Customer-controlled execution for every environment
Zof generates governed test intelligence, packages signed capsules, and executes through customer-controlled runners, without requiring protected applications to call external AI services.
Aucun accès entrant requis
Aucun appel de modèle externe depuis les réseaux protégés
Capsules de test immuables et signées
Approbation humaine pour la remédiation encadrée
Une exécution au plus près de votre environnement, une gouvernance dès la conception
Le cloud est une voie possible, pas la seule. Zof est conçu pour les entreprises qui exigent une exécution contrôlée par le client, des réseaux segmentés et des modèles d'exploitation réglementés.
- Plans de contrôle managés dans le cloud et cloud privé dédié
- Exécution dans le VPC/VNet du client avec des schémas de connectivité en sortie uniquement
- Architectures hybrides combinant orchestration en cloud public et exécution locale
- Exécuteurs en périphérie et agents sur les terminaux pour la validation en agence, en usine et sur poste de travail
- Exécution de type enclave avec capsules signées et flux de télémétrie contrôlés en sortie
- Exécution privée compatible Kubernetes dans des clusters gérés par le client
Trois plans. Un seul modèle d'exécution gouverné.
L'intelligence et le contrôle restent là où la politique l'autorise ; l'exécution reste à l'intérieur de votre périmètre. Les données sensibles demeurent dans le plan d'exécution, sauf si vous approuvez leur sortie.
Plan d'intelligence
Intelligence de test gouvernée
La planification, la génération et la priorisation s'exécutent là où la politique le permet : Zof Cloud, cloud privé ou sur site.
- -System Graph et compréhension des workflows
- -Priorisation des risques et génération de tests
- -Assemblage de capsules signées
- -Planification de la remédiation là où elle est autorisée
- -Aucune exécution directe contre les applications protégées depuis un SaaS externe
Plan de contrôle
Approbations et politique
Couche gouvernée par le client pour la signature, la planification, les pistes d'audit et l'acheminement des preuves.
- -Workflows d'approbation humaine
- -Signature cryptographique et application des politiques
- -Gestion des versions et promotion des capsules
- -Accès basé sur les rôles et intégration SSO
- -Enregistrements prêts pour l'audit pour chaque action
Plan d'exécution
Exécution contrôlée par le client
Les tests s'exécutent au sein de votre infrastructure. Les données sensibles y restent, sauf si vous approuvez une sortie.
- -Exécution locale par edge runner
- -Validation navigateur, API et bureau
- -Capture et masquage des preuves en local
- -Sortie facultative assainie ou limitée aux métadonnées
- -Aucun appel à des modèles externes depuis les réseaux protégés à l'exécution
Architecture d'enclave sécurisée
L'intelligence et le contrôle opèrent en dehors du segment protégé ; l'exécution et les preuves restent à l'intérieur grâce à des capsules signées et à des runners contrôlés par le client.
Zone de planification approuvée
Plan d'intelligence
Cloud, cloud privé ou sur site
Plan de contrôle
Capsule de test signée
Frontière de transfert du client
Segment contrôlé par le client
Plan d'exécution
Passerelle d'enclave
Edge Runner
Applications cibles
Stockage local des preuves
Sortie assainie optionnelle
Zone de planification approuvée
Plan d'intelligence
Cloud, cloud privé ou sur site
Plan de contrôle
Capsule de test signée
Frontière de transfert du client
Segment contrôlé par le client
Plan d'exécution
Passerelle d'enclave
Edge Runner
Applications cibles
Stockage local des preuves
Sortie assainie optionnelle
Comparer les modèles de déploiement
Comparez où se déroule la planification, où s'exécutent les tests et comment les preuves peuvent quitter votre périmètre. Les modèles peuvent être combinés dans des topologies hybrides.
