Integração & Implementação
O OmegaOS™ é implementado como camada sobre a sua infraestrutura existente.
Sem migração necessária. Sem alterações de código aplicacional no caso comum. Registo de evidência desde o primeiro dia.
Camada, Não Substituição
O OmegaOS™ não substitui o seu fornecedor de identidade, o seu API gateway ou o seu ponto de decisão de política. Envolve-os. Cria uma camada unificada de evidência onde cada autorização é avaliada, registada e verificável.
O seu PDP existente continua a operar. O OmegaOS™ regista o que decidiu, adiciona a avaliação de três estados e produz pacotes de evidência exportáveis.
- Classificação
- Runtime decisional probatório soberano. Camada para infraestrutura de autorização.
- Função
- Regista decisões de autorização com linhagem de prova completa. Exporta pacotes de evidência com hashes de integridade SHA-256 e atestação Ed25519 opcional (quando chaves de assinatura são fornecidas).
- Relação
- Envolve o seu PDP existente (OPA, Cedar, personalizado). Adiciona registo de evidência e deteção de conflitos de três estados.
- Implementação
- Camada. Sem substituição de sistemas existentes. Sem alterações de código aplicacional; configuração de gateway e routing pode ser necessária.
Arquitetura de Camada
O OmegaOS™ é implementado sobre o seu stack existente. Não substitui — envolve.
Sem migração necessária. O OmegaOS™ primeiro observa os seus fluxos de autorização existentes. Regista o que o seu sistema atual decide. Quando estiver pronto, introduz a avaliação de três estados ao lado — não em vez — do seu PDP existente. Configuração de gateway e routing pode ser necessária dependendo do seu padrão de implementação.
Modo Shadow
Compare as decisões do OmegaOS™ com o seu PDP existente em tempo real. Identifique discrepâncias antes da aplicação.
Deteção de Discrepâncias
No modo shadow, o gateway avalia cada pedido através do seu PDP upstream e do motor de resolução OmegaOS™. Devolve o veredito do seu PDP ao chamador — sem perturbação — mas regista ambos os resultados e sinaliza qualquer discrepância.
As discrepâncias são contabilizadas em métricas Prometheus (upstream_del_mismatches) e incluídas na resposta de decisão. Isto dá-lhe uma medida precisa da divergência antes de mudar para o modo enforce.
| Métrica | Significado |
|---|---|
| Correspondência | PDP e OmegaOS™ concordam no resultado |
| Discrepância | PDP e OmegaOS™ discordam — sinalizado para revisão |
| Conflito | OmegaOS™ deteta evidência contraditória (Indeterminado) |
Fail-Closed por Defeito
Quando o sistema não consegue avaliar, nega. Sem passagem silenciosa.
OPA Inacessível
Se o PDP upstream não está acessível em modo enforce, o gateway devolve 403 Forbidden. As decisões não são adivinhadas. A falha é registada com contexto completo.
Modo Fail Configurável
O modo fail é controlado por OPA_FAIL_MODE. Padrão: closed. Em modo closed, qualquer falha de avaliação bloqueia o pedido. Em modo open (não recomendado para produção), as falhas são registadas mas o acesso é permitido.
Desenho Apenas Consultivo
O OmegaOS™ produz decisões estruturadas que informam operadores humanos. Não executa autonomamente ações a jusante. Nos modos observe e shadow, é puramente consultivo. No modo enforce, aplica vereditos de acesso (200/403/409) mas delega a lógica de negócio ao sistema chamador.
Padrões de Integração
Três padrões de implementação. Sem alterações de código aplicacional.
| Padrão | Descrição |
|---|---|
| Sidecar | Implemente o gateway como contentor sidecar. Encaminhe chamadas de autorização para localhost:3200. Nativo Kubernetes. |
| Reverse Proxy | Coloque o gateway à frente da sua API. Funciona com nginx auth_request, Envoy ext_authz ou qualquer proxy com capacidade de subpedido. |
| Pipeline Paralelo | Execute em modo shadow ao lado do seu PDP existente. Compare decisões em tempo real. Migre para enforce quando a confiança estiver estabelecida. |
Configuração
Toda a configuração de runtime via variáveis de ambiente. A mudança de modo é uma alteração de variável única, desenhada para implementação sem interrupção.
Rollback é uma variável. Defina GATEWAY_MODE=observe para voltar ao modo apenas de registo a qualquer momento. Sem reinicialização necessária no caso comum. Dados registados são preservados.
OmegaOS™ — Camada de Soberania
O OmegaOS™ estende o runtime para uma plataforma de governança de soberania — uma camada operacional que envolve toda a sua infraestrutura num envelope de decisão unificado.
O runtime e o Decision Evidence Log estão operacionais. A camada de governança multi-motor — incluindo limites de confiança inter-motor e regras de propagação de decisão — está em fase de implementação.
O OmegaOS™ não é um sistema operativo. É uma camada operacional. Não substitui a sua infraestrutura — governa como as decisões de autorização fluem através dela.
OmegaOS™ = Camada de Governança de Execução (runtime de evidência)
OmegaOS™ = Camada de Soberania (envelope de governança sobre OS / K8s / cloud)
Evidência por Desenho
O OmegaOS™ não pede que confie no sistema. Produz a evidência para que possa verificar. Cada decisão, cada prova, cada exportação — registada, rastreável, reconstruível.