo_app) μπορούν μόνο να εκτελέσουν INSERT — χωρίς UPDATE ή DELETE στους πίνακες μητρώου. Οι ανακλήσεις δημιουργούν νέες εγγραφές.

🔑

Παράκαμψη αδείας

Μετριάζεται μέσω offline επαλήθευσης Ed25519. Δημόσιο κλειδί ενσωματωμένο κατά τη μεταγλώττιση. Κανένας διακομιστής αδειών, καμία εξάρτηση δικτύου. Τα παραποιημένα tokens αποτυγχάνουν στον κρυπτογραφικό έλεγχο.

🔎

Διαρροή builds

Μετριάζεται μέσω αποτυπώματος build. Κάθε δυαδικό αρχείο ενσωματώνει git_sha + build_timestamp + customer_tag κατά τη μεταγλώττιση. Το αποτύπωμα εμφανίζεται σε ελέγχους υγείας και αρχεία αποφάσεων.

Fail-closed εξ ορισμού

Όταν το upstream PDP δεν είναι προσβάσιμο ή η αξιολόγηση αποτυγχάνει, η πύλη εφαρμόζει DENY εξ ορισμού σε λειτουργία enforce. Αυτό ελέγχεται μέσω OPA_FAIL_MODE, με προεπιλογή closed.

Τα συστήματα fail-open χορηγούν σιωπηρά πρόσβαση όταν αποτυγχάνουν. Τα συστήματα fail-closed αποκλείουν την πρόσβαση όταν αποτυγχάνουν. Για περιβάλλοντα ευαίσθητα στη συμμόρφωση, η λειτουργία fail-closed είναι η ασφαλής προεπιλογή.

ΣενάριοFail-ClosedFail-Open
OPA μη προσβάσιμο403 ForbiddenΣυνθετική αποδοχή (καταγεγραμμένη)
Εσωτερικό σφάλμα403 ForbiddenΣυνθετική αποδοχή (καταγεγραμμένη)
Λήξη αδείαςΑυτόματη υποβάθμιση σε OBSERVE
Συμβουλευτικός σχεδιασμός. Ο OmegaOS™ Kernel παράγει δομημένες αποφάσεις που ενημερώνουν ανθρώπινους χειριστές. Δεν εκτελεί αυτόνομα ενέργειες. Σε λειτουργίες observe και shadow, είναι αποκλειστικά συμβουλευτικός.

Row-Level Security

Κάθε ερώτημα εκτελείται μέσω πολιτικών RLS του Postgres. Ο ρόλος hovo_app μπορεί να προσπελάσει μόνο γραμμές που αντιστοιχούν στο τρέχον πλαίσιο ενοίκου, που ορίζεται στην αρχή κάθε συναλλαγής.

Ακόμη και εάν ένας επιτιθέμενος επιτύχει SQL injection μέσω της εφαρμογής, δεν μπορεί να προσπελάσει δεδομένα άλλου ενοίκου — η βάση δεδομένων επιβάλλει απομόνωση σε επίπεδο γραμμής.

ΡόλοςRLSΧρήση
hovo_adminBYPASSRLSΕργαλεία CLI, μεταναστεύσεις
hovo_appΕνεργοποιημένοhovo-api, hovo-gateway
Βασική εγγύηση: Ο ρόλος hovo_admin δεν χρησιμοποιείται ποτέ από τις υπηρεσίες εκτέλεσης. Περιορίζεται σε εργαλεία χειριστή που εκτελούνται ξεχωριστά.

Μητρώο μόνο-προσθήκης

Έξι πίνακες μητρώου δέχονται μόνο INSERT για τον ρόλο εκτέλεσης. Καμία απόφαση δεν μπορεί να τροποποιηθεί αναδρομικά.

-- Δικαιώματα για hovo_app (υπηρεσίες εκτέλεσης): GRANT INSERT ON decisions, proofs, proof_revocations, decision_events, decision_proofs, claims TO hovo_app; -- Χωρίς UPDATE ή DELETE. -- Οι ανακλήσεις αποτελούν νέες εγγραφές INSERT, όχι διαγραφές. -- Πλήρες ιστορικό πάντα διαθέσιμο για έλεγχο.

