Технічна архітектура платформи
Трирівнева клієнт-серверна архітектура з stateless-сесіями та авторизацією на кожен запит. Документ описує лише архітектурні принципи; вимоги до конкретних впроваджень — у референсних архітектурах.
Три рівні взаємодії
Класична трирівнева архітектура: клієнт → сервер застосувань → сховище даних. Розділення відповідальності між рівнями забезпечує безпеку, масштабованість, і платформо-агностичність.
Web-доступ і native-клієнти. Кросплатформений: Windows, Linux, macOS, Android, iOS. Працює на каналах від 64 кбіт/с. Жодна бізнес-логіка не виконується на клієнті — він рендерить отримані інструкції та передає назад події.
Stateless. 5–10 тис. активних користувачів на сервер застосувань, 50 тис.+ у кластерній схемі. До 20 000 прикладних операцій на хвилину на референсному профілі. Авторизація обчислюється на кожен запит — клієнтський стан не успадковується.
MS SQL Server, Oracle, DB2 паралельно. Структуровані дані у СУБД, неструктуровані — у NAS або файловій системі. Шифрування на рівні БД для чутливих полів. Backup та DR — за регуляторними RTO/RPO.
Zero Trust на рівні застосунку
Більшість Zero Trust рішень додаються поверх існуючих систем — як ZTNA, як IAM-шар, як service mesh sidecar. UnityBaseDefense вбудовує ZT-принципи всередину застосунку, з гранулярністю до поля запису.
Per-request authorization
Кожне звернення до серверу обчислює право у момент запиту. Жодного клієнтського кешування. Шар авторизації оцінює: хто запитує (роль, підрозділ, допуски), що запитує (тип об'єкта, конкретний запис, конкретне поле), в якому контексті (життєвий цикл запису, історія попередніх дій, час доби, поточна сесія).
Реалізація: правила декларуються прикладною моделлю у конструкторі форм, без додаткового програмування. Затримка авторизації — 5–15 мс на запит у залежності від складності правил.
Гранулярність до рівня поля
Право бачити запис не означає право бачити всі поля. Класичний приклад: кадровий офіцер бачить фіо та посаду, але не бачить адреси проживання і контактів родичів. Це окремий допуск, оцінюваний для кожного поля.
Stateless серверний шар
Сервер застосувань не зберігає клієнтського стану. Перезавантаження не вимагає синхронізації сесій. Балансування навантаження — простим L7 балансером без sticky sessions. Це підвищує стійкість до відмов і спрощує горизонтальне масштабування серверного шару.
Незмінний журнал
Кожна дія потрапляє у журнал з усіма параметрами: хто, коли, з якого IP, який документ, яка дія, з яким результатом. Журнал зберігається у структурі WORM. Дії адміністраторів — у тому ж журналі, без можливості видалити власні сліди.
Електронний підпис критичних дій
Юридично значимі дії (резолюції, накази, затвердження) підписуються ЕЦП за ДСТУ 4145. Платформа підтримує паралельно українську ЕЦП та міжнародні PKI через SSPI. Інтеграція з ЦСК — через стандартні протоколи.
Heat map — NIST 800-207 (Zero Trust)
Стан реалізації семи тенетів Zero Trust. Документ оновлюється з кожним релізом платформи.
| Тенет | Положення | Реалізація |
|---|---|---|
| Tenet 1 | All data sources and computing services are resources | Реалізовано |
| Tenet 2 | All communication secured regardless of network location | Реалізовано |
| Tenet 3 | Access granted on a per-session basis | Реалізовано |
| Tenet 4 | Access determined by dynamic policy | Реалізовано |
| Tenet 5 | Monitoring and measuring integrity of all assets | Частково |
| Tenet 6 | All authentication and authorization are dynamic | Реалізовано |
| Tenet 7 | Continuous collection of asset state for security posture | Roadmap |
Heat map — NIST 800-53
Стан реалізації основних родин контролів NIST SP 800-53 Rev. 5.
| Code | Родина контролів | Реалізація |
|---|---|---|
| AC | Access Control | Реалізовано |
| AU | Audit and Accountability | Реалізовано |
| IA | Identification and Authentication | Реалізовано |
| SC | System and Communications Protection | Реалізовано |
| SI | System and Information Integrity | Реалізовано |
| CM | Configuration Management | Реалізовано |
| IR | Incident Response | Частково |
| RA | Risk Assessment | Не у скоупі |
| PE | Physical and Environmental Protection | Не у скоупі |
Heat map — Українські нормативи
| Норматив | Положення | Стан |
|---|---|---|
| НД ТЗІ 2.5-004-99 | Профіль захисту АС-2 | Г-3 |
| НД ТЗІ 2.5-004-99 | Профіль захисту АС-3 | У проектах окремо |
| НД ТЗІ 3.7-003-2005 | Порядок створення КСЗІ | Реалізовано |
| ДСТУ 4145 | Електронний підпис | Реалізовано |
| ДСТУ 7624 | Шифрування блоковими алгоритмами | Реалізовано |
| КМУ № 712 (2025) | Ризик-орієнтована авторизація | Реалізовано |
Технологічна сумісність
Платформа спроектована як технологічно-агностична. Конкретні версії компонентів стека змінюються між релізами; нижче — поточний на 2026 рік стан.
СУБД
Microsoft SQL Server 2017+, Oracle Database 19c+, IBM Db2 11.5+. PostgreSQL — у beta-стадії, з повним переходом у продакшн запланованим на 2027 р.
Серверна ОС
Windows Server 2019+, Red Hat Enterprise Linux 8+, Ubuntu Server 22.04+, Astra Linux SE.
Клієнтські платформи
Тонкий клієнт: Windows 10+, Linux (X11 та Wayland), macOS 12+, Android 9+, iOS 15+. Веб-доступ — через будь-який сучасний браузер (Chromium 100+, Firefox 100+, Safari 15+).
Засоби криптографічного захисту
Інтеграція з засобами, сертифікованими Держспецзв'язку: «Бар'єр-301», «Криптоконтейнер», «UA-токен», «Електронний ключ Україна». Через SSPI — підтримка міжнародних PKI (X.509, RFC 5280).
Каталог користувачів
LDAP v3, Active Directory (Windows Server 2016+), Samba 4 Domain Controller. SSO через SAML 2.0 та OpenID Connect.