| Modèle de déploiement | Où s'exécute la planification IA | Où s'exécute l'exécution | Exigence Internet | Modèle de sortie des données | Cas d'usage idéal | Approche commerciale | Tarification |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Runners gérés par Zof ou par le client | Sortie standard | Configuré par le client | Équipes cloud-native, pilotes à faible friction | Du libre-service à l'entreprise | Paliers publiés + entreprise |
| Zof Private Cloud | Cloud privé dédié | Runners contrôlés par le client | Sortie contrôlée par politique | Priorité au local ; sortie approuvée facultative | Secteurs réglementés, exigences de résidence des données | Vente entreprise | Personnalisée, contactez le service commercial |
| Zof Hybrid Enclave | Cloud ou cloud privé | Passerelle d'enclave + edge runners | Non requise dans le segment protégé | Local uniquement par défaut ; sortie assainie facultative | Banques, assurances, applications internes uniquement | Présentation de déploiement sécurisé | Personnalisée, contactez le service commercial |
| Zof On-Prem Control Plane | Centre de données du client | Runners gérés par le client | Optionnel / air-gapped pris en charge | Local uniquement, en règle générale | Aucun accès Internet, résidence stricte, gouvernance interne | Revue d'architecture requise | Sur mesure, contactez le service commercial |
| Zof Local Edge Runner | Plan de contrôle apparié | Agence, usine, site périphérique | Non requis pour l'exécution | Preuves locales ; synchronisation optionnelle | Sites distribués, réseaux segmentés | Module complémentaire au déploiement entreprise | Sur mesure, contactez le service commercial |
| VPC / VNet du client | Cloud ou cloud privé | Runners dans le VPC du client | Sortant uniquement, en règle générale | Local d'abord ; contrôlé par politique | SaaS entreprise dans votre compte cloud | Revue d'architecture | Sur mesure, contactez le service commercial |
| Exécution Kubernetes privée | Plan de contrôle approuvé par le client | Agents de cluster gérés par le client | Contrôlé par politique | Preuves limitées au namespace | Équipes plateforme disposant d'un parc K8s existant | Revue d'architecture | Sur mesure, contactez le service commercial |
| Agents de point de terminaison | Plan de contrôle apparié | Bureau / VDI / interface héritée | Enregistrement sortant, en règle générale | Capture locale ; assainissement optionnel | ERP, Citrix, applications de bureau internes | Déploiement entreprise | Sur mesure, contactez le service commercial |
Le tarif d'un déploiement sécurisé dépend du modèle, de l'empreinte et de la portée de la mise en œuvre. Voir les tarifs de déploiement entreprise
Plans de contrôle, flux d'approbation et preuves d'audit
La flexibilité de déploiement s'accompagne d'une autonomie gouvernée : approbation humaine, accès au moindre privilège et acheminement des preuves que vous définissez.
Workflow d'approbation des remédiations
Un parcours encadré, de la détection au correctif vérifié.
- Accès basé sur les rôles, SSO et séparation des tâches pour la promotion des capsules
- Approbation humaine avant toute remédiation gouvernée dans les chemins de production
- Modes de preuve configurables : local uniquement, expurgé ou métadonnées uniquement
- Pistes d'audit pour la planification, l'exécution, les approbations et les actions d'administration
Explorer les options de déploiement
Enclave sécurisée
Capsules signées, passerelle d'enclave et runners de périphérie locaux pour les réseaux segmentés et restreints.
Cloud privé
Un environnement Zof dédié dans une région approuvée par le client, avec une isolation renforcée et des contrôles de résidence des données.
Cloud hybride
Combinez l'orchestration en cloud ou cloud privé avec une exécution en VPC, en périphérie et sur les terminaux, au sein d'un seul modèle gouverné.
Kubernetes privé
Exécutez des agents compatibles avec l'exécution dans des clusters gérés par le client, avec des plans de contrôle et d'exécution séparés.
Plan de contrôle sur site
Une infrastructure gérée par le client pour des exigences strictes de résidence, d'isolement total ou de connectivité limitée.
Runner de périphérie local
Une validation distribuée sur les sites d'agences, d'usines ou de périphérie, sans exposer les systèmes locaux à Internet.
Enclave sécurisée pour la banque
Une validation gouvernée des workflows bancaires centraux, via une exécution contrôlée par le client et des preuves prêtes pour l'audit.
Environnements réglementés
Des modèles pour la segmentation dans la santé, les services financiers et le secteur public, sans surenchérir sur les certifications.
Comment les entreprises réglementées déploient Zof
Modèles sectoriels anonymisés illustrant les approches de déploiement dans des environnements similaires. Il ne s'agit ni de recommandations ni d'identifications de clients.
This representative scenario is an anonymized industry model used to explain how Zof AI can be deployed in similar enterprise environments. It does not identify or imply a specific customer relationship.
Environnement de conseil réglementé
Les données clients et les systèmes de conseil internes ne peuvent pas être exposés à une exécution en SaaS public.
