Обзор безопасности
Как AACsearch защищает ваши данные — API-ключи, scoped-токены, изоляция арендаторов, журналы аудита и enterprise-контроли.
Обзор безопасности
AACsearch спроектирован так, чтобы посторонний — или другой арендатор — не мог прочитать ваши данные даже случайно. Эта страница — точка входа в модель безопасности. По ссылкам ниже можно углубиться в конкретный контроль.
Модель угроз одним абзацем
AACsearch — хостинговый мультиарендный сервис поиска. Два самых вероятных вектора атаки: (1) утечка или кража API-ключа и (2) обход межарендных фильтров со стороны браузера. Все контроли ниже рассчитаны именно против этих двух путей. Мы не полагаемся на сокрытие реализации и не храним материал ключей, который мог бы быть передан третьей стороне.
Контроли — кратко
| Контроль | Статус | Страница |
|---|---|---|
| Хэшированные API-ключи и области | ✅ Доступно всем | API-ключи |
| Scoped-токены поиска (для браузера) | ✅ Доступно всем | Scoped-токены |
Allow-list по Origin | ✅ Доступно всем | Allow-list по Origin |
| Изоляция арендаторов | ✅ По умолчанию | Изоляция арендаторов |
| Журналы аудита | ✅ Доступно всем | Аудит |
| Региональное хранение (EU / US / RU) | ✅ Доступно всем | Регион хранения |
| SSO + SCIM-провизионинг | 🟡 Enterprise-опция | SSO и SCIM |
| IP allow-list (на уровне организации) | 🟡 В планах (API нет) | IP allow-list |
| Шифрование при передаче | ✅ TLS 1.3 | Защита данных |
| Шифрование на диске | ✅ AES-256 | Защита данных |
| 2FA / passkeys для дашборда | ✅ Доступно всем | Best practices |
| Чек-лист SOC 2 | 🟡 В процессе | SOC 2 |
| GDPR / 152-ФЗ | ✅ Соответствие | Защита данных |
Всё, чего нет в таблице выше, не входит в general availability. Если где-то прочли о «self-hosted», «air-gapped» или «white-label» — это roadmap, пока эта страница не указала ✅.
Где живёт каждый уровень
Браузер / мобильное приложение ─┐
│ scoped-токен (HMAC, TTL, AND-фильтр арендатора)
▼
Проверка Origin ──→ Хэшированный ключ ──→ Фильтр арендатора ──→ Поисковый кластер
(организация + проект + индекс)- Проверка Origin отбрасывает запросы, у которых заголовок
Originне входит в allow-list ключа. - Верификация API-ключа сверяет
sha256(rawKey)с сохранённым хэшем. Исходный ключ нигде не хранится. - Проверка области (scope) отбрасывает запись через
search-ключ и т. п. См. API-ключи. - Фильтр арендатора автоматически добавляется в каждый запрос к Typesense — межарендные чтения невозможны даже с admin-ключом. См. Изоляция арендаторов.
- Scoped-токены при использовании накладывают дополнительный фильтр, который AND-комбинируется, а не OR. См. Scoped-токены.
Чек-лист перед запуском
До выхода в прод убедитесь, что:
- Продакшн-ключи не те же, что использовались в разработке.
- Ни один API-ключ не закоммичен в Git. Найдите по репо
ss_search_,ss_connector_,ss_scoped_. - Браузерный код использует только scoped-токены или
search-ключ с allow-list по Origin — никогдаadminилиingest. - Allow-list по Origin настроен для каждого браузерного ключа. См. Allow-list по Origin.
- 2FA включена у каждого пользователя дашборда с ролью
adminилиowner. - Экспорт аудита подключён к вашему SIEM, если он есть.
- Регион хранения соответствует вашим требованиям. См. Регион хранения.
Полный операционный чек-лист (uptime, бэкапы, мониторинг) — Production readiness.
Как сообщить об уязвимости
Пишите на security@aacsearch.com — опишите проблему, шаги воспроизведения и контактные данные. Подтверждаем получение в течение 1 рабочего дня. Пожалуйста, не оформляйте уязвимости как публичные issues в GitHub.
См. также
- Дашборд → API-ключи — создание, ротация и отзыв ключей через UI
- Quickstart — старт с least-privilege ключом
- Enterprise-контроли — закупки, DPA, выделенные кластеры