Customer-controlled execution for every environment
Zof generates governed test intelligence, packages signed capsules, and executes through customer-controlled runners, without requiring protected applications to call external AI services.
Kein eingehender Zugriff erforderlich
Keine externen Modellaufrufe aus geschützten Netzwerken
Signierte, unveränderliche Test-Capsules
Menschliche Freigabe für geregelte Remediationen
Ausführung nahe an Ihrer Umgebung, Governance by Design
Die Cloud ist ein Weg, nicht der einzige. Zof ist für Unternehmen konzipiert, die kundenkontrollierte Ausführung, segmentierte Netzwerke und regulierte Betriebsmodelle benötigen.
- Cloud-verwaltete und dedizierte Private-Cloud-Steuerungsebenen
- Ausführung in der Kunden-VPC/-VNet mit Konnektivitätsmustern ausschließlich für ausgehenden Verkehr
- Hybride Architekturen, die Public-Cloud-Orchestrierung mit lokaler Ausführung verbinden
- Edge-Runner und Endpunkt-Agenten für die Validierung in Filiale, Werk und am Desktop
- Enklaven-artige Ausführung mit signierten Kapseln und kontrolliertem Telemetrie-Abfluss
- Private, Kubernetes-kompatible Ausführung in kundenseitig verwalteten Clustern
Drei Ebenen. Ein gesteuertes Ausführungsmodell.
Intelligenz und Steuerung verbleiben dort, wo es Ihre Richtlinien erlauben; die Ausführung bleibt innerhalb Ihrer Grenze. Sensible Daten verbleiben in der Ausführungsebene, sofern Sie den Datenabfluss nicht freigeben.
Intelligence Plane
Gesteuerte Test-Intelligence
Planung, Generierung und Priorisierung laufen dort, wo die Policy es erlaubt, Zof Cloud, Private Cloud oder On-Prem.
- -System Graph und Workflow-Verständnis
- -Risikopriorisierung und Testgenerierung
- -Zusammenstellung signierter Capsules
- -Remediation-Planung, wo zulässig
- -Keine direkte Ausführung gegen geschützte Anwendungen aus externer SaaS
Control Plane
Freigaben und Policy
Kundengesteuerte Ebene für Signierung, Scheduling, Audit-Trails und Evidence-Routing.
- -Workflows für menschliche Freigaben
- -Kryptografische Signierung und Policy-Durchsetzung
- -Capsule-Versionierung und -Promotion
- -Rollenbasierter Zugriff und SSO-Integration
- -Audit-fähige Aufzeichnungen für jede Aktion
Execution Plane
Kundengesteuerte Ausführung
Tests laufen innerhalb Ihrer Infrastruktur. Sensible Daten bleiben intern, sofern Sie keinen Egress freigeben.
- -Lokale Edge-Runner-Ausführung
- -Browser-, API- und Desktop-Validierung
- -Lokale Nachweiserfassung und Schwärzung
- -Optionaler bereinigter oder rein metadatenbasierter Egress
- -Keine externen Modellaufrufe aus geschützten Netzwerken zur Laufzeit
Architektur der Secure Enclave
Intelligence und Steuerung arbeiten außerhalb des geschützten Segments; Ausführung und Nachweise verbleiben über signierte Capsules und kundengesteuerte Runner im Inneren.
Genehmigte Planungszone
Intelligence Plane
Cloud, Private Cloud oder On-Prem
Control Plane
Signierte Test-Capsule
Übergabegrenze des Kunden
Kundengesteuertes Segment
Execution Plane
Enclave-Gateway
Edge Runner
Zielanwendungen
Lokaler Nachweisspeicher
Optionaler bereinigter Egress
Genehmigte Planungszone
Intelligence Plane
Cloud, Private Cloud oder On-Prem
Control Plane
Signierte Test-Capsule
Übergabegrenze des Kunden
Kundengesteuertes Segment
Execution Plane
Enclave-Gateway
Edge Runner
Zielanwendungen
Lokaler Nachweisspeicher
Optionaler bereinigter Egress
Bereitstellungsmodelle vergleichen
Vergleichen Sie, wo die Planung läuft, wo Tests ausgeführt werden und wie Nachweise Ihre Grenze verlassen dürfen. Modelle lassen sich in hybriden Topologien kombinieren.
