Note d'architecture de sécurité

Ici, la sécurité est structurelle. Elle ne dépend ni de l’optimisme, ni d’un repli silencieux, ni d’une intervention opérateur cachée.

OmegaOS™ Kernel reste borné : évaluation déterministe, comportement d'échec restrictif, évidence en ajout seul et déploiement sous contrôle opérateur.

Posture de sécurité

Cette page énonce les contraintes que le runtime tient sous pression.

Restrictif par défaut

En mode enforce, un échec d'évaluation retourne DENY. L'autorisation silencieuse n'est pas un mode de repli.

Trace en ajout seul

Les services runtime ajoutent des enregistrements. Ils ne réécrivent pas l'historique. Les révocations créent de nouveaux enregistrements.

Décision exposée, action séparée

Le runtime produit des sorties publiques. L'action en aval reste sous contrôle de l'opérateur et du système appelant.

Discipline d'échec

Les chemins d'échec retombent vers l'état défensif que le système peut justifier.

Scénario Comportement public
Évaluation de politique indisponible DENY en mode enforce
Erreur interne d'évaluation DENY en mode enforce
Expiration de licence Rétrogradation automatique vers OBSERVE
Évidence non signée ou invalide Signalée ou rejetée à l'ingestion

Chaîne d'intégrité

Les évidences sont authentifiées, les décisions sont chaînées et la vérification reste hors ligne.

Évidence authentifiée

Chaque élément d'évidence est vérifié à l'ingestion avant de pouvoir influencer une décision.

Continuité cryptographique

Les décisions sont liées dans une structure en ajout seul. Une modification rétroactive casse la vérification.

Surface de preuve hors ligne

Manifestes d'export, licences et attestations restent vérifiables sans dépendance réseau. Un horodatage de confiance peut être ajouté lorsque la temporalité probatoire compte.

Frontière formelle

Ce qui est vérifié est énoncé étroitement. Ce qui n’est pas revendiqué reste hors du texte.

  • Déterminisme : mêmes entrées, même version de politique et même ensemble d’évidences produisent la même sortie publique.
  • Registre en ajout seul : aucun chemin de mutation des décisions enregistrées.
  • Isolation locataire : aucun accès inter-locataire dans le modèle vérifié.
  • Aucune action irréversible automatique : l’exécution reste hors du runtime décisionnel.
Ici, la vérification formelle désigne du model checking sur des espaces d'états finis. Elle est exhaustive dans le modèle exploré. Elle n'est pas présentée comme du theorem proving général.

Frontière opérateur

Le runtime n'est pas l'infrastructure. Le contrôle du déploiement reste hors du kernel.

Responsabilité de déploiement

L'opérateur contrôle le périmètre réseau, le durcissement hôte et le contrôle d'accès au déploiement.

Confinement d'exécution

L'évaluation de politique n'effectue aucun appel réseau sortant. L'outillage administratif reste séparé des services runtime.

Hors revendication publique

Cette page ne publie ni résultats de pentest, ni matrices de durcissement spécifiques à l'infrastructure, ni design d'identité applicative.

Références principales

L'Artefact technique définit la sémantique du runtime. Éditions définit le périmètre de déploiement.

Artefact technique Éditions