Sovereign Deployment

Souveränität und Air-Gap

Souveränität bedeutet, dass Sie die Infrastruktur, die Schlüssel und die Beweise kontrollieren. Stella Ops läuft ohne obligatorische externe Abhängigkeiten und produziert verifizierbare Beweise für jede Release-Entscheidung.

Jetzt starten Dokumentation lesen

Was Souveränitäts-bereit bedeutet

Selbst gehostete Steuerungsebene

Keine erzwungene SaaS-Abhängigkeit. Stellen Sie die gesamte Suite auf Ihrer Infrastruktur bereit — vor Ort, private Cloud oder Air-Gap-Netzwerk.

Air-Gap / Offline-first Betrieb

Schwachstellen-Feeds und Verifizierungsdaten werden über signierte Bundles übertragen. Kernentscheidungen funktionieren ohne obligatorischen externen Datenverkehr.

Eigene Schlüssel mitbringen

Der Kunde kontrolliert die Vertrauensanker. Austauschbare Krypto-Profile unterstützen Ihre Signatur- und Verifizierungsinfrastruktur.

Regionale Krypto-Profile

Plugin-Architektur für Compliance-getriebene Kryptographie. FIPS-140-3, GOST R 34.10, SM2/SM3 oder eIDAS-qualifizierte Signaturen.

Deterministisches Replay

Gleiche Eingaben erzeugen identische Ausgaben. Auditoren können Entscheidungen offline Monate später mit eingefrorenen Feeds und Manifesten verifizieren.

Exportierbare Beweise

Entscheidungskapseln verpacken Beweise für Audits — nicht verstreut in Logs. Portabel, verifizierbar, unabhängig von Stella-Infrastruktur.

Auditierbarer Kern (Source-Available)

Beweisformate und Verifizierungstools sind Open Source. Auditoren können Entscheidungen unabhängig verifizieren — keine Anbieterabhängigkeit für Vertrauen.

Lokaler Intelligence-Aggregator

Betreiben Sie Ihren eigenen CVE + VEX Intelligence-Dienst. Aggregieren Sie Quellen, deduplizieren Sie, erstellen Sie Snapshots und signieren Sie — alles innerhalb Ihrer Grenze.

Krypto-Profile

Stella unterstützt austauschbare kryptografische Profile für regionale Compliance und organisatorische Anforderungen.

ProfilAlgorithmenAnwendungsfall
defaultECDSA P-256, SHA-256Standardbereitstellungen
fips-140-3ECDSA P-384, SHA-384US Federal / FedRAMP
gostGOST R 34.10-2012, StreebogGUS-Region-Compliance
smSM2, SM3Chinesische Standards
eidasRSA-PSS, ECDSA (QES)EU-qualifizierte Signaturen

Bereitstellungsmodi

Verbundener Modus

Standardbereitstellung mit optionalen Feed-Updates aus öffentlichen Quellen.

  • Live-Schwachstellen-Feed-Synchronisierung (NVD, OSV, Herstellerhinweise)
  • Opt-in-Telemetrie für Flottenanalysen (standardmäßig deaktiviert)
  • Automatische Signaturüberprüfung

Air-Gap-Modus

Vollständig isolierte Bereitstellung für regulierte oder sensible Umgebungen.

  • Signierte Feed-Bundles importiert via Sneakernet oder DMZ-Relay
  • Null externe Netzwerkabhängigkeiten
  • Kundengesteuerte Update-Kadenz
Air-Gap-Datenfluss: Feeds und Beweise werden über signierte Bundles übertragen
Air-Gap-DatenflussExternes NetzwerkNVD/OSVHinweiseFeed-Paket📦 Signierte ÜbertragungÜbertragungAir-Gap-NetzwerkStella OpsGate-EntscheidungKapselNachweise bleiben intern

Offline-Betrieb

Signiertes Feed-Bundle importieren

Terminal
$ stella feed import vuln-feed-2025-01.bundle --verify
Bundle-Signatur prüfen... OK
Signer: CN=Stella Feed Signing Key (customer-owned)
Feed-Version: 2025-01-15T00:00:00Z
Feed erfolgreich importiert
CVEs hinzugefügt: 847 | Aktualisiert: 2.341 | Gesamt: 234.892

Entscheidungen offline ausführen

Terminal
$ stella gate decision --env prod --offline
Lokaler Feed-Snapshot: 2025-01-15T00:00:00Z
Artefakt wird analysiert: sha256:a1b2c3d4...
Erreichbare CVEs: 8 (von 312 in Abhängigkeiten)
Policy: production-strict v2.1.0
Gate bestanden — alle erreichbaren CVEs unter dem Schwellenwert

Für externes Audit exportieren

Terminal
$ stella capsule export --bundle audit-pack.zip --include-feeds
Entscheidungskapsel wird gepackt...
Enthält: SBOM, Reachability-Graph, VEX-Stand, Policy, Freigaben
Enthält: Feed-Snapshot (zum Entscheidungszeitpunkt eingefroren)
Signieren mit: GOST R 34.10-2012 (souveränes Profil)
Audit-Paket exportiert nach audit-pack.zip
Bundle kann auf jeder Stella-Installation verifiziert und replayt werden

Für wen das ist

Verteidigung und Regierung

Klassifizierte Netzwerke, die nationale Kryptoprofile und keine externen Abhängigkeiten erfordern.

Kritische Infrastruktur

Energie-, Transport- und Telekommunikationsbetreiber, die jede Bereitstellungsentscheidung den Aufsichtsbehörden nachweisen müssen.

Finanzinstitute

Banken und Versicherer benötigen FIPS-validierte Krypto mit überprüfbaren, deterministischen Release-Gates.

Gesundheitswesen und Pharma

Organisationen, die vertrauliche Daten verarbeiten, die einen Offline-First-Betrieb erfordern und signierte Beweisketten.

Bereit für souverane Release-Steuerung?

Jetzt starten So funktioniert es

Beweise und Audit · Alle Funktionen · Offline Kit