Sovereign Deployment
Суверенітет та Air-Gap
Суверенітет означає, що ви контролюєте інфраструктуру, ключі та докази. Пакет „Стела“ працює без обов'язкових зовнішніх залежностей і виробляє верифіковані докази для кожного рішення про реліз.
Що означає готовність до суверенітету
Самостійно розміщувана платформа керування
Немає примусової SaaS-залежності. Розгорніть весь пакет на вашій інфраструктурі — локально, у приватній хмарі або в air-gap мережі.
Air-gap / офлайн-перший підхід
Фіди вразливостей та дані верифікації передаються через підписані пакети. Основні рішення працюють без обов'язкового зовнішнього трафіку.
Принесіть свої ключі
Клієнт контролює довірчі якорі. Змінні крипто-профілі підтримують вашу інфраструктуру підпису та верифікації.
Регіональні крипто-профілі
Плагінна архітектура для криптографії, що вимагається для відповідності. FIPS-сумісні, ДСТУ 4145, SM2/SM3 або eIDAS-сумісні підписи (валідація залежить від вашого провайдера ключів).
Детерміноване відтворення
Однакові вхідні дані виробляють ідентичні результати. Аудитори можуть верифікувати рішення офлайн через місяці із замороженими фідами та маніфестами.
Експортовані докази
Капсули рішень пакетують докази для аудиту — не розкидані по логах. Портативні, верифіковані, незалежні від інфраструктури пакет „Стела“.
Аудитоване ядро (доступний код)
Формати доказів та інструменти верифікації з відкритим вихідним кодом. Аудитори можуть верифікувати рішення незалежно — без прив'язки до постачальника для довіри.
Локальний агрегатор розвідки
Запустіть власну службу CVE + VEX розвідки. Агрегуйте джерела, дедуплікуйте, робіть знімки та підписуйте — все всередині вашого периметра.
Крипто-профілі
Пакет „Стела“ підтримує змінні криптографічні профілі для регіональної відповідності та організаційних вимог.
FIPSFederal Information Processing Standards – криптографічні стандарти уряду США для безпечних систем · GOSTРосійські національні криптографічні стандарти (ГОСТ Р 34.10/34.11), обов'язкові для державних систем · SM2Китайський національний стандарт криптографії з відкритим ключем (частина набору ShangMi), обов'язковий для регульованих галузей · eIDASElectronic IDentification, Authentication and trust Services – регламент ЄС для електронних підписів та довірчих служб
| Профіль | Алгоритми | Застосування |
|---|---|---|
| default | ECDSA P-256, SHA-256 | Стандартні розгортання |
| fips-140-3 | ECDSA P-384, SHA-384 | Федеральні США / FedRAMP |
| gost | ДСТУ 4145-2002, Купина | Відповідність вимогам України |
| sm | SM2Китайський національний стандарт криптографії з відкритим ключем (частина набору ShangMi), обов'язковий для регульованих галузей, SM3 | Китайські стандарти |
| eidas | RSA-PSS, ECDSA (QES) | Кваліфіковані підписи ЄС |
Режими розгортання
Підключений режим
Стандартне розгортання з опціональними оновленнями фідів з публічних джерел.
- → Синхронізація каналів уразливостей (
NVDNational Vulnerability Database – державний репозиторій США стандартизованих даних про вразливості,OSVOpen Source Vulnerabilities – розподілена база даних вразливостей для open-source-проєктів, поради постачальників) - → Додаткова телеметрія для аналітики автопарку (вимкнено за замовчуванням)
- → Автоматична перевірка підпису
Air-gap режим
Повністю ізольоване розгортання для регульованих або чутливих середовищ.
- → Підписані пакети фідів імпортуються через sneakernet або DMZ-релей
- → Нульові зовнішні мережеві залежності
- → Контрольована клієнтом частота оновлень
Офлайн-операції
Імпорт підписаного пакету фідів
$ stella feed import vuln-feed-2025-01.bundle --verify
Перевірка підпису пакета... OK
Підписант: CN=пакет „Стела“ Feed Signing Key (customer-owned)
Версія фіду: 2025-01-15T00:00:00Z
Фід успішно імпортовано
CVE додано: 847 | Оновлено: 2 341 | Усього: 234 892Виконання рішень офлайн
$ stella gate decision --env prod --offline
Використання локального знімка фіду: 2025-01-15T00:00:00Z
Аналіз артефакта: sha256:a1b2c3d4...
Досяжні CVE: 8 (з 312 у залежностях)
Політика: production-strict v2.1.0
Gate пройдено — усі досяжні CVE нижче порогуЕкспорт для зовнішнього аудиту
$ stella capsule export --bundle audit-pack.zip --include-feeds
Пакування капсули рішень...
Включає: SBOM, граф досяжності, стан VEX, політика, схвалення
Включає: знімок фіду (заморожено на момент рішення)
Підпис: GOST R 34.10-2012 (суверенний профіль)
Аудит-пакет експортовано в audit-pack.zip
Пакет можна перевірити й відтворити на будь-якій інсталяції пакета „Стела“Хто це для
Оборона та уряд
Класифіковані мережі, які потребують національних криптопрофілів і нульових зовнішніх залежностей.
Критична інфраструктура
Енергетичні, транспортні та телекомунікаційні оператори, які повинні підтверджувати кожне рішення щодо розгортання регуляторам.
Фінансові установи
Банки та страхові компанії потребують FIPS-сумісну криптографію (валідація залежить від вашого провайдера ключів) з перевіреними, детермінованими шлюзами випуску.
Охорона здоров’я та фармацевтика
Організації, що обробляють конфіденційні дані, які потребують роботи в режимі офлайн і підписаних ланцюжків доказів.