OpenZTAэкосистема безопасности

Безопасность на ваших условиях.

Защита данных, безопасность приложений, Zero Trust-доступ и защита AI — четыре платформы в одной экосистеме. Разворачивается в вашем контуре. Данные не покидают периметр.

Self-hosted · без обязательных облачных API · резидентность данных по дизайну →

Непрерывная проверка · каждый узел, каждый запрос

Экосистемаopenzta

Четыре платформы. Единый периметр доверия.

OpenZTA объединяет DSPM, ASOC с SAST/SCA/DAST/API Security, Zero Trust-доступ и OpenPromtWall в один связанный стек. AI-функции встроены в DSPM, ASOC и OpenPromtWall; ZTA остаётся отдельным access layer. Один контур управления. Полный контроль. Без передачи данных наружу.

data

DSPMposture

Защищённость данных. Находит и классифицирует ПДн и платёжные данные, строит граф доступа и использует AI для объяснения рисков.

  • Движок Katya: классификация ИНН, СНИЛС, паспорта РФ, карт
  • PostgreSQL · ClickHouse · S3 · YTsaurus через единый SDK
  • 26 типов рисков, AI-пояснения и готовые SQL-команды
appsec

ASOCorchestration

Безопасность приложений. SAST, SCA, secrets, containers, IaC, DAST и API Security сводятся в один поток находок.

  • 30+ движков: SAST, SCA, DAST, API, secrets, IaC
  • 9 фидов: NVD, EPSS, KEV, OSV, GHSA, БДУ ФСТЭК, CNVD
  • AI triage, EPSS/KEV-приоритизация, Quality Gates, MTTR/SLA
access

ZTAzero trust

Zero Trust-доступ. Проверяет устройство, пользователя и контекст до подключения к ресурсу. Модель доступа в стиле BeyondCorp.

  • 40+ проверок устройства, TPM 2.0 и Secure Enclave
  • Гранулярный доступ к web/SSH/database вместо VPN
  • CEL-политики, PKI и единый журнал решений
ai

AI Securitypromtwall

Защита LLM и AI-приложений. OpenAI-совместимый шлюз, который на лету проверяет вход и выход модели десятками сканеров.

  • 13+ сканеров: prompt injection, PII, токсичность, галлюцинации
  • Маппинг на OWASP LLM Top-10 и MITRE ATLAS
  • MCP-безопасность, NeMo Guardrails, red-teaming

DSPM · защищённость данныхdata posture

Знайте, где лежат чувствительные данные — и кто к ним имеет доступ

DSPM обходит PostgreSQL, ClickHouse, S3 и YTsaurus, классифицирует ПДн и платёжные данные движком Katya и показывает, какие риски доступа закрывать первыми — конкретными SQL-командами.

Движок KatyaГибрид regex + словарей + вероятностной модели. Валидирует ИНН, СНИЛС, паспорт РФ, банковские карты по алгоритму Луна.
Граф доступаПользователь → роль → привилегия → таблица → чувствительные данные. Находит избыточные права, public-доступ и теневые копии.
Risk Engine26 типов рисков, scoring 0–100 и SQL-remediation: готовые REVOKE / ALTER / DROP вместо абстрактных алертов.
4коннектора данных
26типов рисков
12стандартов комплаенс
1.00recall классификации
DSPM · Demo Project скан завершён · 4 коннектора

Каталог данных

1 248 cols · 753 PII
PostgreSQL
core.clients
PIIRESTRICTED
ClickHouse
events.tx_log
PCIPII
S3 / MinIO
backups/2026
RESTRICTED
YTsaurus
//dwh/marts
PUBLIC
КолонкаКатегорияУровеньТочность
clients.innA · ИННRESTRICTED0.98
clients.passportA · Паспорт РФRESTRICTED0.96
tx_log.panB · КартаCONFIDENTIAL0.99
clients.emailA · EmailCONFIDENTIAL0.94
Katya Engine 152-ФЗ ПП-1119 ФСТЭК №21 PCI DSS

ASOC · безопасность приложенийapp security

Десятки сканеров — один управляемый поток находок

ASOC оркеструет SAST, SCA, secrets, containers, IaC, DAST и API Security, дедуплицирует находки и обогащает их фидами уязвимостей. AI triage помогает объяснять риск и выбирать, что чинить первым.

Оркестрация сканеровSemgrep, GoSec, Bandit, Bearer, Trivy, Grype, GitLeaks, ZAP, Nuclei и Burp — в одном конвейере. Дедупликация в 4 фазы по 15+ языкам.
9 фидов уязвимостейNVD, EPSS, KEV (CISA), OSV, GHSA, БДУ ФСТЭК, CNVD, TrivyDB, GrypeDB. Risk score = 40% CVSS + 40% EPSS + 20% KEV.
Quality GatesБлокировка merge по severity, EPSS > 0.9 и KEV-статусу. Check-run в GitHub, MR-комментарии в GitLab, тикеты в Jira.
30+SAST · SCA · DAST
9фидов уязвимостей
5реестров контейнеров
440+REST API endpoints
ASOC · payments-api скан · SAST/SCA/DAST
312
находок
2.4д
MTTR
92%
SLA