| Deployment-Modell | Wo die KI-Planung läuft | Wo die Ausführung läuft | Internetanforderung | Daten-Egress-Modell | Idealer Anwendungsfall | Sales Motion | Preisgestaltung |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Zof-verwaltete oder kundeneigene Runner | Standardmäßig ausgehend | Kundenkonfiguriert | Cloud-native Teams, reibungsarme Pilotprojekte | Self-Service bis Enterprise | Veröffentlichte Tarife + Enterprise |
| Zof Private Cloud | Dedizierte Private Cloud | Kundengesteuerte Runner | Richtliniengesteuerter ausgehender Datenverkehr | Local-First; optionaler genehmigter Egress | Regulierte Branchen, Anforderungen an die Datenresidenz | Enterprise-Vertrieb | Individuell, Vertrieb kontaktieren |
| Zof Hybrid Enclave | Cloud oder Private Cloud | Enclave-Gateway + Edge-Runner | Im geschützten Segment nicht erforderlich | Standardmäßig nur lokal; optional bereinigt | Banken, Versicherungen, rein interne Anwendungen | Briefing zur sicheren Bereitstellung | Individuell, Vertrieb kontaktieren |
| Zof On-Prem Control Plane | Rechenzentrum des Kunden | Vom Kunden verwaltete Runner | Optional / Air-Gapped unterstützt | Typischerweise nur lokal | Kein Internet, strenge Datenresidenz, interne Governance | Architektur-Review erforderlich | Individuell, Vertrieb kontaktieren |
| Zof Local Edge Runner | Gekoppelte Control Plane | Filiale, Werk, Edge-Standort | Für die Ausführung nicht erforderlich | Lokale Nachweise; optionale Synchronisierung | Verteilte Standorte, segmentierte Netzwerke | Add-on zur Enterprise-Bereitstellung | Individuell, Vertrieb kontaktieren |
| Kunden-VPC / -VNet | Cloud oder Private Cloud | Runner in der Kunden-VPC | Typischerweise nur ausgehend | Local-First; richtliniengesteuert | Enterprise-SaaS in Ihrem eigenen Cloud-Konto | Architektur-Review | Individuell, Vertrieb kontaktieren |
| Ausführung in privatem Kubernetes | Vom Kunden genehmigte Control Plane | Vom Kunden verwaltete Cluster-Agenten | Richtliniengesteuert | Auf Namespace begrenzte Nachweise | Plattformteams mit bestehenden K8s-Landschaften | Architektur-Review | Individuell, Vertrieb kontaktieren |
| Endpoint-Agenten | Gekoppelte Control Plane | Desktop / VDI / Legacy-UI | Typischerweise ausgehende Registrierung | Lokale Erfassung; optional bereinigt | ERP, Citrix, interne Desktop-Anwendungen | Enterprise-Bereitstellung | Individuell, Vertrieb kontaktieren |
Die Preise für sichere Bereitstellungen hängen vom Modell, der Größenordnung und dem Implementierungsumfang ab. Preise für Enterprise-Bereitstellungen ansehen
Steuerungsebenen, Freigabe-Workflows und Audit-Nachweise
Flexible Bereitstellung gepaart mit gesteuerter Autonomie: menschliche Freigabe, Zugriff nach dem Least-Privilege-Prinzip und von Ihnen definiertes Routing der Nachweise.
Workflow zur Freigabe von Remediationen
Geregelter Pfad von der Erkennung bis zur verifizierten Behebung.
- Rollenbasierter Zugriff, SSO und Aufgabentrennung bei der Kapsel-Promotion
- Menschliche Freigabe vor gesteuerter Behebung in Produktionspfaden
- Konfigurierbare Nachweismodi: nur lokal, bereinigt oder ausschließlich Metadaten
- Audit-Trails für Planung, Ausführung, Freigaben und administrative Aktionen
Bereitstellungsoptionen erkunden
Sichere Enklave
Signierte Kapseln, Enklaven-Gateway und lokale Edge-Runner für segmentierte und eingeschränkte Netzwerke.
