Přehled architektury¶
MazeVault Enterprise platforma — Vysokoúrovňová architektura
Verze dokumentu: 1.0.0
Poslední aktualizace: 2026-02-10
1. Účel systému¶
MazeVault je podniková platforma pro správu tajemství a PKI (Public Key Infrastructure) navržená pro organizace vyžadující:
- Centralizovanou správu tajemství se šifrováním v klidu i při přenosu
- Interní certifikační autoritu s kompletní správou životního cyklu certifikátů
- Architekturu nulové znalosti (Zero-Knowledge) zajišťující, že platforma nikdy nezpracovává citlivá data v otevřeném tvaru
- Nasazení ve více datových centrech s automatickým řešením konfliktů
- Soulad s regulacemi — ISO 27001, SOC 2, PCI DSS a GDPR
2. Diagram architektury¶
graph TB
subgraph External["☁️ Externí služby"]
AzureAD["🆔 Azure Entra ID<br/>(SSO)"]
AzureKV["🔐 Azure Key Vault"]
ExtCA["🏢 Externí CA<br/>(DigiCert, Venafi)"]
Monitor["📊 Azure Monitor"]
end
subgraph Platform["🏦 Platforma MazeVault"]
LB["🌐 Load Balancer / Ingress<br/>(TLS terminace)"]
subgraph App["Aplikační vrstva"]
FE["🖥️ Webové rozhraní<br/>(SPA)"]
BE["⚙️ API Server"]
OCSP["📜 OCSP Responder"]
end
subgraph Data["Datová vrstva"]
PG["🗄️ PostgreSQL<br/>(Primární úložiště)"]
Redis["⚡ Redis<br/>(Cache a relace)"]
end
end
Users["🧑💻 Uživatelé / Operátoři"] -->|HTTPS| LB
Agents["🤖 MazeVault Agenti"] -->|mTLS| LB
LB --> FE
LB --> BE
LB --> OCSP
BE --> PG
BE --> Redis
BE --> AzureAD
BE --> AzureKV
BE --> ExtCA
OCSP --> PG
BE --> Monitor
classDef external fill:#F5F5F5,stroke:#9E9E9E,stroke-width:2px,color:#424242
classDef lb fill:#FFF8E1,stroke:#FF9800,stroke-width:2px,color:#E65100
classDef app fill:#EBF5FB,stroke:#2196F3,stroke-width:2px,color:#1565C0
classDef data fill:#E8F5E9,stroke:#4CAF50,stroke-width:2px,color:#2E7D32
classDef user fill:#E8EAF6,stroke:#3F51B5,stroke-width:2px,color:#283593
class AzureAD,AzureKV,ExtCA,Monitor external
class LB lb
class FE,BE,OCSP app
class PG,Redis data
class Users,Agents user3. Principy návrhu¶
| Princip | Popis |
|---|---|
| Obrana v hloubce | Více vrstev zabezpečení — TLS, šifrování na aplikační úrovni, šifrování databáze, integrace HSM |
| Zero Trust | Veškerá interní komunikace je autentizovaná a šifrovaná; žádná implicitní důvěra mezi komponentami |
| Vysoká dostupnost | Navrženo pro nasazení v Kubernetes s kontrolami zdraví, readiness sondami a automatickou obnovou |
| Oddělení odpovědností | API Server, webové rozhraní a OCSP Responder jsou nezávisle nasaditelné a škálovatelné |
| Shoda od návrhu | Auditní logování, rotace klíčů a řízení přístupu jsou integrovány do jádra platformy |
4. Přehled technologií¶
| Vrstva | Technologie | Účel |
|---|---|---|
| Webové rozhraní | React + TypeScript | Single Page Application |
| API Server | Go (Gin framework) | REST API, business logika, šifrování |
| Databáze | PostgreSQL 15+ | Primární perzistentní úložiště |
| Cache | Redis 7+ | Správa relací, cache tajemství |
| OCSP Responder | Go (vlastní) | Validace certifikátů v reálném čase |
| Kontejnerový runtime | Docker / Kubernetes | Nasazení a orchestrace |
| Infrastructure as Code | Terraform / Helm | Automatizované provisioning |
5. Modely nasazení¶
MazeVault podporuje následující modely nasazení:
Azure Kubernetes Service (AKS)¶
- Doporučeno pro produkční provoz
- Integrace s Azure Key Vault, Azure Monitor, Azure Entra ID
- Helm charty pro standardizované nasazení
- Horizontal Pod Autoscaling pro webové rozhraní a OCSP komponenty
On-Premise (Rocky Linux / RHEL)¶
- Nasazení založené na Docker Compose
- Nginx reverse proxy s TLS terminací
- Vhodné pro air-gapped nebo omezená síťová prostředí
- K dispozici offline instalační balíčky
Hybridní¶
- API Server a databáze on-premise
- Agenti nasazeni v mnoha lokalitách
- Centralizovaná správa s distribuovaným přístupem k tajemstvím
6. Komunikační protokoly¶
| Zdroj | Cíl | Protokol | Autentizace |
|---|---|---|---|
| Uživatelé | Webové rozhraní | HTTPS (TLS 1.2+) | Relace / JWT |
| Webové rozhraní | API Server | HTTPS (TLS 1.2+) | JWT Bearer Token |
| Agenti | API Server | mTLS | Klientský certifikát + API klíč |
| API Server | PostgreSQL | TLS | Uživatel/heslo + SSL |
| API Server | Redis | TLS | Heslo + TLS |
| API Server | Azure Key Vault | HTTPS | Managed Identity / Service Principal |
| API Server | Externí CA | HTTPS | API klíč / certifikát |
| OCSP klienti | OCSP Responder | HTTP/HTTPS | Žádná (veřejné) / mTLS |
Související¶
- Komponenty — Detailní architektura komponent
- Přehled bezpečnosti — Detaily bezpečnostní architektury
- Požadavky na nasazení — Systémové požadavky