Sovereign Deployment
Souveränität und Air-Gap
Souveränität bedeutet, dass Sie die Infrastruktur, die Schlüssel und die Beweise kontrollieren. Stella Ops läuft ohne obligatorische externe Abhängigkeiten und produziert verifizierbare Beweise für jede Release-Entscheidung.
Was Souveränitäts-bereit bedeutet
Selbst gehostete Steuerungsebene
Keine erzwungene SaaS-Abhängigkeit. Stellen Sie die gesamte Suite auf Ihrer Infrastruktur bereit — vor Ort, private Cloud oder Air-Gap-Netzwerk.
Air-Gap / Offline-first Betrieb
Schwachstellen-Feeds und Verifizierungsdaten werden über signierte Bundles übertragen. Kernentscheidungen funktionieren ohne obligatorischen externen Datenverkehr.
Eigene Schlüssel mitbringen
Der Kunde kontrolliert die Vertrauensanker. Austauschbare Krypto-Profile unterstützen Ihre Signatur- und Verifizierungsinfrastruktur.
Regionale Krypto-Profile
Plugin-Architektur für Compliance-getriebene Kryptographie. FIPS-ausgerichtet, GOST R 34.10, SM2/SM3 oder eIDAS-kompatible Signaturen (Validierung hängt vom Schlüsselanbieter ab).
Deterministisches Replay
Gleiche Eingaben erzeugen identische Ausgaben. Auditoren können Entscheidungen offline Monate später mit eingefrorenen Feeds und Manifesten verifizieren.
Exportierbare Beweise
Entscheidungskapseln verpacken Beweise für Audits — nicht verstreut in Logs. Portabel, verifizierbar, unabhängig von Stella-Infrastruktur.
Auditierbarer Kern (Source-Available)
Beweisformate und Verifizierungstools sind Open Source. Auditoren können Entscheidungen unabhängig verifizieren — keine Anbieterabhängigkeit für Vertrauen.
Lokaler Intelligence-Aggregator
Betreiben Sie Ihren eigenen CVE + VEX Intelligence-Dienst. Aggregieren Sie Quellen, deduplizieren Sie, erstellen Sie Snapshots und signieren Sie — alles innerhalb Ihrer Grenze.
Krypto-Profile
Stella unterstützt austauschbare kryptografische Profile für regionale Compliance und organisatorische Anforderungen.
FIPSFederal Information Processing Standards – kryptographische Standards der US-Regierung für sichere Systeme · GOSTRussische nationale kryptographische Standards (GOST R 34.10/34.11), vorgeschrieben für Regierungssysteme · SM2Chinesischer nationaler Standard für Public-Key-Kryptographie (Teil der ShangMi-Suite), vorgeschrieben für regulierte Branchen · eIDASElectronic IDentification, Authentication and trust Services – EU-Verordnung für elektronische Signaturen und Vertrauensdienste
| Profil | Algorithmen | Anwendungsfall |
|---|---|---|
| default | ECDSA P-256, SHA-256 | Standardbereitstellungen |
| fips-140-3 | ECDSA P-384, SHA-384 | US Federal / FedRAMP |
| gost | GOSTRussische nationale kryptographische Standards (GOST R 34.10/34.11), vorgeschrieben für Regierungssysteme R 34.10-2012, Streebog | GUS-Region-Compliance |
| sm | SM2Chinesischer nationaler Standard für Public-Key-Kryptographie (Teil der ShangMi-Suite), vorgeschrieben für regulierte Branchen, SM3 | Chinesische Standards |
| eidas | RSA-PSS, ECDSA (QES) | EU-qualifizierte Signaturen |
Bereitstellungsmodi
Verbundener Modus
Standardbereitstellung mit optionalen Feed-Updates aus öffentlichen Quellen.
- → Live-Schwachstellen-Feed-Synchronisierung (
NVDNational Vulnerability Database – das US-Regierungsverzeichnis standardbasierter Schwachstellendaten,OSVOpen Source Vulnerabilities – eine verteilte Schwachstellendatenbank für Open-Source-Projekte, Herstellerhinweise) - → Opt-in-Telemetrie für Flottenanalysen (standardmäßig deaktiviert)
- → Automatische Signaturüberprüfung
Air-Gap-Modus
Vollständig isolierte Bereitstellung für regulierte oder sensible Umgebungen.
- → Signierte Feed-Bundles importiert via Sneakernet oder DMZ-Relay
- → Null externe Netzwerkabhängigkeiten
- → Kundengesteuerte Update-Kadenz
Offline-Betrieb
Signiertes Feed-Bundle importieren
$ stella feed import vuln-feed-2025-01.bundle --verify
Bundle-Signatur prüfen... OK
Signer: CN=Stella Feed Signing Key (customer-owned)
Feed-Version: 2025-01-15T00:00:00Z
Feed erfolgreich importiert
CVEs hinzugefügt: 847 | Aktualisiert: 2.341 | Gesamt: 234.892Entscheidungen offline ausführen
$ stella gate decision --env prod --offline
Lokaler Feed-Snapshot: 2025-01-15T00:00:00Z
Artefakt wird analysiert: sha256:a1b2c3d4...
Erreichbare CVEs: 8 (von 312 in Abhängigkeiten)
Policy: production-strict v2.1.0
Gate bestanden — alle erreichbaren CVEs unter dem SchwellenwertFür externes Audit exportieren
$ stella capsule export --bundle audit-pack.zip --include-feeds
Entscheidungskapsel wird gepackt...
Enthält: SBOM, Reachability-Graph, VEX-Stand, Policy, Freigaben
Enthält: Feed-Snapshot (zum Entscheidungszeitpunkt eingefroren)
Signieren mit: GOST R 34.10-2012 (souveränes Profil)
Audit-Paket exportiert nach audit-pack.zip
Bundle kann auf jeder Stella-Installation verifiziert und replayt werdenFür wen das ist
Verteidigung und Regierung
Klassifizierte Netzwerke, die nationale Kryptoprofile und keine externen Abhängigkeiten erfordern.
Kritische Infrastruktur
Energie-, Transport- und Telekommunikationsbetreiber, die jede Bereitstellungsentscheidung den Aufsichtsbehörden nachweisen müssen.
Finanzinstitute
Banken und Versicherer benötigen FIPS-ausgerichtete Krypto (Validierung hängt vom Schlüsselanbieter ab) mit überprüfbaren, deterministischen Release-Gates.
Gesundheitswesen und Pharma
Organisationen, die vertrauliche Daten verarbeiten, die einen Offline-First-Betrieb erfordern und signierte Beweisketten.