Уязвимости

по risk score ↓
CRITICAL
CVE-2024-3094 · xz-utils
EPSS 0.94 · backdoor
KEV
9.8risk
CRITICAL
CVE-2021-44228 · log4j-core
EPSS 0.97 · Log4Shell
KEV
9.6risk
HIGH
DAST · reflected XSS
ZAP active scan · /checkout
7.1risk
HIGH
GitLeaks · AWS key
config/.env.bak
6.8risk
MEDIUM
Semgrep · sql-injection
api/handlers/query.go:142
4.3risk
NVD EPSS KEV OSV БДУ ФСТЭК GHSA

ZTA · zero trust доступaccess control

Доступ к ресурсу — только с доверенного устройства и по политике

ZTA Platform проверяет устройство, пользователя и контекст до подключения к web, SSH и database. Модель доступа в стиле BeyondCorp с хранением ключей в неизвлекаемом виде — TPM 2.0 и Secure Enclave.

Device Trust Engine40+ проверок состояния по трём ОС: шифрование диска, файрвол, обновления, аппаратное доверие через TPM 2.0 и Secure Enclave.
Policy & Decision EngineCEL-правила и пороговая модель вместо жёстких GUI-правил. Решение «можно ли этому устройству сейчас» в реальном времени через Redis.
PKI & Audit LayerX.509 + SSH сертификаты, отзыв доступа, denied-events и единый журнал решений — доказуемый evidence для CISO и аудита.
40+проверок устройства
3ОС: Win · macOS · Linux
3типа ресурсов
0сетевого доверия
ZTA · control plane real-time · verify

Доверие устройства · MacBook-A12

trust 92/100
Шифрование диска (FileVault)on
Аппаратное доверие (Secure Enclave)ok
Файрвол активенon
Обновление ОS (отстаёт на 2 версии)stale

Решения о доступе

live
ALLOW
a.petrov → crm.internal
web · policy: trusted-corp
92trust
ALLOW
devops → bastion ssh
ssh · policy: admin-hw
88trust
DENY
contractor → prod.db
database · device unencrypted
41trust
# CEL policy
allow = device.trust >= 70 &&
  device.disk_encrypted &&
  resource.tier in subject.scopes

AI Security · PromtWallllm protection

Контроль над тем, что входит в модель и что она отдаёт наружу

PromtWall — OpenAI-совместимый шлюз, который на лету прогоняет вход и выход через 13+ сканеров: prompt injection, утечки PII, токсичность, галлюцинации, jailbreak. Drop-in замена OpenAI API без правок кода.

Runtime Guard13+ сканеров вход/выход: prompt injection, jailbreak, PII, секреты, токсичность, галлюцинации. Маппинг на OWASP LLM Top-10 и MITRE ATLAS.
LLM GatewayDrop-in замена OpenAI API. Провайдеры от OpenAI, Anthropic и Gemini до локального Ollama. Per-key лимиты, стриминг, аудит в ClickHouse.
MCP Security & Guardrails6-этапный pipeline контроля инструментов агентов, NeMo Guardrails на Colang, red-teaming через Garak и Giskard.
13+сканеров вход/выход
10провайдеров LLM
10категорий OWASP LLM
6этапов MCP-защиты
PromtWall · support-agent runtime guard · on
1.2k
блокировок
13
детекторов
84ms
latency

Поток детекций

OWASP LLM
BLOCK
Prompt Injection · «ignore all rules»
input · LLM01
0.97score
BLOCK
Jailbreak · DAN-pattern
input · LLM01
0.91score
MASK
PII в ответе · email + телефон
output · LLM02
0.88score
WARN
Галлюцинация · низкая релевантность
output · LLM09
0.73score
OpenAI Anthropic Gemini Ollama NeMo Guardrails

Внутри контураобмен находками

Один контур. Общий контекст.

Платформы не работают изолированно. DSPM отдаёт карту чувствительных данных, ASOC — находки приложений, ZTA — телеметрию доступа, AI Security — сигналы по моделям. Всё стекается в общий контур, коррелируется и возвращается как контекст риска. Обмен целиком внутри периметра — наружу не уходит ничего.

Находки → корреляция → контекст риска. Замкнутый цикл внутри вашего контура.

Без облакаданные · периметр

Данные не покидают периметр.

Никаких обязательных внешних API. Для работы платформы не требуется передавать данные в сторонние сервисы. OpenZTA работает в вашей инфраструктуре — on-prem, в приватном облаке или в изолированном контуре. Резидентность данных гарантирована архитектурой, а не обещанием в договоре.

Как начать из терминала

Периметрв цифрах

Контроль без компромиссов.

100%
self-hosted
4
платформы · 1 стек
0
передач данных наружу
1
контур управления

Миссия

Безопасность нельзя арендовать. Ею нужно владеть.

OpenZTA строится так, чтобы каждая организация могла защищать себя сама — на своём железе, в своём контуре, под своим контролем. Не зависеть. Не арендовать. Владеть.

Консольклиентская утилита

Скачайте openzta для терминала.

Войдите в портал, выберите доступную платформу, скачайте лицензию, релизные артефакты и пакеты ASOC-фидов. CLI проверяет SHA-256 после загрузки.

SHA256SUMS

Стартклиентский CLI

Начните из терминала.

client-host · ~/downloads
$ openzta login --portal https://openzta.com --email user@example.com

После входа выберите платформу и скачайте доступные лицензии, релизы и фиды.