L'Edge Runner a-t-il besoin d'un accès Internet ?

Pas pour l'exécution principale. Les déploiements on-premise sont conçus pour une connectivité Internet limitée, voire nulle. Les mises à jour suivent vos canaux approuvés.

Les données sensibles peuvent-elles rester dans notre environnement ?

Oui. Les déploiements on-premise sont conçus pour que la planification, l'exécution et les preuves puissent rester entièrement au sein de l'infrastructure gérée par le client.

Pouvons-nous générer des rapports uniquement en local ?

Oui. Les preuves et rapports strictement locaux sont la configuration par défaut pour les déploiements on-premise prudents et air-gapped.

Comment les capsules de test sont-elles approuvées ?

Votre control plane on-premise applique la signature, les contrôles de politique, le versionnage et l'approbation humaine avant que les capsules n'atteignent les runners.

Zof peut-il fonctionner avec notre système PAM ?

Oui. L'exécution s'intègre au PAM pour la fourniture d'identifiants sans persister de secrets en dehors de vos contrôles.

Pouvons-nous déployer Zof on-premise ?

Oui. Cette page décrit notre offre de control plane on-premise, réservée aux entreprises et assortie d'une revue d'architecture.

Pouvons-nous utiliser un cloud privé ?

Oui. Certains clients utilisent un cloud privé pour le control plane et des runners on-premise pour l'exécution ; votre revue d'architecture définira la répartition adéquate.

La remédiation peut-elle exiger une approbation humaine ?

Oui. La remédiation gouvernée exige une approbation explicite avant toute action affectant la production.

Pouvons-nous empêcher les captures d'écran ou caviarder les champs sensibles ?

Oui. Les politiques de caviardage et de capture se configurent par environnement.

Pouvons-nous exécuter des tests sur des applications bureautiques ?

Oui. Les runners prennent en charge la validation bureautique lorsque la politique l'autorise.

Pouvons-nous prendre en charge des environnements air-gapped ?

Oui. L'on-premise est la voie principale pour un fonctionnement air-gapped, y compris l'import manuel de capsules pour les pilotes.

En quoi la tarification diffère-t-elle pour les déploiements on-premise ou en enclave ?

La tarification on-premise est sur mesure et inclut la revue d'architecture, la planification du déploiement, la validation de sécurité et le support entreprise. Contactez le service commercial.

Kubernetes privé

Private Kubernetes Deployment for Autonomous Reliability Infrastructure

Run Zof execution-compatible agents in customer-managed Kubernetes clusters. Control plane and execution plane stay separable; Zof does not claim to install a full Kubernetes platform for you.

Examiner l'architecture de déploiement Voir le hub de déploiement

Clusters gérés par le client

Séparation des plans de contrôle et d'exécution

Modèles d'isolation par namespace

Compatible avec les modèles hybride et en enclave

Pourquoi l'orchestration privée

Pourquoi les entreprises exigent une orchestration privée

De nombreuses équipes standardisent déjà leurs plateformes internes sur Kubernetes. Zof prend en charge le placement de l'exécution dans ces clusters sans vous obliger à abandonner vos investissements existants en orchestration.

-Standards de clusters et pipelines GitOps existants
-Maîtrise des nœuds et du réseau par l'équipe plateforme
-Nécessité de garder les charges de travail sensibles hors d'une exécution SaaS multi-tenant
-Environnements réglementés avec isolation au niveau du namespace

Clusters du client

Exécuter l'infrastructure d'exécution dans des clusters gérés par le client

Les agents d'exécution peuvent être déployés comme charges de travail dans les clusters que vous opérez. La planification et les approbations peuvent s'exécuter dans des plans de contrôle cloud, cloud privé ou sur site selon vos politiques.

-Agents planifiés comme les autres services internes
-Compatible avec le CNI et les moteurs de politiques du client
-Aucun accès entrant requis vers le cluster
-Prend en charge les flottes multi-clusters au fil du temps

Séparation des plans

Séparation du plan de contrôle et du plan d'exécution

Le plan de contrôle héberge les politiques, le contexte du graphe, les approbations et la planification. Le plan d'exécution lance des capsules signées contre les applications du cluster ou des réseaux connectés.

Exécution Kubernetes privée

Agents compatibles avec l'exécution dans des clusters gérés par le client, sans installation complète de la plateforme.

