<340 ns Për vendim
<600 ps Op. logjike
2.9M/sec Kapaciteti
On-premise vendas Pa runtime cloud

Siguri nga struktura, jo nga arnime

OmegaOS™ Kernel është fail-closed si parazgjedhje, append-only nga struktura dhe vetëm këshillues nga projektimi. Çdo zbutje është strukturore — e ndërtuar në skemë, në runtime dhe në modelin e vendosjes.

Modeli i kërcënimeve

🔒

Qasje e paautorizuar në të dhëna

Zbutet nga siguria në nivel rreshti (RLS) e zbatuar për tenant në nivelin Postgres, plus autentifikim me çelës API me ~285 bit entropi.

📓

Ndërhyrje në gjurmën e auditimit

Zbutet nga skema append-only. Shërbimet runtime (hovo_app) mund vetëm të INSERT — asnjë UPDATE ose DELETE në tabelat e regjistrit. Revokimet krijojnë regjistime të reja.

🔑

Anashkalim i licencës

Zbutet nga verifikimi jashtë linje Ed25519. Çelësi publik futet në kohën e kompajlimit. Pa server licencash, pa varësi rrjeti. Token-ët e ndryshuara dështojnë në kontrollin kriptografik.

🔎

Ndërtime të rrjedhura

Zbutet nga gjurmëshkrueshmëria e ndërtimit. Çdo binar fut git_sha + build_timestamp + customer_tag në kohën e kompajlimit. Gjurmëshkruesi shfaqet në kontrollet e shëndetit dhe regjistrat e vendimeve.

Fail-closed si parazgjedhje

Kur PDP-ja sipërmarrëse është e paarritshme ose vlerësimi dështon, gateway-i parazgjedh DENY në modalitetin zbatues. Kjo kontrollohet nga OPA_FAIL_MODE, që parazgjedh closed.

Sistemet fail-open lejojnë qasje në heshtje kur prishen. Sistemet fail-closed bllokojnë qasjen kur prishen. Për mjediset e ndjeshme ndaj pajtueshmërisë, fail-closed është parazgjedhja e sigurt.

SkenariFail-ClosedFail-Open
OPA i paarritshëm 403 Forbidden Lejim sintetik (regjistrohet)
Gabim i brendshëm 403 Forbidden Lejim sintetik (regjistrohet)
Licencë e skaduar Auto-degradim në OBSERVE
Projektim vetëm këshillues. OmegaOS™ Kernel prodhon vendime të strukturuara që informojnë operatorët njerëzorë. Nuk ekzekuton në mënyrë autonome veprime pasardhëse. Në modalitetet vëzhgim dhe hije, është thjesht këshillues.

Siguria në nivel rreshti

Çdo pyetësor kalon përmes politikave RLS të Postgres. Roli hovo_app mund të qaset vetëm në rreshtat që përputhen me kontekstin aktual të tenantit, caktuar në fillim të çdo transaksioni.

Edhe nëse një sulmues arrin SQL injection përmes shtresës së aplikacionit, nuk mund të qaset në të dhënat e një tenanti tjetër — baza e të dhënave zbaton izolimin në nivel rreshti.

RoliRLSPërdoret nga
hovo_admin BYPASSRLS Mjetet CLI, migrimet
hovo_app I zbatuar hovo-api, hovo-gateway
Garanci kyçe: hovo_admin nuk përdoret kurrë nga shërbimet runtime. Është i kufizuar vetëm në mjetet e operatorit që ekzekutohen veçmas.

Regjistri append-only

Gjashtë tabela regjistri janë INSERT-only për rolin runtime. Asnjë vendim nuk mund të ndryshohet retroaktivisht.

-- Lejet për hovo_app (shërbimet runtime): GRANT INSERT ON decisions, proofs, proof_revocations, decision_events, decision_proofs, claims TO hovo_app; -- Asnjë UPDATE ose DELETE i dhënë. -- Revokimet janë regjistime të reja INSERT, jo fshirje. -- Historiku i plotë është gjithmonë i disponueshëm për auditim.

Autentifikimi me çelës API

  • Formati: delk_ + 48 karaktere alfanumerike (~285 bit entropi)
  • Ruajtja: bcrypt i hash-uar (kosto 12) — teksti i qartë tregohet vetëm njëherë gjatë gjenerimit
  • Rotacioni: Maksimum 2 hash-e për tenant për rotacion çelësash pa ndërprerje
  • Hartëzimi: Çelësi API → tenant_id është burimi i vetëm i vërtetës për kontekstin RLS

Verifikimi i licencës

  • Algoritmi: Verifikim i nënshkrimit Ed25519
  • Menaxhimi i çelësave: Çelësi publik i futur në binar në kohën e kompajlimit
  • Rrjeti: Plotësisht jashtë linje — pa server licencash, pa phone-home
  • Alternativa: Token-ët e skaduar/pavlefshëm auto-degradojnë gateway-n në OBSERVE

Gjurmëshkrueshmëria e ndërtimit

Çdo binar fut një gjurmëshkrues forenzik në kohën e kompajlimit për gjurmueshmëri.

# Gjurmëshkruesi i futur gjatë ndërtimit: { "git_sha": "abc12345", "build_timestamp": 1739712000, "customer_tag": "acme-corp" } # Shfaqet në: # - përgjigjen /gateway/health # - përgjigjen /api/v1/health # - Regjistrat e strukturuar për çdo vendim
Lidhja e etiketës së klientit: Licencat mund të përfshijnë opsionalisht një customer_tag që duhet të përputhet me etiketën e futur në ndërtim. Etiketat e papërputhura shkaktojnë dështimin e licencës — duke parandaluar ripërdorimin e licencës ndërmjet ndërtimeve të ndryshme të klientëve.

Forcimi i rrjetit

Kubernetes

NetworkPolicy kufizon trafikun: vetëm gateway-i pranon lidhje të jashtme. API-ja është vetëm e brendshme e klasterit. Mjetet admin ekzekutohen si Jobs njëhershme, jo vendosje të përhershme.

Limitet HTTP

Madhësi maksimale e trupit: 1 MiB (e konfigurueshme). Timeout i kërkesës: 30 sekonda. Timeout lidhje OPA: 3 sekonda. Timeout leximi OPA: 10 sekonda. Të gjitha të konfigurueshme përmes variablave mjedisore.

Siguria e kontejnerëve

Përdorues jo-root (65534), sistem skedarësh root vetëm-lexueshëm, të gjitha aftësitë e hoqtura, profil seccomp RuntimeDefault. Asnjë eskalim privilegjesh i lejuar.

Infrastruktura & Juridiksioni

Infrastruktura që mbështet këtë faqe interneti strehohet në Zvicër dhe operon nën juridiksionin zviceran.

  • Të dhëna të strehuara brenda Zvicrës
  • Nën kuadrin ligjor zviceran
  • Asnjë transferim i qëllimshëm i të dhënave jashtë Zvicrës
  • Asnjë analitikë e sjelljes nga palë të treta

Eksploroni opsionet e vendosjes

Arkitektura e sigurisë është konsistente ndërmjet të gjitha edicioneve. Zgjidhni fushën e vendosjes që përputhet me kërkesat tuaja të qeverisjes.

Eksploroni edicionet