Два рушії WAF Coraza
Два рушії Coraza — proxy-wasm 0.5.0 і libcoraza FFI — входять в один dataplane-образ і обираються для кожного маршруту.
Ізольований у пісочниці wasm для правил тенанта, багатший FFI-аудит для довірених ops-маршрутів — вас не замикають на єдиному компромісі.
OWASP CRS 4.26
Обидва рушії виконують зафіксований набір правил OWASP Core Rule Set 4.26 для кожного запиту.
Ви отримуєте підтримувану спільнотою базу проти SQLi, XSS і RCE, не пишучи сигнатури вручну.
Каскад PoW → CAPTCHA → Web Bot Auth
Підозрілі клієнти проходять proof-of-work, потім CAPTCHA, потім Web Bot Auth (RFC 9421 / Ed25519).
Поступове ускладнення зупиняє автоматизовані зловживання, пропускаючи справжніх людей і верифікованих ботів — без суцільного блокування.
ML-оцінка сутностей
Оцінка ризику для кожної сутності проходить шлях виявлення → перевірка → блокування, перш ніж узагалі зможе блокувати.
Новий сигнал спершу спостерігає й доводить себе, тож оцінка стає точнішою без хибних блокувань із першого дня.
L3/L4 early-drop на межі
Трафік із підтвердженою зловмисністю відсікається в ядрі через nftables/netdev ще до того, як досягне WAF.
Об'ємні флуди дешево відсікаються на межі, залишаючи конвеєр запитів вільним для легітимного трафіку.
Let''s Encrypt для кожного тенанта
Модуль nginx-acme випускає й оновлює окремий сертифікат Let's Encrypt для домену кожного тенанта.
TLS працює автоматично з першої зміни DNS — без ручних сертифікатів і без спільного радіуса ураження.
Резидентність даних у ЄС
Edge-вузли працюють у ЄС (Hetzner, OVH, Scaleway) із GDPR-нативною резидентністю, налаштовуваним зберіганням і правом на видалення.
Метадані вашого трафіку залишаються в регіоні за архітектурою — а не як надбудова, яку доводиться обходити налаштуваннями.