Суверенное развертывание
Суверенитет и Air-Gap
Суверенитет означает, что вы контролируете инфраструктуру, ключи и доказательства. Пакет „Стела“ работает без обязательных внешних зависимостей и производит верифицируемые доказательства для каждого решения о релизе.
Что означает готовность к суверенитету
Самостоятельно размещаемая платформа управления
Нет принудительной SaaS-зависимости. Разверните весь пакет на вашей инфраструктуре — локально, в частном облаке или в air-gap сети.
Air-gap / офлайн-приоритетный подход
Фиды уязвимостей и данные верификации передаются через подписанные пакеты. Основные решения работают без обязательного внешнего трафика.
Принесите свои ключи
Клиент контролирует доверительные якоря. Сменные крипто-профили поддерживают вашу инфраструктуру подписи и верификации.
Региональные крипто-профили
Плагинная архитектура для криптографии, требуемой для соответствия. FIPS-совместимые, ГОСТ Р 34.10, SM2/SM3 или eIDAS-совместимые подписи (валидация зависит от вашего провайдера ключей).
Детерминированное воспроизведение
Одинаковые входные данные производят идентичные результаты. Аудиторы могут верифицировать решения офлайн месяцы спустя с замороженными фидами и манифестами.
Экспортируемые доказательства
Капсулы решений пакетируют доказательства для аудита — не разбросанные по логам. Портативные, верифицируемые, независимые от инфраструктуры пакета „Стела“.
Аудируемое ядро (доступный код)
Форматы доказательств и инструменты верификации с открытым исходным кодом. Аудиторы могут верифицировать решения независимо — без привязки к поставщику для доверия.
Локальный агрегатор разведки
Запустите собственную службу CVE + VEX разведки. Агрегируйте источники, дедуплицируйте, делайте снимки и подписывайте — всё внутри вашего периметра.
Крипто-профили
Пакет „Стела“ поддерживает сменные криптографические профили для регионального соответствия и организационных требований.
FIPSFederal Information Processing Standards – криптографические стандарты правительства США для безопасных систем · GOSTРоссийские национальные криптографические стандарты (ГОСТ Р 34.10/34.11), обязательные для государственных систем · SM2Китайский национальный стандарт криптографии с открытым ключом (часть набора ShangMi), обязательный для регулируемых отраслей · eIDASElectronic IDentification, Authentication and trust Services – регламент ЕС для электронных подписей и доверенных служб
| Профиль | Алгоритмы | Применение |
|---|---|---|
| default | ECDSA P-256, SHA-256 | Стандартные развёртывания |
| fips-140-3 | ECDSA P-384, SHA-384 | Федеральные США / FedRAMP |
| gost | ГОСТ Р 34.10-2012, Стрибог | Соответствие требованиям СНГ |
| sm | SM2Китайский национальный стандарт криптографии с открытым ключом (часть набора ShangMi), обязательный для регулируемых отраслей, SM3 | Китайские стандарты |
| eidas | RSA-PSS, ECDSA (QES) | Квалифицированные подписи ЕС |
Режимы развёртывания
Подключённый режим
Стандартное развёртывание с опциональными обновлениями фидов из публичных источников.
- → Синхронизация данных об уязвимостях в реальном времени (
NVDNational Vulnerability Database – государственный репозиторий США стандартизированных данных об уязвимостях,OSVOpen Source Vulnerabilities – распределённая база данных уязвимостей для open-source-проектов, бюллетени поставщиков) - → Включенная телеметрия для анализа автопарка (отключена по умолчанию)
- → Автоматическая проверка подписей
Air-gap режим
Полностью изолированное развёртывание для регулируемых или чувствительных сред.
- → Подписанные пакеты фидов импортируются через sneakernet или DMZ-релей
- → Нулевые внешние сетевые зависимости
- → Контролируемая клиентом частота обновлений
Офлайн-операции
Импорт подписанного пакета фидов
$ stella feed import vuln-feed-2025-01.bundle --verify
Проверка подписи пакета... OK
Подписант: CN=пакет „Стела“ Feed Signing Key (customer-owned)
Версия фида: 2025-01-15T00:00:00Z
Фид успешно импортирован
CVE добавлено: 847 | Обновлено: 2 341 | Всего: 234 892Выполнение решений офлайн
$ stella gate decision --env prod --offline
Используется локальный снимок фида: 2025-01-15T00:00:00Z
Анализ артефакта: sha256:a1b2c3d4...
Достижимые CVE: 8 (из 312 в зависимостях)
Политика: production-strict v2.1.0
Контрольная точка пройдена — все достижимые CVE ниже порогаЭкспорт для внешнего аудита
$ stella capsule export --bundle audit-pack.zip --include-feeds
Упаковка капсулы решения...
Включает: SBOM, граф достижимости, состояние VEX, политика, одобрения
Включает: снимок фида (заморожен на момент решения)
Подписание: GOST R 34.10-2012 (суверенный профиль)
Аудит-пакет экспортирован в audit-pack.zip
Пакет можно проверить и воспроизвести на любой установке Пакета „Стела“Для кого это
Оборона и правительство
Засекреченные сети, требующие национальных криптопрофилей и отсутствия внешних зависимостей.
Критическая инфраструктура
Операторы энергетики, транспорта и связи, которые должны доказывать регуляторам каждое решение по развертыванию.
Финансовые учреждения
Банкам и страховщикам нужна криптография, совместимая с FIPS (валидация зависит от вашего провайдера ключей), с проверяемыми детерминированными шлюзами выпуска.
Здравоохранение и фармацевтика
Организации, обрабатывающие конфиденциальные данные, требующие автономной работы и подписанных цепочек доказательств.