Autonomous reliability for restricted environments.
Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.
Aucun accès entrant requis
Aucun appel de modèle externe depuis les réseaux protégés
Capsules de test signées et immuables
Exécution contrôlée par le client avec pistes d'audit
Pourquoi les environnements sécurisés exigent un modèle différent
Les réseaux restreints n'ont pas été conçus pour des outils nécessitant un accès entrant, des appels de modèles non gérés ou une automatisation non gouvernée.
- -Aucun accès Internet direct aux applications protégées
- -Segmentation réseau et frontières de confiance zéro
- -Gestion des accès privilégiés et contrôle des changements
- -Règles de prévention des pertes de données et de traitement des preuves
- -Pistes d'audit pour chaque étape de validation et de remédiation
- -Aucun appel d'IA externe non géré depuis l'intérieur de l'enclave
Le modèle d'enclave sécurisée de Zof
L'intelligence et le contrôle opèrent là où la politique l'autorise ; l'exécution reste à l'intérieur du périmètre du client, derrière une passerelle de transfert.
Plan d'intelligence
Intelligence de test gouvernée
S'exécute dans Zof Cloud, en cloud privé ou on-premise, là où votre politique autorise la planification et la génération.
- -Analyse des exigences et des workflows
- -Modélisation de System Graph et priorisation des risques
- -Génération des tests et assemblage des capsules
- -Planification de la remédiation lorsque la politique l'autorise
- -Aucune exécution de tests contre les applications protégées depuis ce plan
Plan de contrôle
Approbations gouvernées par le client
Vos politiques, signatures et pistes d'audit régissent ce qui peut s'exécuter dans les environnements protégés.
- -Approbation humaine et contrôles basés sur les rôles
- -Signature cryptographique et contrôles de conformité aux politiques
- -Gestion des versions et promotion des capsules
- -Planification et acheminement des preuves
- -Piste d'audit complète pour chaque action
Plan d'exécution
À l'intérieur de votre périmètre
S'exécute entièrement au sein d'une infrastructure contrôlée par le client. Les données sensibles y restent, sauf si vous en approuvez la sortie.
- -Validation locale des navigateurs, des API et des postes de travail
- -Captures d'écran, journaux et captures vidéo en local
- -Expurgation et lots de preuves locaux
- -Sortie optionnelle expurgée ou en métadonnées uniquement
- -Aucune dépendance aux appels de modèles externes à l'exécution
Architecture d'enclave sécurisée
L'intelligence et le contrôle opèrent en dehors du segment protégé ; l'exécution et les preuves restent à l'intérieur grâce à des capsules signées et à des runners contrôlés par le client.
Zone de planification approuvée
Plan d'intelligence
Cloud, cloud privé ou sur site
Plan de contrôle
Capsule de test signée
Frontière de transfert du client
Segment contrôlé par le client
Plan d'exécution
Passerelle d'enclave
Edge Runner
Applications cibles
Stockage local des preuves
Sortie assainie optionnelle
Zone de planification approuvée
Plan d'intelligence
Cloud, cloud privé ou sur site
Plan de contrôle
Capsule de test signée
Frontière de transfert du client
Segment contrôlé par le client
Plan d'exécution
Passerelle d'enclave
Edge Runner
Applications cibles
Stockage local des preuves
Sortie assainie optionnelle
Architectures d'exécution de type enclave
Infrastructure segmentée où la planification peut s'effectuer dans une zone approuvée, tandis que l'exécution et les preuves restent dans un périmètre contrôlé par le client.
Exécution en enclave sécurisée
Exécution segmentée avec transfert de capsule signée.
Périmètre d'exécution contrôlé par le client
Vous définissez où résident les runners, ce à quoi ils peuvent accéder et comment les artefacts quittent le segment.
- -Le plan d'exécution reste à l'intérieur de votre périmètre
- -Aucune donnée d'exécution sensible requise dans un SaaS externe
- -Synthèses optionnelles en métadonnées uniquement pour les tableaux de bord centraux
- -Politiques de preuve et de rétention par environnement
- -Listes d'autorisation et identité des runners pour l'audit
- -S'intègre aux modèles de segmentation et de zero-trust existants
Capsules de test signées
Des paquets immuables, versionnés et approuvés, et non des scripts ad hoc. Des manifestes contraints définissent précisément ce qui peut s'exécuter.
