Beveiligingsarchitectuur-notitie
Structurele eigenschappen, aannames en faalgedrag van OmegaOS™ Kernel.
Reikwijdte & aannames
Deze pagina beschrijft de structurele beveiligingseigenschappen van de OmegaOS™ Kernel runtime zoals ontworpen. Ze dekt de beslissingsengine, het auditlogboek en het operatorimplementatiemodel.
Aannames
- De operator beheert de implementatieomgeving.
- De operator is verantwoordelijk voor de netwerkperimeter, hardening van het host-besturingssysteem en toegangscontrole bij implementatie.
- De runtime doet geen uitgaande netwerkoproepen tijdens beleidsevaluatie.
- OmegaOS™ Kernel is standaard alleen-adviserend. In observe- en shadow-modus produceert hij beslissingen zonder downstream-acties uit te voeren.
Wat deze pagina niet dekt
- Identiteitsfederatie op applicatielaag (verantwoordelijkheid van de operator).
- Kwetsbaarheden in host-besturingssysteem of container runtime (implementatiespecifiek).
- Denial-of-service op netwerklaag (infrastructuurkwestie).
- Resultaten van penetratietests (niet publiek gepubliceerd).
Structurele eigenschappen
Standaard fail-closed
Wanneer de beleidsengine onbereikbaar is of de evaluatie faalt, valt de gateway in enforce-modus standaard terug op DENY. Fail-open is geen beschikbare configuratie.
Append-only logboek
Runtime-diensten kunnen uitsluitend nieuwe records aanmaken. Geen wijziging of verwijdering van logboekentries. Intrekkingen genereren nieuwe records, geen verwijderingen.
Multi-tenant data-isolatie
Elke query wordt gefilterd via isolatiebeleid op infrastructuurniveau. Runtime-diensten benaderen uitsluitend records van de huidige tenantcontext.
Alleen-adviserend ontwerp
OmegaOS™ Kernel produceert gestructureerde beslissingen die menselijke operators informeren. Hij voert geen downstream-acties autonoom uit.
Faalgedrag
Elk faalpad valt standaard terug op de meest restrictieve toestand. Geen stille toewijzing, geen synthetisch allow.
| Scenario | Gedrag |
|---|---|
| Beleidsengine onbereikbaar | DENY (enforce-modus) |
| Interne fout tijdens evaluatie | DENY (enforce-modus) |
| Licentie verlopen | Auto-downgrade naar OBSERVE |
| Bewijs zonder geldige handtekening | Gemarkeerd of geweigerd bij opname |
Tenant-isolatiemodel
Data-isolatie op infrastructuurniveau wordt afgedwongen op recordniveau. Zelfs als een aanvaller injectie via de applicatielaag bereikt, is cross-tenant datatoegang structureel voorkomen.
| Toegangsniveau | Isolatie | Gebruikt door |
|---|---|---|
| Administratief | Volledige toegang | Operator-tools, migraties |
| Runtime | Tenant-gebonden | Applicatiediensten |
Cryptografische integriteit
Bewijsauthenticatie
Elk bewijsitem wordt cryptografisch geauthenticeerd bij opname. Bewijs dat zonder geldige handtekening aankomt, kan worden gemarkeerd of geweigerd — waarmee gegevensintegriteit op applicatielaag wordt aangetoond, onafhankelijk van transportversleuteling.
| Eigenschap | Waarde |
|---|---|
| Authenticatie | Berichtauthenticatiecode |
| Domeinscheiding | Per beveiligingscontext |
| Reikwijdte | Per bewijsitem |
| Verificatie | Bij opname — vóór beslissing |
Bewijsketen
Elke beslissing wordt gekoppeld aan een append-only cryptografische structuur. Retroactieve wijziging verbreekt de integriteitsverificatie. Opname-bewijzen zijn verifieerbaar zonder andere beslissingen te onthullen.
Digitale handtekeningen
Exportmanifesten, licenties en build-attestaties worden ondertekend met cryptografische digitale handtekeningen. Verificatie is volledig offline.
Vertrouwde tijdstempeling
Cryptografische wortels worden periodiek verankerd aan een externe Time Stamping Authority. Wanneer geconfigureerd met een gekwalificeerde TSA, kunnen tijdstempels vereisten voor bewijslevering ondersteunen onder ZertES en eIDAS. Het rechtsgevolg is afhankelijk van jurisdictie en context.
Operatorgrens
Netwerkinsolatie
Alleen de gateway accepteert externe verbindingen. Interne diensten zijn niet extern bereikbaar. Admin-tools worden als geïsoleerde processen uitgevoerd, niet als persistente diensten.
Runtime-isolatie
Non-root uitvoering, alleen-lezen bestandssysteem, onnodige capabilities verwijderd. Geen pad voor privilege-escalatie.
Verzoekcontroles
Configureerbare limieten voor verzoekgrootte, verbindingstimeouts en evaluatietimeouts. Parameters aanpasbaar per implementatie.
Formele verificatie
Vijf systeeminvarianten worden formeel geverifieerd via wiskundige modelcontrole over eindige toestandsruimten. Dit is uitputtende verkenning van een begrensde toestandsruimte — geen stellingsbewijzing.
- INDETERMINATE is de primitieve — ALLOW/DENY vereisen expliciete resolutie
- Append-only logboek — geen wijziging, geen verwijdering
- Determinisme — dezelfde invoer produceert dezelfde uitvoer
- Tenant-isolatie — geen cross-tenant datatoegang
- Geen automatische onomkeerbare actie — menselijke tussenkomst vereist
| Reikwijdte | Gedekte invarianten |
|---|---|
| Beslissingsresolutie | Determinisme, tri-state logica, tenant-isolatie |
| Auditlogboek | Append-only, integriteitsketen, geen mutatie |
| Gecombineerd model | Alle 5 invarianten gecombineerd |
API-authenticatie
- Inloggegevens: Cryptografisch sterke API-sleutels
- Opslag: Veilig gehasht
- Rotatie: Zero-downtime sleutelrotatie ondersteund
- Toewijzing: API-sleutel wordt gekoppeld aan tenantcontext voor data-isolatie
Licentieverificatie
- Methode: Cryptografische verificatie
- Sleutelbeheer: Ingebedde sleutelverificatie
- Netwerk: Volledig offline
- Terugval: Geleidelijke degradatie bij verlopen
Infrastructuur & jurisdictie
De infrastructuur die deze website ondersteunt wordt gehost in Zwitserland en opereert onder Zwitserse jurisdictie.
- Gegevenshosting binnen Zwitserland
- Onderworpen aan het Zwitserse rechtskader
- Geen opzettelijke overdracht van gegevens buiten Zwitserland
- Geen gedragsanalyses door derden
Gerelateerde documentatie
Het Technisch Artefact beschrijft de runtime-semantiek. Edities dekt de implementatiereikwijdte.