Déploiement souverain
Souveraineté et Air-Gap
Souveraineté signifie que vous contrôlez l'infrastructure, les clés et les preuves. Stella Ops fonctionne sans dépendances externes obligatoires et produit des preuves vérifiables pour chaque décision de version.
Ce que signifie prêt pour la souveraineté
Plan de contrôle auto-hébergé
Pas de dépendance SaaS forcée. Déployez la suite entière sur votre infrastructure — sur site, cloud privé ou réseau air-gap.
Opérations air-gap / mode hors ligne par défaut
Les flux de vulnérabilités et les données de vérification sont transférés via des bundles signés. Les décisions principales fonctionnent sans trafic externe obligatoire.
Apportez vos propres clés
Le client contrôle les ancres de confiance. Les profils crypto modulables supportent votre infrastructure de signature et de vérification.
Profils crypto régionaux
Architecture de plugins pour la cryptographie requise par la conformité. FIPS aligné, GOST R 34.10, SM2/SM3, ou signatures compatibles eIDAS (la validation dépend de votre fournisseur de clés).
Rejeu déterministe
Les mêmes entrées produisent des résultats identiques. Les auditeurs peuvent vérifier les décisions hors ligne des mois plus tard avec des flux et manifestes figés.
Preuves exportables
Les Capsules de décision empaquettent les preuves pour l'audit — pas dispersées dans les logs. Portables, vérifiables, indépendantes de l'infrastructure Stella.
Noyau auditable (source disponible)
Les formats de preuves et les outils de vérification sont open source. Les auditeurs peuvent vérifier les décisions indépendamment — pas de dépendance au fournisseur pour la confiance.
Agrégateur de renseignements local
Exécutez votre propre service de renseignements CVE + VEX. Agrégez les sources, dédupliquez, faites des snapshots et signez — le tout dans votre périmètre.
Profils crypto
Stella supporte des profils cryptographiques modulables pour la conformité régionale et les exigences organisationnelles.
FIPSFederal Information Processing Standards – normes cryptographiques du gouvernement américain pour les systèmes sécurisés · GOSTNormes cryptographiques nationales russes (GOST R 34.10/34.11) requises pour les systèmes gouvernementaux · SM2Norme nationale chinoise de cryptographie à clé publique (suite ShangMi) requise pour les industries réglementées · eIDASElectronic IDentification, Authentication and trust Services – règlement européen pour les signatures électroniques et les services de confiance
| Profil | Algorithmes | Cas d'utilisation |
|---|---|---|
| default | ECDSA P-256, SHA-256 | Déploiements standards |
| fips-140-3 | ECDSA P-384, SHA-384 | Fédéral US / FedRAMP |
| gost | GOSTNormes cryptographiques nationales russes (GOST R 34.10/34.11) requises pour les systèmes gouvernementaux R 34.10-2012, Streebog | Conformité région CEI |
| sm | SM2Norme nationale chinoise de cryptographie à clé publique (suite ShangMi) requise pour les industries réglementées, SM3 | Standards chinois |
| eidas | RSA-PSS, ECDSA (QES) | Signatures compatibles eIDASElectronic IDentification, Authentication and trust Services – règlement européen pour les signatures électroniques et les services de confiance |
Modes de déploiement
Mode connecté
Déploiement standard avec mises à jour optionnelles des flux depuis des sources publiques.
- → Synchronisation du flux de vulnérabilité en direct (
NVDNational Vulnerability Database – le référentiel du gouvernement américain de données de vulnérabilités,OSVOpen Source Vulnerabilities – une base de données distribuée de vulnérabilités pour les projets open source, fournisseur avis) - → Télémétrie d'activation pour l'analyse de flotte (désactivée par défaut)
- → Vérification automatique des signatures
Mode air-gap
Déploiement entièrement isolé pour les environnements réglementés ou sensibles.
- → Bundles de flux signés importés via sneakernet ou relais DMZ
- → Zéro dépendances réseau externes
- → Cadence de mise à jour contrôlée par le client
Opérations hors ligne
Importer un bundle de flux signé
$ stella feed import vuln-feed-2025-01.bundle --verify
Vérification de signature du bundle... OK
Signataire : CN=Stella Feed Signing Key (customer-owned)
Version du feed : 2025-01-15T00:00:00Z
Feed importé avec succès
CVE ajoutées : 847 | Mises à jour : 2 341 | Total : 234 892Exécuter les décisions hors ligne
$ stella gate decision --env prod --offline
Utilisation du snapshot local du feed : 2025-01-15T00:00:00Z
Analyse de l’artefact : sha256:a1b2c3d4...
CVE atteignables : 8 (sur 312 dans les dépendances)
Politique : production-strict v2.1.0
Gate validé — toutes les CVE atteignables sous le seuilExporter pour audit externe
$ stella capsule export --bundle audit-pack.zip --include-feeds
Emballage de la capsule de décision...
Inclut : SBOM, graphe d’atteignabilité, état VEX, politique, approbations
Inclut : snapshot du feed (gelé au moment de la décision)
Signature : GOST R 34.10-2012 (profil souverain)
Pack d’audit exporté vers audit-pack.zip
Le bundle peut être vérifié et rejoué sur toute installation StellaÀ qui s'adresse-t-elle
Défense et gouvernement
Réseaux classifiés nécessitant des profils de chiffrement nationaux et aucune dépendance externe.
Infrastructure critique
Opérateurs de l'énergie, des transports et des télécommunications qui doivent prouver chaque décision de déploiement aux régulateurs.
Institutions financières
Banques et assureurs ayant besoin d'une cryptographie alignée FIPS (la validation dépend de votre fournisseur de clés) avec des portes de libération vérifiables et déterministes.
Santé et pharmacie
Organisations traitant des données sensibles qui nécessitent d'abord une opération hors ligne et signées chaînes de preuves.
Prêt pour un contrôle de version souverain ?
Preuves et audit · Toutes les fonctionnalités · Hors ligne Kit