Biztonsági architektúra jegyzet
Az OmegaOS™ Kernel strukturális tulajdonságai, feltételezései és hibakezelési viselkedése.
Hatókör és feltételezések
Ez az oldal az OmegaOS™ Kernel futásidejű rendszer tervezett strukturális biztonsági tulajdonságait írja le. Lefedi a döntési motort, az auditprotokoll-könyvet és az operátori telepítési modellt.
Feltételezések
- Az operátor irányítja a telepítési környezetet.
- Az operátor felelős a hálózati perimeter, a gazdagép OS megerősítése és a telepítési hozzáférés-vezérlés tekintetében.
- A futásidejű rendszer nem kezdeményez kimenő hálózati hívásokat szabályzat-kiértékelés közben.
- Az OmegaOS™ Kernel alapértelmezés szerint kizárólag tanácsadó jellegű. Observe és shadow módban döntéseket produkál, de nem hajt végre downstream műveleteket.
Amit ez az oldal nem fed le
- Alkalmazásréteg-szintű identitás-föderáció (operátori felelősség).
- Gazdagép OS vagy konténer futásidejű sérülékenységek (telepítés-specifikus).
- Hálózati rétegű szolgáltatásmegtagadás (infrastruktúra-szintű kérdés).
- Penetrációs teszt eredmények (nyilvánosan nem kerülnek közzétételre).
Strukturális tulajdonságok
Fail-closed alapértelmezés
Ha a szabályzat-motor nem elérhető vagy a kiértékelés sikertelen, a kapu enforce módban alapértelmezetten DENY-t ad vissza. A fail-open nem elérhető konfiguráció.
Append-only protokollkönyv
A futásidejű szolgáltatások csak új rekordokat hozhatnak létre. Nincs módosítás vagy törlés a protokollbejegyzéseken. A visszavonások új rekordokat hoznak létre, nem törléseket.
Több-bérlős adatizoláció
Minden lekérdezés átmegy az infrastruktúra szintű izolációs szabályzatokon. A futásidejű szolgáltatások csak az aktuális bérlő-kontextushoz tartozó rekordokhoz férhetnek hozzá.
Tanácsadó jellegű tervezés
Az OmegaOS™ Kernel strukturált döntéseket produkál, amelyek tájékoztatják az emberi operátorokat. Nem hajt végre önállóan downstream műveleteket.
Meghibásodási viselkedés
Minden meghibásodási útvonal a legszigorúbb állapothoz tér vissza. Nincs csendes engedélyezés, nincs szintetikus jóváhagyás.
| Forgatókönyv | Viselkedés |
|---|---|
| Szabályzat-motor nem elérhető | DENY (enforce módban) |
| Belső hiba a kiértékelés során | DENY (enforce módban) |
| Licenc lejárt | Automatikus degradáció OBSERVE-ra |
| Érvényes aláírás nélküli bizonyíték | Megjelölve vagy elutasítva a befogadáskor |
Bérlői izoláció modell
Az infrastruktúra szintű adatizoláció rekordszinten van kényszerítve. Még ha egy támadó injekciót ér el az alkalmazásrétegen keresztül, a bérlők közötti adathozzáférés strukturálisan meg van akadályozva.
| Hozzáférési szint | Izoláció | Használja |
|---|---|---|
| Adminisztratív | Teljes hozzáférés | Operátori eszközök, migrációk |
| Futásidejű | Bérlőre korlátozva | Alkalmazásszolgáltatások |
Kriptográfiai integritás
Bizonyíték hitelesítés
Minden bizonyítékelemet kriptográfiailag hitelesítenek a befogadáskor. Az érvényes aláírás nélkül érkező bizonyíték megjelölhető vagy elutasítható — bizonyítva az adatintegritást az alkalmazásrétegen, a szállítási titkosítástól függetlenül.
| Tulajdonság | Érték |
|---|---|
| Hitelesítés | Üzenethitelesítő kód |
| Domain szeparáció | Biztonsági kontextusonként |
| Hatókör | Bizonyítékelemenként |
| Ellenőrzés | Befogadáskor — döntés előtt |
Bizonyítéklánc
Minden döntés egy append-only kriptográfiai struktúrába láncolódik. A visszamenőleges módosítás megszakítja az integritás-ellenőrzést. A befoglalási bizonyítékok más döntések felfedése nélkül ellenőrizhetők.
Digitális aláírások
Az exportmanifesztek, licencek és build-tanúsítványok kriptográfiai digitális aláírással vannak ellátva. Az ellenőrzés teljesen offline végezhető.
Megbízható időbélyegzés
A kriptográfiai gyökereket rendszeres időközönként egy külső időbélyegzési hatósághoz horgonyozzák. Minősített TSA konfigurálása esetén az időbélyegek a ZertES és az eIDAS szerinti bizonyítéki időkövetelményeket is alátámaszthatják. A jogi hatás joghatóságtól és kontextustól függ.
Operátori határ
Hálózati izoláció
Csak a kapu fogadja a külső kapcsolatokat. A belső szolgáltatások kívülről nem elérhetők. Az adminisztratív eszközök izolált folyamatokként futnak, nem állandó szolgáltatásokként.
Futásidejű izoláció
Non-root végrehajtás, csak olvasható fájlrendszer, felesleges képességek eltávolítva. Nincs jogosultság-eszkalációs útvonal.
Kérés-vezérlések
Konfigurálható korlátok a kérés méretére, a kapcsolat időtúllépésére és a kiértékelési időtúllépésre. A paraméterek telepítésenként igazíthatók.
Formális ellenőrzés
Öt rendszer-invariánst ellenőriznek formálisan véges állapottereken végzett matematikai modell-ellenőrzéssel. Ez egy korlátozott állapottér kimerítő feltárása — nem tételbizonyítás.
- Az INDETERMINATE az primitív — az ALLOW/DENY explicit feloldást igényel
- Append-only protokollkönyv — nincs módosítás, nincs törlés
- Determinizmus — azonos bemenetek azonos kimeneteket produkálnak
- Bérlői izoláció — nincs bérlők közötti adathozzáférés
- Nincs automatikus visszafordíthatatlan művelet — emberi felügyelet szükséges
| Hatókör | Lefedett invariánsok |
|---|---|
| Döntésfeloldás | Determinizmus, háromértékű logika, bérlői izoláció |
| Auditprotokollkönyv | Append-only, integritáslánc, nincs mutáció |
| Kombinált modell | Mind az 5 invariáns együttesen |
API hitelesítés
- Hitelesítő adatok: Kriptográfiailag erős API kulcsok
- Tárolás: Biztonságosan hash-elve
- Rotáció: Leállás nélküli kulcsrotáció támogatott
- Leképezés: Az API kulcs a bérlő kontextusához kapcsolódik az adatizoláció érdekében
Licenc-ellenőrzés
- Módszer: Kriptográfiai ellenőrzés
- Kulcskezelés: Beágyazott kulcs-ellenőrzés
- Hálózat: Teljesen offline
- Visszaesés: Fokozatos degradáció lejáratkor
Infrastruktúra és joghatóság
A jelen weboldalt támogató infrastruktúra Svájcban van elhelyezve és svájci joghatóság alatt működik.
- Svájcban tárolt adatok
- Svájci jogi keretrendszer hatálya alá tartozik
- Nincs szándékos adattovábbítás Svájcon kívülre
- Nincsenek harmadik féltől származó viselkedéselemzések
Kapcsolódó dokumentáció
A Technikai fejezet a futásidejű szemantikát írja le. A Kiadások a telepítési hatókört fedik le.