Private Cloud
Dedizierte Zof-Umgebung in einer vom Kunden freigegebenen Region mit stärkerer Isolation und Kontrollen zur Datenresidenz.
Hybrid-Cloud
Kombinieren Sie die Orchestrierung in der Cloud oder Private Cloud mit Ausführung in VPC, am Edge und am Endpunkt in einem einheitlich gesteuerten Modell.
Private Kubernetes
Betreiben Sie ausführungskompatible Agenten in kundenseitig verwalteten Clustern mit getrennter Steuerungs- und Ausführungsebene.
On-Premises-Steuerungsebene
Kundenseitig verwaltete Infrastruktur für strenge Anforderungen an Datenresidenz, Air-Gap oder eingeschränkte Konnektivität.
Lokaler Edge-Runner
Verteilte Validierung an Filial-, Werks- oder Edge-Standorten, ohne lokale Systeme dem Internet auszusetzen.
Sichere Enklave für das Bankwesen
Gesteuerte Validierung für zentrale Banking-Workflows durch kundenkontrollierte Ausführung und auditbereite Nachweise.
Regulierte Umgebungen
Muster für die Segmentierung im Gesundheitswesen, bei Finanzdienstleistern und im öffentlichen Sektor, ohne Zertifizierungen zu übertreiben.
Wie regulierte Unternehmen Zof bereitstellen
Anonymisierte Branchenmodelle, die Bereitstellungsansätze in vergleichbaren Umgebungen veranschaulichen. Keine Empfehlungen oder Kundenidentifikationen.
This representative scenario is an anonymized industry model used to explain how Zof AI can be deployed in similar enterprise environments. It does not identify or imply a specific customer relationship.
Regulierte Beratungsumgebung
Kundendaten und interne Beratungssysteme dürfen nicht der Ausführung in öffentlichen SaaS-Umgebungen ausgesetzt werden.
- Infrastruktureinschränkungen
- Strenge Datenresidenz, keine unkontrollierten externen KI-Aufrufe aus Beratungsnetzwerken.
- Netzwerksegmentierung
- Getrennte VLANs für kundenseitige Anwendungen, Recherchetools und Administrationssysteme.
- Bereitstellungsarchitektur
- Private-Cloud-Steuerungsebene mit Enklaven-Gateway und lokalen Runnern.
- Ausführung am Endpunkt / Edge
- Edge-Runner validieren interne Portale; Endpunkt-Agenten für Desktop-Workflows.
- Governance-Kontrollen
- Kapselsignierung, Vier-Augen-Freigabe für Behebungen in der Produktion, vollständiger Audit-Export.
- Telemetrie-Grenzen
- Abfluss ausschließlich von Metadaten an zentrale Dashboards; Rohnachweise bleiben lokal.
- Governance der Behebung
- PR-basierte Korrekturen mit menschlicher Autorisierung; keine stillen Produktionsänderungen.
Umgebung für Zahlungsverarbeitung
Umgebungen mit Karteninhaberdaten erfordern segmentierte Ausführung und kontrollierten Datenabfluss.
- Infrastruktureinschränkungen
- PCI-konforme Segmentierung; Runner-Platzierung nach dem Least-Privilege-Prinzip.
- Netzwerksegmentierung
- CDE-isolierte Segmente mit dedizierten Gateways pro Zone.
- Bereitstellungsarchitektur
- Hybrid: Cloud-Planung in freigegebener Region, Ausführung in der Kunden-VPC.
- Ausführung am Endpunkt / Edge
- Kubernetes-kompatible Agenten in Kunden-Clustern; API-Validierung in der VPC.
- Governance-Kontrollen
- PAM-vermittelte Zugangsdaten, signierte Runner, Integration in die Änderungssteuerung.