- Contraintes d'infrastructure
- Résidence stricte, aucun appel d'IA externe non géré depuis les réseaux de conseil.
- Segmentation réseau
- VLAN distincts pour les applications client, les outils de recherche et les systèmes d'administration.
- Architecture de déploiement
- Plan de contrôle en cloud privé avec passerelle d'enclave et exécuteurs locaux.
- Exécution sur terminaux / en périphérie
- Des exécuteurs en périphérie valident les portails internes ; des agents sur les terminaux gèrent les workflows sur poste de travail.
- Contrôles de gouvernance
- Signature des capsules, double approbation pour la remédiation en production, export d'audit complet.
- Limites de la télémétrie
- Sortie de métadonnées uniquement vers les tableaux de bord centraux ; les preuves brutes restent en local.
- Gouvernance de la remédiation
- Corrections par PR avec autorisation humaine ; aucune modification silencieuse en production.
Environnement de traitement des paiements
Les environnements de données de titulaires de carte exigent une exécution segmentée et des flux de sortie contrôlés.
- Contraintes d'infrastructure
- Segmentation conforme PCI ; placement des exécuteurs au moindre privilège.
- Segmentation réseau
- Segments isolés du CDE avec passerelles dédiées par zone.
- Architecture de déploiement
- Hybride : planification dans le cloud en région approuvée, exécution dans le VPC du client.
- Exécution sur terminaux / en périphérie
- Agents compatibles Kubernetes dans les clusters du client ; validation des API dans le VPC.
- Contrôles de gouvernance
- Identifiants gérés via PAM, exécuteurs signés, intégration au contrôle des changements.
- Limites de la télémétrie
- Sortie expurgée avec masquage des champs ; rétention selon le programme de conformité.
- Gouvernance de la remédiation
- Remédiation d'abord en préproduction, avec suites de vérification avant promotion.
Environnement d'exploitation industrielle
Les systèmes d'atelier et MES nécessitent une validation locale sans exposition à Internet.
- Contraintes d'infrastructure
- Frontières OT/IT, connectivité intermittente, contrôles sensibles à la latence.
- Segmentation réseau
- Réseaux d'usine isolés des plans de contrôle en cloud de l'entreprise.
- Architecture de déploiement
- Orchestration centralisée avec un parc d'exécuteurs en périphérie distribué par site.
- Exécution sur terminaux / en périphérie
- Exécuteurs en périphérie sur les sites ; synchronisation optionnelle en sortie uniquement pour les mises à jour de capsules.
- Contrôles de gouvernance
- Politiques au niveau du site, inventaire du parc et lots de preuves locaux.
- Limites de la télémétrie
- Reporting local uniquement par défaut ; métadonnées de santé agrégées en option.
- Gouvernance de la remédiation
- Approbation humaine pour les changements affectant les lignes de production.
Environnement d'identité et de confiance
Les plateformes d'identité exigent des tests à haut niveau d'assurance au sein des frontières de confiance.
- Contraintes d'infrastructure
- Les secrets et les jetons ne doivent pas quitter le plan d'exécution sans être expurgés.
- Segmentation réseau
- DMZ, maillage de services internes et outils d'administration sur des chemins distincts.
- Architecture de déploiement
- Exécution dans le VPC du client avec des schémas d'enclave sécurisée pour les flux privilégiés.
- Exécution sur terminaux / en périphérie
- Validation des API et des navigateurs dans le VPC ; agents sur les terminaux pour les consoles d'administration.
- Contrôles de gouvernance
- Identifiants à durée de vie courte, listes d'autorisation d'exécution, audit continu.
- Limites de la télémétrie
- Expurgation des preuves avant tout transfert inter-zones.
- Gouvernance de la remédiation
- Remédiation gouvernée avec vérification du rollback en préproduction.
Environnement d'intégration de systèmes d'entreprise
Les programmes d'intégration connectent ERP, CRM et middleware sur mesure à travers des parcs hybrides.
- Contraintes d'infrastructure
- Clients multi-régions, terminaux mêlant cloud et on-premise.
- Segmentation réseau
- Frontières réseau par locataire ou par projet pour les charges de travail de validation.
- Architecture de déploiement
- Fiabilité en cloud hybride : plan de contrôle en cloud + exécuteurs en VPC et on-premise.
