Despliegue soberano
Soberanía y Air-Gap
Soberanía significa que tú controlas la infraestructura, las claves y la evidencia. Stella Ops funciona sin dependencias externas obligatorias y produce pruebas verificables para cada decisión de release.
Qué significa estar listo para operar de forma soberana
Plano de control autoalojado
Sin dependencia obligatoria de SaaS. Despliega la suite completa en tu infraestructura — en local (on‑premises), nube privada o red air-gap.
Operaciones air-gap / modo offline por defecto
Los feeds de vulnerabilidades y los datos de verificación se mueven vía bundles firmados. Las decisiones principales funcionan sin tráfico externo obligatorio.
Trae tus propias claves
Tú controlas los anclajes de confianza. Los perfiles criptográficos intercambiables soportan tu infraestructura de firma y verificación.
Perfiles criptográficos regionales
Arquitectura de plugins para criptografía requerida por cumplimiento: FIPS alineado, GOST R 34.10, SM2/SM3 o firmas compatibles con eIDAS (la validación depende de tu proveedor de claves).
Replay determinista
Las mismas entradas producen resultados idénticos. Los auditores pueden verificar decisiones offline meses después con feeds y manifiestos congelados.
Evidencia exportable
Las Cápsulas de Decisión empaquetan evidencia para auditoría — no queda dispersa en logs. Portátiles, verificables e independientes de la infraestructura de Stella.
Núcleo auditable (fuente disponible)
Los formatos de evidencia y las herramientas de verificación son de código abierto. Los auditores pueden verificar decisiones independientemente — sin dependencia del proveedor para la confianza.
Agregador de inteligencia local
Ejecuta tu propio servicio de inteligencia CVE + VEX. Agrega fuentes, deduplica, toma snapshots y firma — todo dentro de tu perímetro.
Perfiles criptográficos
Stella admite perfiles criptográficos intercambiables para cumplimiento regional y requisitos organizacionales.
FIPSFederal Information Processing Standards – estándares criptográficos del gobierno de EE.UU. para sistemas seguros · GOSTEstándares criptográficos nacionales rusos (GOST R 34.10/34.11) requeridos para sistemas gubernamentales · SM2Estándar nacional chino de criptografía de clave pública (parte de la suite ShangMi) requerido para industrias reguladas · eIDASElectronic IDentification, Authentication and trust Services – regulación de la UE para firmas electrónicas y servicios de confianza
| Perfil | Algoritmos | Caso de uso |
|---|---|---|
| default | ECDSA P-256, SHA-256 | Despliegues estándar |
| fips-140-3 | ECDSA P-384, SHA-384 | Gobierno de EE. UU. / FedRAMP |
| gost | GOSTEstándares criptográficos nacionales rusos (GOST R 34.10/34.11) requeridos para sistemas gubernamentales R 34.10-2012, Streebog | Cumplimiento región CIS |
| sm | SM2Estándar nacional chino de criptografía de clave pública (parte de la suite ShangMi) requerido para industrias reguladas, SM3 | Estándares chinos |
| eidas | RSA-PSS, ECDSA (QES) | Firmas compatibles con eIDASElectronic IDentification, Authentication and trust Services – regulación de la UE para firmas electrónicas y servicios de confianza |
Modos de despliegue
Modo conectado
Despliegue estándar con actualizaciones opcionales de feeds desde fuentes públicas.
- → Sincronización en vivo de fuentes de vulnerabilidades (
NVDNational Vulnerability Database – el repositorio del gobierno de EE.UU. de datos de vulnerabilidades basados en estándares,OSVOpen Source Vulnerabilities – una base de datos distribuida de vulnerabilidades para proyectos de código abierto, avisos de proveedores) - → Telemetría opcional para análisis de flotas (deshabilitada por defecto)
- → Verificación automatizada de firmas
Modo air-gap
Despliegue completamente aislado para entornos regulados o sensibles.
- → Bundles de feeds firmados importados vía sneakernet o relay DMZ
- → Cero dependencias de red externas
- → Cadencia de actualización controlada por el cliente
Operaciones sin conexión
Importar bundle de feeds firmado
$ stella feed import vuln-feed-2025-01.bundle --verify
Verificando firma del bundle... OK
Firmante: CN=Stella Feed Signing Key (customer-owned)
Versión del feed: 2025-01-15T00:00:00Z
Feed importado correctamente
CVE añadidas: 847 | Actualizadas: 2.341 | Total: 234.892Ejecutar decisiones sin conexión
$ stella gate decision --env prod --offline
Usando snapshot local del feed: 2025-01-15T00:00:00Z
Analizando artefacto: sha256:a1b2c3d4...
CVE alcanzables: 8 (de 312 en dependencias)
Política: production-strict v2.1.0
Gate aprobado — todas las CVE alcanzables por debajo del umbralExportar para auditoría externa
$ stella capsule export --bundle audit-pack.zip --include-feeds
Empaquetando cápsula de decisión...
Incluye: SBOM, grafo de alcanzabilidad, estado VEX, política, aprobaciones
Incluye: Snapshot del feed (congelado en el momento de la decisión)
Firmando con: GOST R 34.10-2012 (perfil soberano)
Paquete de auditoría exportado a audit-pack.zip
El bundle puede verificarse y reproducirse en cualquier instalación de StellaPara quién es
Defensa y gobierno
Redes clasificadas que requieren perfiles criptográficos nacionales y cero dependencias externas.
Infraestructura crítica
Operadores de energía, transporte y telecomunicaciones que deben demostrar cada decisión de despliegue a los reguladores.
Instituciones financieras
Bancos y aseguradoras que necesitan criptografía alineada con FIPS (la validación depende de tu proveedor de claves) con gates de release deterministas y auditables.
Salud y farmacia
Organizaciones que manejan datos confidenciales y requieren operación sin conexión de primera clase y cadenas de evidencia firmadas.
¿Listo para el control de releases soberano?
Evidencia y auditoría · Todas las características · Kit sin conexión