Cycle de vie de la capsule de test
De la génération gouvernée à l'exécution signée et approuvée, chaque étape est versionnée et auditable.
Passerelle d'enclave
Vérifie les signatures, applique les politiques, prépare les capsules, journalise chaque action et déclenche l'exécuteur en périphérie, sans ouvrir d'accès entrant.
Flux des identifiants PAM
Les identifiants sont courtés au moment de l'exécution, aucun secret à longue durée de vie n'est stocké dans Zof Cloud.
Exécuteur local en périphérie
Exécution déployée par le client qui lance les tests en local, capture les preuves, applique l'expurgation et produit des rapports au sein du réseau protégé.
Flux d'exécution de l'edge runner
Les capsules signées traversent la politique de la passerelle jusqu'à l'exécution locale et la capture des preuves.
Prise en charge d'une infrastructure segmentée
Placez les passerelles et les runners par VLAN, DMZ, zone OT ou unité métier, avec des politiques adaptées au risque.
- -Règles de promotion des capsules par segment
- -Des pilotes prudents d'abord dans les zones à plus haut risque
- -Couverture des applications en DMZ et purement internes
- -Réseaux de production et d'agences via des edge runners
- -Outils SOC et d'administration dans des segments isolés
- -Étendez le déploiement après validation de l'architecture de sécurité
Sortie de télémétrie contrôlée
La télémétrie et les preuves ne sortent que par les chemins que vous approuvez, le masquage étant appliqué au préalable.
Flux de télémétrie
De la capture par l'exécuteur à une sortie contrôlée optionnelle.
Contrôles des preuves et des sorties
Vous choisissez comment les preuves quittent le plan d'exécution, si elles le quittent.
Modes de flux des preuves
Choisissez la manière dont les preuves de validation quittent le plan d'exécution.
Local uniquement
Toutes les captures d'écran, journaux, vidéos et rapports restent à l'intérieur de votre environnement. Aucun transfert sortant.
Sortie assainie
Les champs et artefacts approuvés passent par des politiques d'occultation avant de quitter le plan d'exécution.
Métadonnées uniquement
Partagez les synthèses de réussite/échec et les métadonnées non sensibles pour les tableaux de bord centraux, sans aucune donnée applicative brute.
Workflows d'approbation pour l'entreprise
L'autorisation humaine conditionne la promotion des capsules et la remédiation gouvernée avant tout impact en production.
Workflow d'approbation des remédiations
Un parcours encadré, de la détection au correctif vérifié.
Exemples d'environnements réglementés
Modèles représentatifs pour les services financiers, l'administration de la santé et la segmentation du secteur public, et non des recommandations de clients.
- -Segments de banque centrale et de traitement des paiements
- -Systèmes administratifs de santé avec périmètres PHI
- -Plateformes d'identité et de confiance dans des architectures DMZ
- -Validation industrielle proche de l'OT en périphérie
- -Outils d'opérations de sécurité dans des VLAN SOC
- -Consultez les scénarios du hub de déploiement pour des modèles anonymisés
Adaptez à votre modèle d'exploitation
Du cloud standard à l'environnement isolé (air-gapped) on-premise, le même modèle de capsule gouvernée, avec un placement différent de chaque plan.