- Telemetrie-Grenzen
- Bereinigter Datenabfluss mit Feldmaskierung; Aufbewahrung gemäß Compliance-Programm.
- Governance der Behebung
- Staging-First-Behebung mit Verifizierungssuiten vor der Promotion.
Umgebung für Fertigungsbetrieb
Systeme auf der Fertigungsebene und MES benötigen lokale Validierung ohne Internetexposition.
- Infrastruktureinschränkungen
- OT/IT-Grenzen, zeitweise Konnektivität, latenzsensible Prüfungen.
- Netzwerksegmentierung
- Werksnetzwerke isoliert von den Cloud-Steuerungsebenen des Unternehmens.
- Bereitstellungsarchitektur
- Zentrale Orchestrierung mit einer verteilten Edge-Runner-Flotte pro Standort.
- Ausführung am Endpunkt / Edge
- Edge-Runner in den Werken; optionale Synchronisation ausschließlich für ausgehenden Verkehr zur Aktualisierung von Kapseln.
- Governance-Kontrollen
- Richtlinien auf Standortebene, Flotteninventar und lokale Nachweispakete.
- Telemetrie-Grenzen
- Standardmäßig Berichterstattung nur lokal; optional aggregierte Zustands-Metadaten.
- Governance der Behebung
- Menschliche Freigabe für Änderungen, die Produktionslinien betreffen.
Umgebung für Identität und Vertrauen
Identitätsplattformen erfordern hochsichere Tests innerhalb von Vertrauensgrenzen.
- Infrastruktureinschränkungen
- Geheimnisse und Token dürfen die Ausführungsebene nicht unredigiert verlassen.
- Netzwerksegmentierung
- DMZ, internes Service-Mesh und Administrationswerkzeuge auf getrennten Pfaden.
- Bereitstellungsarchitektur
- Ausführung in der Kunden-VPC mit Mustern für sichere Enklaven bei privilegierten Abläufen.
- Ausführung am Endpunkt / Edge
- API- und Browser-Validierung in der VPC; Endpunkt-Agenten für Admin-Konsolen.
- Governance-Kontrollen
- Kurzlebige Zugangsdaten, Ausführungs-Allowlists, kontinuierliche Auditierung.
- Telemetrie-Grenzen
- Bereinigung der Nachweise vor jeder zonenübergreifenden Übertragung.
- Governance der Behebung
- Gesteuerte Behebung mit Rollback-Verifizierung im Staging.
Umgebung für die Integration von Unternehmenssystemen
SI-Programme verbinden ERP, CRM und individuelle Middleware über hybride Landschaften hinweg.
- Infrastruktureinschränkungen
- Multi-Region-Kunden, gemischte Cloud- und On-Premises-Endpunkte.
- Netzwerksegmentierung
- Netzwerkgrenzen pro Mandant oder pro Projekt für Validierungs-Workloads.
- Bereitstellungsarchitektur
- Hybrid-Cloud-Zuverlässigkeit: Cloud-Steuerungsebene + VPC- und On-Premises-Runner.
- Ausführung am Endpunkt / Edge
- Verteilte Testflotten, gezielt eingesetzt über die Änderungswirkung im System Graph.
- Governance-Kontrollen
- Projektbezogene Richtlinien und Nachweis-Routing pro Engagement.
- Telemetrie-Grenzen
- Pro Umgebung konfigurierbar; zentrale Analyse, wo freigegeben.
- Governance der Behebung
- Freigabe-Workflows abgestimmt auf die CAB-Prozesse des Kunden.
Umgebung für die Verwaltung im Gesundheitswesen
Verwaltungssysteme, die PHI verarbeiten, erfordern eine residenzbewusste Ausführung.
- Infrastruktureinschränkungen
- HIPAA-konforme Verarbeitung; Datenbewegung außerhalb der Grenze minimieren.
- Netzwerksegmentierung
- Trennung von klinischen und administrativen Netzwerken.
- Bereitstellungsarchitektur
- Private-Cloud- oder On-Premises-Steuerungsebene mit lokalen Ausführungs-Workern.