-Frontière claire pour la revue de sécurité
-Les données d'exécution sensibles restent dans les namespaces d'exécution
-Les API du plan de contrôle n'exécutent pas directement les tests contre les applications protégées
-Les répartitions hybrides sont courantes dans les déploiements en entreprise

Agents K8s

Agents d'exécution Kubernetes

Les agents sont conçus pour être compatibles avec le Kubernetes du client, et non pour remplacer votre équipe plateforme. Le dimensionnement, la haute disponibilité et les mises à niveau suivent les standards de votre cluster.

-Déploiement via des manifestes ou opérateurs approuvés par le client
-Limites de ressources et politiques de sécurité des pods respectées
-Identité des exécuteurs et listes d'autorisation des hôtes d'exécution
-Déploiements progressifs par namespace ou par cluster

Frontières

Périmètres d'exécution sécurisés

Les namespaces, politiques réseau et comptes de service isolent l'exécution des charges de travail non liées. Les secrets sont montés au moment de l'exécution, et non stockés dans Zof Cloud.

-RBAC à portée de namespace
-Intégration avec des gestionnaires de secrets externes, lorsqu'ils sont pris en charge
-Alignement optionnel sur le service mesh
-Audit des événements du cycle de vie des agents

Tests internes

Tests d'applications strictement internes

Validez les microservices, API internes et interfaces d'administration accessibles depuis les réseaux du cluster, sans les exposer à l'Internet public.

-Tests de service à service au sein du cluster
-Accès via ingress uniquement lorsque la politique l'autorise
-Association avec des runners en périphérie pour les systèmes hérités hors cluster
-Le ciblage basé sur le graphe réduit le bruit

Isolation

Isolation par namespace

Les équipes associent des unités métier ou des environnements à des namespaces dotés de politiques, de durées de rétention et de modes de preuve distincts.

-Séparation dev / préproduction / production
-Quotas par équipe et plafonds de concurrence
-Référentiels de preuves limités au namespace
-Workflows de promotion entre namespaces

Secrets

Gestion des secrets

Les identifiants sont fournis au moment de l'exécution via le PAM ou des intégrations de secrets de cluster. Par défaut, les secrets de longue durée ne sont pas copiés vers des SaaS externes.

-Jetons de courte durée privilégiés
-Schémas compatibles PAM
-Aucune persistance de secret dans le plan de planification sans approbation
-Rotation alignée sur vos standards

Artefacts

Routage des artefacts

Les artefacts de test et les bundles restent dans un stockage contrôlé par le client, sauf si vous configurez une exfiltration assainie ou limitée aux métadonnées.

Architecture d'exécution hybride

Orchestration cloud avec des flottes d'exécution locales distribuées.

-Volumes compatibles S3, NFS ou intégrés au cluster
-Politiques de rétention par namespace
-Somme de contrôle et signature des bundles
-Promotion optionnelle vers un catalogue de preuves central

Télémétrie

Périmètres de télémétrie

Les métriques et journaux des agents peuvent rester dans les stacks d'observabilité du cluster. Les tableaux de bord centraux peuvent ne recevoir que des synthèses limitées aux métadonnées.

-Schémas compatibles OpenTelemetry, lorsqu'ils sont pris en charge
-Caviardage avant tout export franchissant un périmètre
-Identifiants de corrélation pour l'audit
-Aucune exfiltration intégrale des journaux imposée

Gouvernance

Gouvernance d'entreprise

La signature des capsules, l'approbation humaine et les gates de remédiation s'appliquent uniformément, que l'exécution ait lieu sur des VM, du bare metal ou Kubernetes.

-Version de politique figée pour chaque run
-Chaînes d'approbation pour les chemins de production
-Intégration avec les enregistrements de changement ITSM
-Export pour la GRC et l'audit interne

Schémas hybrides

Schémas d'architecture hybride

L'exécution sur Kubernetes coexiste souvent avec des runners en VPC, des sites en périphérie et des agents sur les terminaux, sous un même control plane.

-Graphe et orchestration de flotte unifiés
-Modèle de capsule cohérent sur toutes les surfaces
-Politiques de preuve par surface
-La revue d'architecture définit l'ordre de déploiement

FAQ

Questions sur le déploiement on-premise

Questions fréquentes des équipes infrastructure et sécurité.

Non. L'exécution s'appuie sur des runners déployés par le client à l'intérieur de votre réseau. Zof ne requiert aucun accès entrant aux segments protégés.

Next step

Discutez d'un déploiement sécurisé avec Zof

Examinez la segmentation, la gouvernance des capsules et le placement des exécuteurs avec des équipes qui accompagnent les entreprises réglementées.

Réserver une présentation de déploiement sécurisé Contacter le service commercial