Autonomous reliability for restricted environments.
Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.
Nessun accesso in ingresso richiesto
Nessuna chiamata a modelli esterni dalle reti protette
Capsule di test firmate e immutabili
Esecuzione controllata dal cliente con audit trail
Perché gli ambienti sicuri richiedono un modello diverso
Le reti a accesso limitato non sono state concepite per strumenti che richiedono accesso in ingresso, chiamate a modelli non gestite o automazione non governata.
- -Nessun accesso diretto a Internet verso le applicazioni protette
- -Segmentazione di rete e confini zero-trust
- -Gestione degli accessi privilegiati e controllo delle modifiche
- -Regole di prevenzione della perdita di dati e di gestione delle evidenze
- -Audit trail per ogni fase di validazione e correzione
- -Nessuna chiamata AI esterna non gestita dall'interno dell'enclave
Il modello di enclave sicura di Zof
Intelligence e controllo operano dove la policy lo consente; l'esecuzione resta all'interno del confine del cliente, dietro un gateway di trasferimento.
Intelligence Plane
Intelligence di test governata
Funziona in Zof Cloud, cloud privato o on-prem, dove la tua policy lo consente per pianificazione e generazione.
- -Analisi dei requisiti e dei workflow
- -Modellazione del System Graph e prioritizzazione del rischio
- -Generazione dei test e assemblaggio delle capsule
- -Pianificazione della correzione dove la policy lo consente
- -Nessuna esecuzione di test contro le app protette da questo plane
Control Plane
Approvazioni governate dal cliente
Le tue policy, firme e audit trail governano ciò che può essere eseguito negli ambienti protetti.
- -Approvazione umana e controlli basati sui ruoli
- -Firma crittografica e verifiche delle policy
- -Versioning e promozione delle capsule
- -Pianificazione e instradamento delle evidenze
- -Audit trail completo per ogni azione
Execution Plane
All'interno del tuo confine
Funziona interamente all'interno dell'infrastruttura controllata dal cliente. I dati sensibili restano all'interno, a meno che tu non approvi l'uscita.
- -Validazione locale su browser, API e desktop
- -Acquisizione locale di screenshot, log e video
- -Oscuramento e bundle di evidenze locali
- -Uscita opzionale sanificata o di soli metadati
- -Nessuna dipendenza da chiamate a modelli esterni in fase di runtime
Architettura a enclave sicura
Intelligenza e controllo operano all'esterno del segmento protetto; l'esecuzione e le evidenze restano all'interno tramite capsule firmate e runner controllati dal cliente.
Zona di pianificazione approvata
Piano di Intelligenza
Cloud, cloud privato o on-premise
Piano di Controllo
Capsula di Test Firmata
Confine di Trasferimento del Cliente
Segmento controllato dal cliente
Piano di Esecuzione
Gateway dell'Enclave
Edge Runner
Applicazioni di Destinazione
Archivio Evidenze Locale
Egress Sanitizzato Opzionale
Zona di pianificazione approvata
Piano di Intelligenza
Cloud, cloud privato o on-premise
Piano di Controllo
Capsula di Test Firmata
Confine di Trasferimento del Cliente
Segmento controllato dal cliente
Piano di Esecuzione
Gateway dell'Enclave
Edge Runner
Applicazioni di Destinazione
Archivio Evidenze Locale
Egress Sanitizzato Opzionale
Architetture di esecuzione in stile enclave
Infrastruttura segmentata in cui la pianificazione può avvenire in una zona approvata, mentre esecuzione ed evidenze restano in un confine controllato dal cliente.
Esecuzione in enclave sicura
Esecuzione segmentata con trasferimento di capsule firmate.
Confine di esecuzione controllato dal cliente
Definisci tu dove risiedono i runner, cosa possono toccare e come gli artefatti lasciano il segmento.
- -L'execution plane resta all'interno del tuo perimetro
- -Dati di runtime sensibili non richiesti in SaaS esterni
- -Riepiloghi opzionali di soli metadati per le dashboard centrali
- -Policy di evidenze e retention per ambiente
- -Allowlist e identità dei runner per l'audit
- -Si integra con i modelli di segmentazione e zero-trust esistenti
Capsule di test firmate
Pacchetti immutabili, versionati e approvati, non script estemporanei. I manifest vincolati definiscono esattamente ciò che può essere eseguito.
Ciclo di vita della capsula di test
Dalla generazione governata all'esecuzione firmata e approvata, ogni passaggio è versionato e verificabile.
Gateway dell'enclave
Verifica le firme, applica le policy, prepara le capsule, registra ogni azione e attiva l'edge runner, senza aprire accessi in ingresso.
Flusso delle credenziali PAM
Le credenziali vengono fornite tramite broker al momento dell'esecuzione, senza segreti a lunga durata memorizzati in Zof Cloud.
Edge runner locale
Esecuzione distribuita dal cliente che esegue i test localmente, acquisisce le evidenze, applica l'oscuramento e produce report all'interno della rete protetta.
Flusso di esecuzione dell'edge runner
Le capsule firmate passano attraverso la policy del gateway fino all'esecuzione locale e all'acquisizione delle evidenze.
Supporto per infrastrutture segmentate
Posiziona gateway e runner per VLAN, DMZ, zona OT o business unit, con policy commisurate al rischio.
- -Regole di promozione delle capsule per segmento
- -Pilot conservativi prima nelle zone a rischio più elevato
- -Copertura di applicazioni in DMZ ed esclusivamente interne
- -Reti di produzione e di filiale tramite edge runner
- -Strumenti SOC e di amministrazione in segmenti isolati
- -Espansione dopo l'approvazione dell'architettura di sicurezza
Uscita controllata della telemetria
Telemetria ed evidenze escono solo attraverso percorsi che approvi tu, con l'oscuramento applicato per primo.