- Ausführung am Endpunkt / Edge
- Ausschließlich interne Anwendungstests; Desktop-Agenten für Legacy-Admin-Oberflächen.
- Governance-Kontrollen
- Aufbewahrungsrichtlinien, Zugriffsprüfungen und auf Datenschutzverletzungen vorbereitete Audit-Exporte.
- Telemetrie-Grenzen
- Nachweise zuerst lokal; Metadaten-Zusammenfassungen für Enterprise-Dashboards.
- Governance der Behebung
- Human-in-the-Loop bei Änderungen, die PHI-Workflows betreffen.
Umgebung für den Sicherheitsbetrieb
Sicherheitstools und SOAR-nahe Workflows erfordern isolierte Validierung.
- Infrastruktureinschränkungen
- Hochsensible Logs und Konfigurationen; kein eingehender Zugriff auf SOC-Segmente.
- Netzwerksegmentierung
- SOC-VLAN, Tool-Integrationen und Staging-Spiegel der Produktion.
- Bereitstellungsarchitektur
- Enklaven-artige Ausführung mit signierten Paketen und eingeschränktem ausgehendem Verkehr.
- Ausführung am Endpunkt / Edge
- Runner im SOC-Segment; API-Validierung für Integrationen und Playbooks.
- Governance-Kontrollen
- Unveränderliche Kapseln, Freigabeketten, Integration in GRC-Tools.
- Telemetrie-Grenzen
- Kontrollierter Telemetrie-Abfluss mit Bereinigung der Nachweise.
- Governance der Behebung
- Verifizierte Korrektur-Workflows mit Sicherheitsfreigabe-Gates.
Dieses repräsentative Szenario ist ein anonymisiertes Branchenmodell, das Bereitstellungsansätze in vergleichbaren Unternehmensumgebungen erläutert. Es identifiziert keinen bestimmten Kunden.
Enterprise-Bereitstellungstopologien
Repräsentative Diagramme für typische Prüfszenarien von Einkäufern. Ihre Architekturprüfung legt die genaue Platzierung jeder Ebene fest.
Cloud-verwaltete Architektur
Von Zof verwaltete Control Plane mit konfigurierbarer Platzierung der Ausführung.
Ausführung in der Kunden-VPC
Planung in genehmigter Cloud; Ausführung innerhalb Ihrer VPC-Grenze.
Hybride Ausführungsarchitektur
Cloud-Orchestrierung mit verteilten lokalen Ausführungs-Flotten.
Edge-Runner-Topologie
Lokale Ausführung mit zentralisierter Orchestrierung.
Endpoint-Agent-Topologie
Validierung von Desktop- und Legacy-Anwendungen über kundenseitig bereitgestellte Agents.
Ausführung in der Secure Enclave
Segmentierte Ausführung mit signiertem Capsule-Transfer.
Ausführung in privatem Kubernetes
Ausführungskompatible Agents in kundenverwalteten Clustern, keine vollständige Plattforminstallation.
Verteilte Testing-Flotten
Mehrere Flotten, orchestriert von einer zentralen Control Plane.
Workflow zur Freigabe von Remediationen
Geregelter Pfad von der Erkennung bis zur verifizierten Behebung.
Telemetrie-Fluss
Erfassung durch den Runner bis hin zum optionalen, kontrollierten Egress.
Nachweis-Routing
Wie Validierungsartefakte die Ausführungsgrenze verlassen können.
Planen Sie Ihr Deployment mit Zof
Gehen Sie gemeinsam mit unseren Deployment-Spezialisten die Architektur, Nachweiskontrollen und einen konservativen Pilotpfad durch.
Weiter erkunden
Architektur, Branchenlösungen, Preise und Ressourcen zur Sicherheitsprüfung.
Secure Enclave
Signed capsules and customer-controlled runners for restricted networks
Banking Secure Enclave
Governed validation for core banking workflows
Enterprise Deployment Pricing
Private cloud, on-prem, enclave, and edge pricing
Security Review Checklist
Procurement-ready deployment review checklist
