<340 ns Po odluci
<600 ps Logička op.
2.9M/sec Propusnost
On-premise nativno Bez cloud runtimea

Sigurnost strukturom, ne zakrpama

OmegaOS™ Kernel ima fail-closed zadano, append-only strukturu i savjetodavni karakter dizajnom. Svaka mjera je strukturna — ugrađena u shemu, runtime i model implementacije.

Model prijetnji

🔒

Neovlašteni pristup podacima

Ublaženo Row-Level Security (RLS), nametnuto na razini zakupca u Postgresu, plus API ključ autentifikacija s ~285 bitova entropije.

📓

Manipulacija revizijskim zapisom

Ublaženo append-only shemom. Runtime servisi (hovo_app) mogu izvoditi samo INSERT — nema UPDATE ili DELETE na tablicama protokola. Opozivi stvaraju nove zapise.

🔑

Zaobilaženje licencije

Ublaženo izvanmrežnom Ed25519 provjerom. Javni ključ ugrađen u vrijeme kompilacije. Nema licencnog poslužitelja, nema mrežne ovisnosti. Manipulirani tokeni ne prolaze kriptografsku provjeru.

🔎

Curenje builda

Ublaženo build fingerprintingom. Svaki binarni oblik sadrži git_sha + build_timestamp + customer_tag vrijednost u vrijeme kompilacije. Otisak se pojavljuje u health checkovima i protokolima odluka.

Fail-closed zadano

Ako upstream PDP nije dostupan ili evaluacija ne uspije, pristupnik u enforce načinu zadano vraća DENY. To je kontrolirano OPA_FAIL_MODE čija je zadana vrijednost closed.

Fail-open sustavi tiho odobravaju pristup kada otkaže. Fail-closed sustavi blokiraju pristup kada otkaže. Za okruženja osjetljiva na usklađenost, fail-closed je sigurna zadana postavka.

ScenarijFail-ClosedFail-Open
OPA nedostupan 403 Forbidden Sintetičko dopuštenje (zabilježeno)
Interna pogreška 403 Forbidden Sintetičko dopuštenje (zabilježeno)
Licencija istekla Automatska degradacija na OBSERVE
Savjetodavni karakter dizajnom. OmegaOS™ Kernel proizvodi strukturirane odluke koje informiraju ljudske operatere. Ne izvršava samostalno downstream operacije. U observe i shadow načinima isključivo je savjetodavnog karaktera.

Row-Level Security

Svaki upit prolazi kroz Postgres RLS politike. Uloga hovo_app može pristupiti samo redcima koji odgovaraju trenutačnom kontekstu zakupca, koji se postavlja na početku svake transakcije.

Čak i ako napadač postigne SQL injection na aplikacijskom sloju, ne može pristupiti podacima drugog zakupca — baza podataka nameće izolaciju na razini redaka.

UlogaRLSKoristi
hovo_admin BYPASSRLS CLI alati, migracije
hovo_app Nametnuto hovo-api, hovo-gateway
Ključno jamstvo: hovo_admin nikada se ne koristi u runtime servisima. Ograničena je isključivo na odvojeno pokretane operaterske alate.

Append-only protokol

Šest tablica protokola INSERT-only za runtime ulogu. Nijedna odluka ne može se retroaktivno izmijeniti.

-- hovo_app ovlaštenja (runtime servisi): GRANT INSERT ON decisions, proofs, proof_revocations, decision_events, decision_proofs, claims TO hovo_app; -- Nema UPDATE ili DELETE ovlaštenja. -- Opozivi su novi INSERT zapisi, ne brisanja. -- Potpuna povijest uvijek je dostupna za reviziju.

API ključ autentifikacija

  • Format: delk_ + 48 alfanumeričkih znakova (~285 bitova entropije)
  • Pohrana: bcrypt hashiran (cost 12) — čisti tekst pojavljuje se samo jednom prilikom generiranja
  • Rotacija: Najviše 2 hasha po zakupcu za rotaciju ključeva bez prekida
  • Mapiranje: API ključ → tenant_id jedini je izvor istine za RLS kontekst

Provjera licencije

  • Algoritam: Ed25519 verifikacija potpisa
  • Upravljanje ključevima: Javni ključ ugrađen u binarni oblik u vrijeme kompilacije
  • Mreža: Potpuno izvanmrežno — nema licencnog poslužitelja, nema phone-home
  • Povratni mehanizam: Istekli/nevažeći tokeni automatski degradiraju pristupnik na OBSERVE

Build watermarking

Svaki binarni oblik sadrži forenzički otisak u vrijeme kompilacije radi sljedivosti.

# Otisak ugrađen u build: { "git_sha": "abc12345", "build_timestamp": 1739712000, "customer_tag": "acme-corp" } # Pojavljuje se u: # - /gateway/health odgovoru # - /api/v1/health odgovoru # - Strukturiranim protokolima za svaku odluku
Vezanje oznake klijenta: Licencije opcionalno mogu sadržavati customer_tag vrijednost, koja mora odgovarati oznaci ugrađenoj u build. Nepodudaranje oznake dovodi do pogreške licencije — sprječavajući ponovnu uporabu licencije između različitih buildova klijenata.

Mrežna sigurnost

Kubernetes

NetworkPolicy ograničava promet: samo pristupnik prima vanjske veze. API je isključivo unutar klastera. Administratorski alati pokreću se kao jednokratni Job, ne kao stalne implementacije.

HTTP ograničenja

Maksimalna veličina tijela: 1 MiB (konfigurirajuće). Vremensko ograničenje zahtjeva: 30 sekundi. OPA connect timeout: 3 sekunde. OPA read timeout: 10 sekundi. Sve konfigurirajuće putem varijabli okruženja.

Sigurnost kontejnera

Non-root korisnik (65534), samo za čitanje korijenski datotečni sustav, sve mogućnosti uklonjene, seccomp RuntimeDefault profil. Nema dopuštene eskalacije ovlaštenja.

Infrastruktura i jurisdikcija

Infrastruktura koja podržava ovu web-stranicu smještena je u Švicarskoj i djeluje pod švicarskom jurisdikcijom.

  • Podaci pohranjeni u Švicarskoj
  • Podliježe švicarskom pravnom okviru
  • Nema namjernog prijenosa podataka izvan Švicarske
  • Nema analitike ponašanja trećih strana

Istražite mogućnosti implementacije

Sigurnosna arhitektura konzistentna je u svim izdanjima. Odaberite opseg implementacije koji odgovara Vašim zahtjevima upravljanja.

Istraživanje izdanja