6. Zona Cero – Enclave de exposición pública¶
La seguridad del núcleo se basa en no exponerlo. Pero hay servicios —tienda, blog, ciencia abierta— que necesitan visibilidad pública. La Zona Cero resuelve esta tensión con un entorno externo aislado.
Arquitectura¶
<img src="/assets/logo-accent.svg" style="height:1.2em;vertical-align:text-bottom;" alt=""> **SmallCountry** (núcleo protegido)
│ NetBird VPN (túnel cifrado)
▼
Zona Cero (VPS o hardware externo)
├── Caddy público con Let's Encrypt
├── Servicios públicos (tienda, blog, ciencia abierta)
└── SIN capacidad de iniciar conexiones hacia el núcleo
Principios¶
- Sincronización push unidireccional: solo
SmallCountry inicia conexiones hacia la Zona Cero. Nunca al revés - Separación de credenciales: la Zona Cero no posee tokens ni claves para acceder al núcleo
- Certificados independientes: Let's Encrypt en la Zona Cero, CA interna (autoridad certificadora propia) en el núcleo. Sin relación
- Datos públicos solo: si un atacante compromete el enclave, solo ve lo que ya era público
Qué se sincroniza¶
| Servicio | Frecuencia | Contenido |
|---|---|---|
| Tienda finca | Cada hora | Productos, stock, lotes |
| Blog / Web | Bajo demanda | Artículos nuevos |
| Ciencia abierta | Mensual | Datasets, informes |
Los datos personales, fotos, documentos y notas clínicas NUNCA se sincronizan.
Relaciones con otros mecanismos¶
- Modo de Emergencia: si la Zona Cero es comprometida, se corta la sincronización sin afectar al núcleo
- Contratos de Datos: la sincronización tiene su propio contrato con SLA de frescura
Lo público se sirve desde fuera. Lo privado permanece dentro. Y entre ambos, un puente de un solo sentido.