Seguridad

DuneStack fue diseñado para infraestructura hospitalaria donde la seguridad y compliance son obligatorios, no opcionales. Encriptación, autenticación y auditoría están activados por defecto.

mTLS entre servicios

Toda comunicación entre componentes del cluster usa mutual TLS. Los certificados se generan automáticamente al crear el cluster y se rotan cada 24 horas.

RBAC con Bene Gesserit

Bene Gesserit provee autenticación OAuth2/OIDC centralizada para todos los servicios. Los roles se definen por tenant y se propagan automáticamente.

# Crear un rol
dune auth roles create --name operator --permissions "cluster:read,nodes:read,services:deploy"

# Asignar rol a usuario
dune auth users assign-role --user ops@hospital --role operator

# Verificar permisos
dune auth check --user ops@hospital --action services:deploy
# ✦ Allowed (via role: operator)

Audit log

Todas las acciones administrativas se registran en un audit log inmutable almacenado en Sietch. Compatible con requisitos HIPAA de auditoría.

dune audit list --last 24h
# TIMESTAMP            USER              ACTION              RESOURCE
# 2026-03-23 14:30:00  admin@hospital    deploy              patient-api v2.1
# 2026-03-23 14:25:00  admin@hospital    scale               patient-api 2→3
# 2026-03-23 12:00:00  system            cert-rotate          cluster-mtls

Compliance HIPAA

• ✦Encriptación en tránsito (WireGuard + mTLS)
• ✦Encriptación en reposo (configurable por volumen)
• ✦Audit log inmutable de todas las acciones
• ✦RBAC con principio de menor privilegio
• ✦MFA obligatorio para acceso administrativo
• ✦Datos procesados localmente — nunca salen del cluster