Arquitectura
Cómo aislamos cada URL sospechosa.
Defensa en profundidad: contenedores efímeros, red aislada, RLS por usuario, MFA y cabeceras estrictas. Sin atajos, sin promesas vacías.
Flujo de una sesión
De la URL al cierre limpio, todo lo que pasa en los servidores de Sitesguardian.
El contenedor NO tiene ruta hacia tu LAN ni hacia ninguna red corporativa. El payload se queda dentro y se destruye con el contenedor.
Controles por capa
Capa de contenedor
- Imagen Chromium/Edge/Firefox sin persistencia.
- CPU y memoria limitadas por plan.
- Volumen tmpfs destruido al terminar.
- Reaper automático al expirar el TTL.
Capa de red
- Red Docker dedicada por sesión, sin ruta a LAN corporativa.
- DNS forzado por unbound interno. Sin DNS arbitrario.
- Egress vía mitmproxy (próximamente: inspección TLS y PCAP).
- CA de mitmproxy montada solo dentro del contenedor.
Capa de datos
- RLS por usuario en cada tabla: sólo tus sesiones, eventos, IPs y artefactos.
- Roles en tabla separada (no en el perfil) — sin escaladas por modificar el perfil.
- Bucket de evidencias privado, acceso scoping por carpeta de usuario.
- Auditoría insert-only en `audit_log`.
Capa de identidad
- Verificación de email obligatoria. Sin signups anónimos.
- MFA TOTP opcional con AAL2 forzado en login si lo activas.
- Bloqueo automático tras 5 intentos fallidos / 15 min.
- Cap por IP para evitar multicuenta abusivo.
Capa de transporte
- TLS 1.3 extremo a extremo. WebSocket sobre wss://.
- CSP estricto, HSTS, X-Content-Type-Options, Permissions-Policy.
- frame-ancestors 'none' en el panel.
- Tokens del visor de un solo uso, sin secretos en logs.
Capa de evidencias
- Hash SHA-256 por descarga (próximamente cadena de custodia firmada).
- Telemetría en vivo del orquestador y mitmproxy.
- Borrado de historial soft-delete; admins pueden auditar la acción.
- Export a STIX/MISP en Enterprise (próximamente).