Платформа для побудови захищених інформаційних систем. Розробляється з 2015 року. Експертний висновок Адміністрації Держспецзв'язку з рівнем гарантій Г-3 за НД ТЗІ 2.5-004-99.
Платформа закриває базовий безпековий шар для систем, які проходять регуляторну перевірку, працюють у закритому контурі та потребують контролю доступу не тільки на рівні ролей, а на рівні даних.
Реєстри, кадрові системи, документообіг, шлюзи обміну та інші системи з обмеженим доступом.
Якщо безпека додається після розробки, система часто не проходить експертизу або потребує дорогого перепроєктування.
Гранулярні права, audit trail, криптографічну інтеграцію, on-prem розгортання та підтверджений рівень гарантій Г-3.
Перед впровадженням важливо побачити не список функцій, а набір властивостей, які впливають на експертизу, експлуатацію та підтримку системи.
UnityBaseDefense — full-stack платформа для побудови інформаційних систем, де модель прав доступу складніша, ніж "роль → доступ до модуля". Платформа реалізує авторизацію на рівні застосунку: кожне звернення до даних обчислює права у момент запиту, з урахуванням ролі користувача, контексту, та політик, визначених прикладним рішенням.
Платформа покриває стек від БД до клієнтських застосунків: серверне ядро на Node.js (з критичними частинами на C++), prog-моделі для опису предметної області, генератор форм, конструктор звітів, REST API, кросплатформений тонкий клієнт. Працює з MS SQL Server, Oracle, DB2 паралельно — один прикладний проект переноситься між СУБД без переписування бізнес-логіки, але з конфігураційними та SQL-специфічними адаптаціями.
Платформа не є фреймворком на кшталт Spring чи Django — вона ближча до low-code / model-driven підходів, але з повним доступом до коду на рівні платформних розширень. Бізнес-логіка описується сумішшю декларативних моделей (форми, права, валідації) та імперативного коду (server-side scripts, custom endpoints).
5–10 тис. активних користувачів на один сервер застосувань і 50 000+ користувачів у кластерній інсталяції. До 20 000 прикладних операцій на хвилину на референсному профілі. Цифри отримані на навантажувальному тестуванні з представницькою бізнес-логікою (CRUD-операції з авторизацією, формування звіту, відкриття документа з підписаною історією).
Горизонтальне масштабування серверного шару дає близький до лінійного приріст завдяки stateless-архітектурі. Кластер з 4 серверів застосувань є реалістичним для 30–40 тис. активних користувачів; масштаб 50 000+ проєктується через додавання вузлів і окреме масштабування СУБД, кешів та файлового сховища.
Тонкий клієнт коректно працює на каналах від 64 кбіт/с (відсутня вимога до постійного з'єднання, всі операції модифікації даних є транзакційними, інтерфейс не вантажить великі ресурси). Перевірено у системах з територіальними підрозділами на каналах GSM CSD.
Серверна частина: 2–8 GB RAM на процес, 1–4 процеси на ядро. Дисковий простір ядра — близько 1.5 GB. Розмір прикладної БД залежить від системи; типові кадрові та документообігові БД — від 50 GB до кількох TB.
Платформа має експертний висновок Адміністрації Державної служби спеціального зв'язку та захисту інформації України з рівнем гарантій Г-3 за НД ТЗІ 2.5-004-99.
Рівень Г-3 означає, що платформа пройшла експертизу, у ході якої перевірено: реалізованість заявлених функцій безпеки, відповідність реалізації документації, проектні документи, тестування, аналіз вразливостей, оцінка стійкості функцій безпеки до проникнення.
У міжнародному вимірі рівень Г-3 можна орієнтовно зіставляти з EAL 4 за ISO/IEC 15408 (Common Criteria). Слід зазначити: міжнародний EAL 4 і український Г-3 — це різні системи оцінки, з різними методологіями. Точного односторонньо-визнаного маппінгу між ними не існує. Порівняння є інженерним орієнтиром, а не формальним еквівалентом.
Експертний висновок поширюється на конкретні версії платформи. При суттєвому оновленні платформи висновок продовжується через додаткову експертизу.
Зведена таблиця підтримуваних інтерфейсів. Heat-map оновлюється з кожним релізом.
| Категорія | Підтримка | Деталі |
|---|---|---|
| СУБД | MS SQL Server, Oracle, DB2 | Продакшн |
| СУБД | PostgreSQL | Beta |
| Тонкий клієнт | Windows, Linux, macOS | Продакшн |
| Тонкий клієнт | Android, iOS | Продакшн |
| API | REST (JSON) | Стандарт |
| API | GraphQL | Roadmap |
| MS Office | Word, Excel (генерація / читання) | Продакшн |
| Каталог | LDAP / Active Directory | Продакшн |
| ЕЦП | ДСТУ 4145 (Україна) | Продакшн |
| ЕЦП | SSPI / PKI (міжнародні стандарти) | Продакшн |
| SSO | SAML 2.0, OIDC | Продакшн |
Більшість Zero Trust рішень додаються поверх існуючих застосунків — як периметр (ZTNA), як IAM-шар (Okta, Auth0), як service mesh sidecar (Istio). Це працює, але має обмеження: рішення про доступ обчислюється до того, як запит потрапляє в бізнес-логіку. Якщо бізнес-логіка вимагає урахування контексту даних — IAM-шар не має достатньо інформації для прийняття рішення.
UnityBaseDefense застосовує Zero Trust принципи всередині застосунку. Кожне звернення до запису у БД проходить через прикладну політику. Гранулярність — не модуль, не запис, а поле. Контекст — повний (роль, підрозділ, стан запису, історія доступу).
Never trust, always verify. Жодна сесія не успадковує довіру попередньої. Авторизація обчислюється на кожен запит, з урахуванням ролі, контексту та політики. Stateless-архітектура унеможливлює клієнтське кешування довіри.
Assume breach. Платформа припускає, що будь-яке з'єднання потенційно скомпрометоване. Шифрування каналу обов'язкове. Шифрування даних у БД для чутливих полів — стандартна можливість. Журнал дій ведеться постійно і не залежить від поведінки клієнта.
Least privilege by design. Гранулярна модель прав на рівні полів і записів. Сегрегація обов'язків вбудована у конструктор форм: один користувач створює, інший — затверджує, третій — виконує.
Identity-first authentication. Паралельна підтримка ЕЦП на інтерфейсах SSPI (включно з міжнародними PKI) та ЕЦП за українським ДСТУ 4145. Кожна транзакція може бути підписана. SSO через LDAP / AD.
Детальний опис архітектури з діаграмами — у розділі «Архітектура».
UnityBaseDefense поширюється не як shrink-wrap продукт. Кожне впровадження — це проект, що включає:
Платформа доступна юридичним особам, переважно — державним установам, охоронним компаніям, корпоративним замовникам критичних секторів (банки, енергетика, телеком). Робота — за прямим контрактом з ТОВ «Софтлайн ІТ».
Для попереднього обговорення проекту — контакти команди.