Turvallisuus

Turvallisuus ja suvereniteetti

Suvereniteetti ei ole hosting-alue — se on lainkäyttövaltaa, eristystä, auditoitavuutta ja kykyä toimia kaapeli irrotettuna. Näiden kontrollien varaan alusta on rakennettu.

Lainkäyttövalta

ArcemCloud on norjalainen yhtiö, jolla on norjalaiset omistajat, työntekijät ja datakeskukset. Mikään emoyhtiö tai toiminnallinen riippuvuus ei aseta asiakasdataa Yhdysvaltain CLOUD Act -lain, FISA 702:n tai minkään muun ulkomaisen oikeudellisen instrumentin ulottuville. Data, metadata ja tukikäyttö pysyvät Norjassa.

Kova asiakkaiden välinen eristys

Jokainen asiakas saa dedikoidun Kubernetes-nimiavaruuden default-deny-verkkopolitiikalla: mikään ei tavoita työkuormaa ilman nimenomaista lupaa, eivätkä työkuormat tavoita oletuksena mitään. GPU-jako käyttää NVIDIA MIG:iä laitteistotason osiointiin — ei pehmeää aikajakoa asiakkaiden välillä. Asiakkaan omat mallipainot pysyvät asiakkaan oman eristysrajan sisällä: niitä ei koskaan kopioida jaettuun tallennustilaan, toiselle asiakkaalle tai ArcemCloudille.

Peukaloinnin paljastava auditointiloki

Jokainen hallinnollinen toimenpide ja API-kutsu lisätään hash-ketjutettuun auditointilokiin. Jokainen merkintä sitoutuu edellisen hashiin, joten mikä tahansa takautuva muokkaus tai poisto rikkoo ketjun ja on havaittavissa. Ketjun päät voidaan viedä riippumatonta verifiointia varten.

Itse ylläpidetty identiteetti ja salaisuudet

Autentikointi ja valtuutus toimivat Zitadelilla, jota ylläpidetään alustan sisällä — mikään kolmannen osapuolen identiteettipalvelu ei näe kirjautumisiasi. Salaisuudet, avaimet ja sertifikaatit ovat OpenBaossa, samoin itse ylläpidettynä, sinetöidyllä tallennuksella ja auditoidulla pääsyllä.

Air-gap-käyttö

Alusta on rakennettu toimimaan ulkoyhteyden ollessa fyysisesti poissa. Mallipainot, konttilevykuvat ja päivitykset saapuvat valvotulla offline-siirrolla, ja nollaegress-verifiointi vahvistaa, ettei mikään työkuormaliikenne poistu enklaavista — mitattuna, ei oletettuna.

Lukittu toimitusketju

Jokainen konttilevykuva, mallisartefakti ja riippuvuus on versiolukittu, tarkistussummattu ja peilattu yksityisen Harbor-rekisterin kautta. Mitään ei haeta avoimesta internetistä ajon aikana, ja jokainen tuotannossa oleva artefakti voidaan jäljittää tarkastettuun lähteeseen.

Dokumentaatio hankintoja varten

Yksityiskohtaiset kontrollikartoitukset Norjan NSM:n perusperiaatteita, GDPR:ää ja DORA:a vasten — yhdessä arkkitehtuuri- ja auditointidokumentaation kanssa — ovat saatavilla päteville ostajille NDA:n alla.

Pyydä dokumentaatiota