Πιστοποίηση μέσω κλειδιού API

  • Μορφή: delk_ + 48 αλφαριθμητικοί χαρακτήρες (~285 bits εντροπίας)
  • Αποθήκευση: κατακερματισμός bcrypt (κόστος 12) — απλό κείμενο εμφανίζεται μία φορά κατά τη δημιουργία
  • Εναλλαγή: Μέγιστα 2 κατακερματισμοί ανά ενοίκο για εναλλαγή κλειδιών χωρίς διακοπή
  • Αντιστοίχιση: Κλειδί API → tenant_id αποτελεί τη μοναδική πηγή αλήθειας για το πλαίσιο RLS

Επαλήθευση αδείας

  • Αλγόριθμος: Επαλήθευση υπογραφής Ed25519
  • Διαχείριση κλειδιών: Δημόσιο κλειδί ενσωματωμένο στο δυαδικό κατά τη μεταγλώττιση
  • Δίκτυο: Πλήρως εκτός σύνδεσης — χωρίς διακομιστή αδειών, χωρίς τηλεφωνική επαλήθευση
  • Εναλλακτικό: Ληγμένα/μη έγκυρα tokens υποβαθμίζουν αυτόματα την πύλη σε OBSERVE

Υδατογράφηση build

Κάθε δυαδικό αρχείο ενσωματώνει ένα ψηφιακό αποτύπωμα κατά τη μεταγλώττιση για ιχνηλασιμότητα.

# Αποτύπωμα ενσωματωμένο κατά το build: { "git_sha": "abc12345", "build_timestamp": 1739712000, "customer_tag": "acme-corp" } # Εμφανίζεται σε: # - Απάντηση /gateway/health # - Απάντηση /api/v1/health # - Δομημένα αρχεία καταγραφής κάθε απόφασης
Δέσμευση ετικέτας πελάτη: Οι άδειες μπορούν προαιρετικά να περιλαμβάνουν ένα customer_tag που πρέπει να ταιριάζει με την ενσωματωμένη ετικέτα του build. Αναντιστοιχία ετικετών προκαλεί αποτυχία αδείας — αποτρέποντας την επαναχρησιμοποίηση αδειών μεταξύ builds διαφορετικών πελατών.

Ισχυροποίηση δικτύου

Kubernetes

Το NetworkPolicy περιορίζει την κυκλοφορία: μόνο η πύλη δέχεται εξωτερικές συνδέσεις. Το API είναι εσωτερικό στο cluster. Τα εργαλεία διαχείρισης εκτελούνται ως μεμονωμένα Jobs, όχι μόνιμες αναπτύξεις.

Όρια HTTP

Μέγιστο μέγεθος σώματος: 1 MiB (διαμορφώσιμο). Χρονικό όριο αιτήματος: 30 δευτερόλεπτα. Χρονικό όριο σύνδεσης OPA: 3 δευτερόλεπτα. Χρονικό όριο ανάγνωσης OPA: 10 δευτερόλεπτα. Όλα διαμορφώσιμα μέσω μεταβλητών περιβάλλοντος.

Ασφάλεια container

Χρήστης χωρίς δικαιώματα root (65534), σύστημα αρχείων μόνο ανάγνωσης, αφαίρεση όλων των δυνατοτήτων, προφίλ seccomp RuntimeDefault. Χωρίς κλιμάκωση δικαιωμάτων.

Υποδομή & δικαιοδοσία

Η υποδομή που υποστηρίζει αυτόν τον ιστότοπο φιλοξενείται στην Ελβετία και λειτουργεί υπό ελβετική δικαιοδοσία.

  • Δεδομένα φιλοξενούμενα εντός Ελβετίας
  • Υπόκεινται στο ελβετικό νομικό πλαίσιο
  • Χωρίς σκόπιμη μεταφορά δεδομένων εκτός Ελβετίας
  • Χωρίς αναλυτικά στοιχεία συμπεριφοράς τρίτων

Εξερευνήστε τις επιλογές ανάπτυξης

Η αρχιτεκτονική ασφαλείας είναι συνεπής σε όλες τις εκδόσεις. Επιλέξτε το εύρος ανάπτυξης που ταιριάζει στις απαιτήσεις διακυβέρνησής σας.

Εξερευνήστε τις εκδόσεις