Přehled zabezpečení¶

Bezpečnostní architektura MazeVault a strategie obrany do hloubky

Verze dokumentu: 1.0.0
Poslední aktualizace: 2026-02-10

1. Bezpečnostní architektura¶

MazeVault implementuje bezpečnostní strategii obrany do hloubky s více ochrannými vrstvami:

graph TB
    subgraph L1["Vrstva 1: Síť"]
        FW["🛡️ Firewall / NSG"]
        TLS["🔒 Vynucení TLS 1.2+"]
        WAF["🌐 Web Application Firewall"]
    end

    subgraph L2["Vrstva 2: Aplikace"]
        RL["⏱️ Omezení počtu požadavků"]
        CORS["🎯 Validace CORS"]
        CSRF["🛡️ Ochrana CSRF"]
        Input["✅ Validace vstupů"]
    end

    subgraph L3["Vrstva 3: Autentizace"]
        MFA["🔐 Vícefaktorové ověření"]
        SSO["🆔 SSO / SAML / OIDC"]
        SRP["🤝 Protokol SRP"]
        JWT["🎫 Správa JWT tokenů"]
    end

    subgraph L4["Vrstva 4: Autorizace"]
        RBAC["👥 Přístup na základě rolí"]
        Project["📁 Izolace projektů"]
        Perm["🔑 Granulární oprávnění"]
    end

    subgraph L5["Vrstva 5: Data"]
        AES["🔐 Šifrování AES-256-GCM"]
        ZK["👁️‍🗨️ Architektura Zero-Knowledge"]
        HSM["🏦 Ochrana klíčů HSM"]
        Audit["📝 Auditní logování"]
    end

    L1 --> L2 --> L3 --> L4 --> L5

    classDef network fill:#F5F5F5,stroke:#9E9E9E,stroke-width:2px,color:#424242
    classDef app fill:#EBF5FB,stroke:#2196F3,stroke-width:2px,color:#1565C0
    classDef auth fill:#FFF8E1,stroke:#FF9800,stroke-width:2px,color:#E65100
    classDef authz fill:#E8F5E9,stroke:#4CAF50,stroke-width:2px,color:#2E7D32
    classDef data fill:#E8EAF6,stroke:#3F51B5,stroke-width:2px,color:#283593

    class FW,TLS,WAF network
    class RL,CORS,CSRF,Input app
    class MFA,SSO,SRP,JWT auth
    class RBAC,Project,Perm authz
    class AES,ZK,HSM,Audit data

2. Bezpečnostní principy¶

Princip	Implementace
Zero Trust	Veškerá komunikace je autentizována a šifrována; žádná implicitní důvěra mezi komponentami
Zero Knowledge	Platforma šifruje data klíči spravovanými zákazníkem; operátoři nikdy nemají přístup k otevřenému textu
Nejmenší oprávnění	RBAC s granulárními oprávněními; uživatelé mají přístup pouze k tomu, co jejich role umožňuje
Obrana do hloubky	Pět bezpečnostních vrstev — síť, aplikace, autentizace, autorizace, data
Bezpečné ve výchozím nastavení	Všechny bezpečnostní funkce jsou ve výchozím stavu zapnuty; opt-out namísto opt-in
Auditování všeho	Každý přístup k datům a jejich úprava jsou zaznamenány s plným kontextem uživatele

3. Zabezpečení přenosu¶

Konfigurace TLS¶

Parametr	Hodnota
Minimální verze TLS	1.2
Preferovaná verze TLS	1.3
Validace certifikátu	Povinná v produkci
HSTS	Zapnuto (max-age=31536000, includeSubDomains)
Certificate Pinning	Podporováno pro komunikaci agent-server

Bezpečnostní hlavičky¶

Všechny HTTP odpovědi obsahují následující bezpečnostní hlavičky:

Hlavička	Hodnota
`X-Content-Type-Options`	`nosniff`
`X-Frame-Options`	`SAMEORIGIN`
`X-XSS-Protection`	`1; mode=block`
`Strict-Transport-Security`	`max-age=31536000; includeSubDomains`
`Referrer-Policy`	`strict-origin-when-cross-origin`
`Content-Security-Policy`	Restriktivní politika omezující zdroje obsahu
`Permissions-Policy`	Restriktivní politika zakazující nepotřebná API prohlížeče

4. Zabezpečení aplikace¶

Omezení frekvence požadavků (Rate Limiting)¶

Kategorie endpointu	Limit	Časové okno
Autentizace	10 požadavků	1 minuta
API (autentizované)	100 požadavků	1 minuta
OCSP	1000 požadavků	1 minuta
Health checks	Neomezeno	—

Validace vstupů¶

Všechny API vstupy jsou validovány proti JSON schématům
Prevence SQL injection prostřednictvím parametrizovaných dotazů
Prevence XSS prostřednictvím kódování výstupů a Content Security Policy
Prevence path traversal prostřednictvím sanitizace vstupů
Limity velikosti těla požadavku vynucené na úrovni vstupu

Politika CORS¶

Striktní povolení původu (whitelist) — žádné zástupné znaky v produkci
Režim credentials vyžaduje explicitní specifikaci původu
Cachování preflight požadavků pro výkon

Ochrana proti CSRF¶

Vzor double-submit cookie
Atribut cookie SameSite (Strict/Lax podle kontextu)
Ověřování vlastních hlaviček pro API požadavky

5. Souhrn zabezpečení dat¶

Kategorie dat	Šifrování v klidu	Šifrování při přenosu	Řízení přístupu
Tajné hodnoty (Secrets)	AES-256-GCM	TLS 1.2+	RBAC + Projekt
Privátní klíče	AES-256-GCM + HSM	TLS 1.2+	RBAC + Projekt
Certifikáty	Na úrovni databáze	TLS 1.2+	RBAC + Projekt
Přihlašovací údaje uživatelů	bcrypt/Argon2 hash	TLS 1.2+	Vlastní + Admin
Tokeny relací	AES-256-GCM	TLS 1.2+ (Secure cookie)	Vlastní
Auditní záznamy	Na úrovni databáze	TLS 1.2+	Pouze admin

6. Řízení zranitelností¶

Praxe	Frekvence	Popis
Skenování závislostí	Průběžně	Automatizované skenování všech závislostí na známé CVE
Skenování kontejnerů	Při každém buildu	Skenování Docker obrazů pomocí Trivy
Penetrační testování	Ročně	Bezpečnostní posouzení třetí stranou
Revize kódu	Při každé změně	Povinná revize pro všechny bezpečnostně relevantní změny
Bezpečnostní záplaty	Dle potřeby	Kritické záplaty do 48 hodin, vysoká závažnost do 7 dnů

Související¶

Podrobnosti šifrování — Kryptografické standardy a správa klíčů
Autentizace — Metody autentizace a konfigurace
Matice shody — Soulad s regulatorními rámci
Auditní záznamy — Možnosti auditní stopy