- Exécution sur terminaux / en périphérie
- Parcs de tests distribués ciblés via l'analyse d'impact des changements de System Graph.
- Contrôles de gouvernance
- Politiques limitées au projet et acheminement des preuves par mission.
- Limites de la télémétrie
- Configurable par environnement ; analyses centralisées là où c'est approuvé.
- Gouvernance de la remédiation
- Flux d'approbation alignés sur les processus CAB du client.
Environnement d'administration de la santé
Les systèmes administratifs traitant des données de santé (PHI) exigent une exécution tenant compte de la résidence.
- Contraintes d'infrastructure
- Traitement conforme HIPAA ; minimiser les déplacements de données hors des frontières.
- Segmentation réseau
- Séparation des réseaux clinique et administratif.
- Architecture de déploiement
- Plan de contrôle en cloud privé ou on-premise avec des travailleurs d'exécution locaux.
- Exécution sur terminaux / en périphérie
- Tests d'applications internes uniquement ; agents de bureau pour les anciennes interfaces d'administration.
- Contrôles de gouvernance
- Politiques de rétention, revues d'accès et exports d'audit prêts en cas de violation.
- Limites de la télémétrie
- Preuves en local d'abord ; résumés de métadonnées pour les tableaux de bord de l'entreprise.
- Gouvernance de la remédiation
- Intervention humaine dans la boucle pour les changements touchant aux workflows liés aux PHI.
Environnement d'opérations de sécurité
Les outils de sécurité et les workflows proches du SOAR exigent une validation isolée.
- Contraintes d'infrastructure
- Journaux et configurations à haute sensibilité ; aucun accès entrant aux segments du SOC.
- Segmentation réseau
- VLAN du SOC, intégrations d'outils et miroirs de préproduction de la production.
- Architecture de déploiement
- Exécution de type enclave avec paquets signés et sortie restreinte.
- Exécution sur terminaux / en périphérie
- Exécuteurs dans le segment du SOC ; validation des API pour les intégrations et les playbooks.
- Contrôles de gouvernance
- Capsules immuables, chaînes d'approbation, intégration aux outils GRC.
- Limites de la télémétrie
- Sortie de télémétrie contrôlée avec expurgation des preuves.
- Gouvernance de la remédiation
- Workflows de correction vérifiés avec contrôles de validation par la sécurité.
Ce scénario représentatif est un modèle sectoriel anonymisé servant à expliquer les approches de déploiement dans des environnements d'entreprise similaires. Il n'identifie aucun client en particulier.
Topologies de déploiement en entreprise
Schémas représentatifs des scénarios d'évaluation les plus courants côté acheteur. Votre revue d'architecture définira l'emplacement exact de chaque plan.
Architecture gérée dans le cloud
Plan de contrôle géré par Zof avec placement d'exécution configurable.
Exécution dans le VPC du client
Planification dans un cloud approuvé ; exécution à l'intérieur du périmètre de votre VPC.
Architecture d'exécution hybride
Orchestration cloud avec des flottes d'exécution locales distribuées.
Topologie de l'edge runner
Exécution locale avec orchestration centralisée.
Topologie de l'agent de point de terminaison
Validation des applications de bureau et héritées via des agents déployés par le client.
Exécution en enclave sécurisée
Exécution segmentée avec transfert de capsule signée.
Exécution Kubernetes privée
Agents compatibles avec l'exécution dans des clusters gérés par le client, sans installation complète de la plateforme.
Flottes de test distribuées
Plusieurs flottes orchestrées depuis un plan de contrôle central.
Workflow d'approbation des remédiations
Un parcours encadré, de la détection au correctif vérifié.
Flux de télémétrie
De la capture par l'exécuteur à une sortie contrôlée optionnelle.
Routage des preuves
Comment les artefacts de validation peuvent quitter la frontière d'exécution.
Planifiez votre déploiement avec Zof
Passez en revue l'architecture, les contrôles de preuves et un parcours de pilote prudent avec nos spécialistes du déploiement.
Poursuivez votre exploration
Architecture, solutions sectorielles, tarification et ressources de revue de sécurité.
Secure Enclave
Signed capsules and customer-controlled runners for restricted networks
Banking Secure Enclave
Governed validation for core banking workflows
Enterprise Deployment Pricing
Private cloud, on-prem, enclave, and edge pricing
Security Review Checklist
Procurement-ready deployment review checklist
