Nota di architettura di sicurezza
Qui la sicurezza è strutturale. Non dipende da ottimismo, fallback silenziosi o interventi nascosti dell’operatore.
OmegaOS™ Kernel resta delimitato: valutazione deterministica, comportamento di guasto restrittivo, evidenza append-only e deployment sotto controllo operatore.
Postura di sicurezza
Questa pagina dichiara i vincoli che il runtime mantiene sotto pressione.
Restrittivo per impostazione predefinita
In modalità enforce, un errore di valutazione restituisce DENY. L’allow silenzioso non è una modalità di fallback.
Storico append-only
I servizi runtime aggiungono record. Non riscrivono la storia. Le revoche generano nuovi record.
Decisione esposta, esecuzione separata
Il runtime produce uscite pubbliche. L’azione downstream resta sotto il controllo dell’operatore e del sistema chiamante.
Disciplina del guasto
I percorsi di errore ricadono nello stato più difensivo che il sistema può giustificare.
| Scenario | Comportamento pubblico |
|---|---|
| Valutazione della policy non disponibile | DENY in modalità enforce |
| Errore interno di valutazione | DENY in modalità enforce |
| Scadenza licenza | Downgrade automatico a OBSERVE |
| Evidenza non firmata o invalida | Segnalata o rifiutata all’ingestione |
Catena di integrità
Le evidenze sono autenticate, le decisioni sono concatenate e la verifica resta offline.
Evidenza autenticata
Ogni elemento di evidenza viene verificato all’ingestione prima di poter influenzare una decisione.
Continuità crittografica
Le decisioni sono collegate in una struttura append-only. Una modifica retroattiva rompe la verifica.
Superficie di prova offline
Manifesti di esportazione, licenze e attestazioni restano verificabili senza dipendenze di rete. La marcatura temporale fidata può essere aggiunta quando conta la temporalità probatoria.
Confine formale
Ciò che è verificato viene dichiarato in modo stretto. Ciò che non è rivendicato resta fuori dal testo.
- Determinismo: stessi input, stessa versione di policy e stesso insieme di evidenze producono la stessa uscita pubblica.
- Registro append-only: nessun percorso di mutazione per le decisioni registrate.
- Isolamento tenant: nessun accesso cross-tenant nel modello verificato.
- Nessuna azione irreversibile automatica: l’esecuzione resta fuori dal runtime decisionale.
Confine operatore
Il runtime non è l’infrastruttura. Il controllo del deployment resta fuori dal kernel.
Responsabilità di deployment
L’operatore controlla perimetro di rete, hardening dell’host e controllo accessi del deployment.
Contenimento runtime
La valutazione della policy non effettua chiamate di rete in uscita. Gli strumenti amministrativi restano separati dai servizi runtime.
Fuori dalla rivendicazione pubblica
Questa pagina non pubblica risultati di penetration test, matrici di hardening specifiche dell’infrastruttura o design di identità applicativa.
Riferimenti primari
L’Artefatto Tecnico definisce la semantica del runtime. Le Edizioni definiscono il perimetro di deployment.