| Modèle de déploiement | Où s'exécute la planification IA | Où s'exécute l'exécution | Exigence Internet | Modèle de sortie des données | Cas d'usage idéal | Approche commerciale | Tarification |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Runners gérés par Zof ou par le client | Sortie standard | Configuré par le client | Équipes cloud-native, pilotes à faible friction | Du libre-service à l'entreprise | Paliers publiés + entreprise |
| Zof Private Cloud | Cloud privé dédié | Runners contrôlés par le client | Sortie contrôlée par politique | Priorité au local ; sortie approuvée facultative | Secteurs réglementés, exigences de résidence des données | Vente entreprise | Personnalisée, contactez le service commercial |
| Zof Hybrid Enclave | Cloud ou cloud privé | Passerelle d'enclave + edge runners | Non requise dans le segment protégé | Local uniquement par défaut ; sortie assainie facultative | Banques, assurances, applications internes uniquement | Présentation de déploiement sécurisé | Personnalisée, contactez le service commercial |
| Zof On-Prem Control Plane | Centre de données du client | Runners gérés par le client | Optionnel / air-gapped pris en charge | Local uniquement, en règle générale | Aucun accès Internet, résidence stricte, gouvernance interne | Revue d'architecture requise | Sur mesure, contactez le service commercial |
| Zof Local Edge Runner | Plan de contrôle apparié | Agence, usine, site périphérique | Non requis pour l'exécution | Preuves locales ; synchronisation optionnelle | Sites distribués, réseaux segmentés | Module complémentaire au déploiement entreprise | Sur mesure, contactez le service commercial |
| VPC / VNet du client | Cloud ou cloud privé | Runners dans le VPC du client | Sortant uniquement, en règle générale | Local d'abord ; contrôlé par politique | SaaS entreprise dans votre compte cloud | Revue d'architecture | Sur mesure, contactez le service commercial |
| Exécution Kubernetes privée | Plan de contrôle approuvé par le client | Agents de cluster gérés par le client | Contrôlé par politique | Preuves limitées au namespace | Équipes plateforme disposant d'un parc K8s existant | Revue d'architecture | Sur mesure, contactez le service commercial |
| Agents de point de terminaison | Plan de contrôle apparié | Bureau / VDI / interface héritée | Enregistrement sortant, en règle générale | Capture locale ; assainissement optionnel | ERP, Citrix, applications de bureau internes | Déploiement entreprise | Sur mesure, contactez le service commercial |
Le tarif d'un déploiement sécurisé dépend du modèle, de l'empreinte et de la portée de la mise en œuvre. Voir les tarifs de déploiement entreprise
Conçu pour les audits de sécurité
Les contrôles qu'attendent vos équipes de sécurité et de gestion des risques, sans revendiquer de certifications que nous n'avons pas obtenues.
- SSO/SAML/OIDC et contrôle d'accès basé sur les rôles
- Runners signés et listes d'autorisation d'exécution
- Pistes d'audit pour les capsules, les exécutions et les approbations
- Courtage d'identifiants compatible PAM au moment de l'exécution
- Politiques de masquage et de rétention configurables
- Approbation humaine avant toute remédiation gouvernée
- Modes de preuve : local uniquement, anonymisé ou métadonnées uniquement
- Conçu pour prendre en charge des modèles d'exécution contrôlés par la banque
Liste de contrôle pour la revue d'un déploiement sécurisé
Utilisez cette liste de contrôle avec vos équipes sécurité, risque et infrastructure. Conçue pour appuyer votre processus de revue interne, et non le remplacer.
Revue d'architecture
Documentez le placement des plans d'intelligence, de contrôle et d'exécution par rapport aux segments réseau.
Revue des flux de données
Cartographiez les données créées, stockées et transmises, y compris les preuves et les chemins de sortie optionnels.
Signature des exécuteurs
Vérifiez les binaires des exécuteurs, les clés de signature et les listes d'autorisation des hôtes d'exécution.
Modèle PAM
Confirmez l'approche d'intégration des identifiants à privilèges au moment de l'exécution.
DLP et caviardage
Définissez le masquage des champs, les politiques de captures d'écran et la rétention des preuves locales.
Pistes d'audit
Validez la journalisation de la promotion des capsules, des exécutions, des approbations et des actions administratives.
RBAC et SSO
Alignez les rôles Zof avec l'identité de l'entreprise et un accès au moindre privilège.
Choix du modèle de déploiement
Choisissez le cloud, le cloud privé, l'enclave hybride, le sur site ou la périphérie selon vos besoins de segmentation.
Stockage des preuves
Définissez où résident les artefacts, leur durée de rétention et qui peut y accéder.
Contrôles de sortie
Sélectionnez les modes local uniquement, assaini ou métadonnées uniquement pour chaque environnement.
Modèle d'accès au support
Documentez quand le personnel de Zof peut accéder aux systèmes et selon quel workflow d'approbation.
Plan de pilote et de déploiement
Définissez un périmètre de pilote prudent, des critères de réussite et des jalons d'extension en production.
Télécharger la liste de contrôle
Partagez-la avec les parties prenantes sécurité et achats avant votre revue d'architecture.
Voir la liste de contrôle du déploiement sécuriséQuestions sur le déploiement sécurisé
Réponses destinées aux auditeurs de la sécurité, de l'infrastructure et des achats.
Discutez d'un déploiement sécurisé avec Zof
Examinez la segmentation, la gouvernance des capsules et le placement des exécuteurs avec des équipes qui accompagnent les entreprises réglementées.
