Перейти к основному содержимому

Безопасность

Crawbl создан для предприятий, которым нужен строгий контроль безопасности. На этой странице описаны модель доверия, архитектура zero trust, управление секретами, сетевая изоляция и соответствие требованиям.

Модель доверия

Каждое взаимодействие с платформой происходит в рамках одного из трёх уровней доверия. Эти уровни определяют, что система может делать от имени пользователя без дополнительного подтверждения.

Crawbl читает, обобщает и подготавливает контекст после того, как пользователь предоставил доступ.

Операции только для чтения не могут изменять внешние системы.

  • Контроль пользователя остаётся центральным для того, что может делать система.
  • Доступ к приложениям остаётся опосредованным, а не неограниченным.
  • Доверие основано на предсказуемом и проверяемом поведении.

Простое правило Перед пересечением важной границы система показывает пользователю, что произойдёт.

Архитектура Zero Trust

Каждый компонент работает по принципу zero trust:

ПринципРеализация
Никому не доверяй, всегда проверяйВсе запросы аутентифицированы, сервисы проверяют друг друга
Минимальные привилегииКомпоненты имеют минимально необходимые разрешения
Явная верификацияНикакого неявного доверия на основе сетевого расположения
Предположение о взломеСегментация ограничивает радиус поражения

Платформу защищают несколько уровней безопасности по принципу глубокой защиты:

Authentication and trust boundaries through the Crawbl platform
Click diagram to zoom

Аутентификация внутренних сервисов

Взаимодействие между внутренними сервисами использует HMAC-подпись:

  • Подпись запросов на основе временной метки
  • Настраиваемая ротация ключей
  • Защита от атак повторного воспроизведения
  • Аудиторский след для всех запросов

Управление секретами

Никаких секретов в Git

Все чувствительные данные хранятся во внешних системах:

Тип секретаХранилищеДоступ
API-ключиСервис управляемых секретовАвтоматическая синхронизация в runtime
OAuth-токеныСервис управляемых секретовЗашифрованное хранилище для каждого пользователя
Учётные данные БДСервис управляемых секретовИнжекция через Kubernetes secrets
TLS-сертификатыАвтоматизированное управление сертификатамиАвтоматическое обновление

Поток секретов

Secret flow from managed secrets service into Kubernetes workloads
Click diagram to zoom

Секреты:

  • Никогда не попадают в Git
  • Ротируются автоматически там, где это возможно
  • Ограничены конкретными рабочими пространствами
  • Проходят аудит при каждом обращении

Сетевая безопасность

Изоляция Runtime

Agent Runtime не имеют прямого доступа в интернет:

Network path into the orchestrator and isolation of user runtimes
Click diagram to zoom

Весь внешний трафик проходит через оркестратор:

Тип трафикаРазрешён?Через что
Пользователь → Оркестратор✅ ДаIngress + Auth
Оркестратор → Agent Runtime✅ ДаMCP/Webhook
Agent Runtime → Оркестратор✅ ДаMCP callback
Agent Runtime → Интернет❌ НетН/Д
Оркестратор → Интернет✅ ДаEgress controls

Эта граница соблюдается на уровне сети, а не только на уровне приложения. Поды агентов не могут обращаться к внешним сервисам даже в случае компрометации — весь исходящий трафик должен проксироваться через оркестратор, который применяет разрешения пользователей и логирует каждый вызов.

Возможности соответствия требованиям

Аудиторский след

Все действия логируются с указанием:

  • Временной метки и источника запроса
  • Идентификатора пользователя и рабочего пространства
  • Типа действия и параметров
  • Статуса результата

Местонахождение данных

Поскольку Crawbl развёртывается в твоей инфраструктуре:

  • Полный контроль над расположением данных
  • Данные не покидают твою среду
  • Соответствие региональным требованиям (GDPR и др.)

Сертификации безопасности

Платформа разработана для поддержки:

  • SOC 2 Type II
  • HIPAA (при правильной настройке)
  • GDPR
  • ISO 27001 (при правильной настройке)

Подробнее

Детальная техническая документация:

  • Аутентификация — как пользователи проходят аутентификацию и как реализован OAuth