Flusso di telemetria
Acquisizione dal runner attraverso un egress controllato opzionale.
Controlli su evidenze e uscita dei dati
Decidi tu come le evidenze lasciano l'execution plane, se mai le lasciano.
Modalità di flusso delle evidenze
Scegli come le evidenze di validazione lasciano il piano di esecuzione.
Solo locale
Tutti gli screenshot, i log, i video e i report restano all'interno del tuo ambiente. Nessun trasferimento in uscita.
Egress sanitizzato
I campi e gli artefatti approvati passano attraverso policy di redazione prima di lasciare il piano di esecuzione.
Solo metadati
Condividi riepiloghi di esito (pass/fail) e metadati non sensibili per le dashboard centralizzate, senza dati applicativi grezzi.
Workflow di approvazione enterprise
L'autorizzazione umana presidia la promozione delle capsule e la correzione governata prima di qualsiasi impatto sulla produzione.
Flusso di approvazione della remediation
Percorso governato dal rilevamento alla correzione verificata.
Esempi di ambienti regolamentati
Pattern rappresentativi per servizi finanziari, amministrazione sanitaria e segmentazione del settore pubblico, non endorsement di clienti.
- -Segmenti di core banking ed elaborazione dei pagamenti
- -Sistemi amministrativi sanitari con confini PHI
- -Piattaforme di identità e trust in architetture DMZ
- -Validazione adiacente all'OT manifatturiero ai margini della rete
- -Strumenti di security operations nelle VLAN del SOC
- -Consulta gli scenari del deployment hub per i modelli anonimizzati
Adatto al tuo modello operativo
Dal cloud standard all'on-prem air-gapped: lo stesso modello di capsule governate, con un posizionamento diverso di ciascun plane.
| Modello di distribuzione | Dove viene eseguita la pianificazione AI | Dove viene eseguita l'esecuzione | Requisito di connessione a internet | Modello di egress dei dati | Caso d'uso ideale | Modalità di vendita | Prezzo |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Runner gestiti da Zof o dal cliente | Connessione in uscita standard | Configurato dal cliente | Team cloud-native, pilot a minore attrito | Dal self-service all'enterprise | Piani pubblicati + enterprise |
| Zof Private Cloud | Private cloud dedicato | Runner controllati dal cliente | Connessione in uscita controllata da policy | Local-first; egress approvato opzionale | Settori regolamentati, requisiti di residenza | Vendita enterprise | Personalizzato, contatta il reparto vendite |
| Zof Hybrid Enclave | Cloud o private cloud | Gateway enclave + edge runner | Non richiesto nel segmento protetto | Solo locale per impostazione predefinita; sanitizzato opzionale | Banche, assicurazioni, app esclusivamente interne | Briefing su distribuzione sicura | Personalizzato, contatta il reparto vendite |
| Zof On-Prem Control Plane | Data center del cliente | Runner gestiti dal cliente | Opzionale / air-gapped supportato | Tipicamente solo locale | Nessun accesso a internet, residenza rigorosa, governance interna | Revisione dell'architettura richiesta | Personalizzato, contatta il reparto vendite |
| Zof Local Edge Runner | Control plane abbinato | Filiale, stabilimento, sito edge | Non richiesto per l'esecuzione | Evidenze locali; sincronizzazione opzionale | Siti distribuiti, reti segmentate | Add-on alla distribuzione enterprise | Personalizzato, contatta il reparto vendite |
| VPC / VNet del cliente | Cloud o private cloud | Runner nel VPC del cliente | Tipicamente solo in uscita | Local-first; controllato da policy | SaaS enterprise nel tuo account cloud | Revisione dell'architettura | Personalizzato, contatta il reparto vendite |
| Esecuzione su Kubernetes privato | Control plane approvato dal cliente | Agenti cluster gestiti dal cliente | Controllato da policy | Evidenze con ambito namespace | Team di piattaforma con infrastrutture K8s esistenti | Revisione dell'architettura | Personalizzato, contatta il reparto vendite |
| Agenti endpoint | Control plane abbinato | Desktop / VDI / UI legacy | Tipicamente registrazione in uscita | Acquisizione locale; sanitizzato opzionale | ERP, Citrix, app desktop interne | Distribuzione enterprise | Personalizzato, contatta il reparto vendite |
Il prezzo della distribuzione sicura dipende dal modello, dall'impronta e dall'ambito di implementazione. Visualizza i prezzi della distribuzione enterprise
Progettato per la security review
I controlli che i tuoi team di sicurezza e rischio si aspettano, senza dichiarare certificazioni che non abbiamo ottenuto.
- SSO/SAML/OIDC e controllo degli accessi basato sui ruoli
- Runner firmati e allowlist di esecuzione
- Audit trail per capsule, run e approvazioni
- Brokering delle credenziali compatibile con PAM al momento dell'esecuzione
- Policy di oscuramento e retention configurabili
- Approvazione umana prima della correzione governata
- Modalità delle evidenze: solo locali, sanificate o di soli metadati
- Progettato per supportare modelli di esecuzione controllati dalla banca
Checklist di Revisione del Deployment Sicuro
Usa questa checklist con i tuoi team di sicurezza, rischio e infrastruttura. Concepita per supportare, non sostituire, il tuo processo di revisione interno.
Revisione dell'architettura
Documenta la collocazione dei piani di intelligence, controllo ed esecuzione rispetto ai segmenti di rete.
Revisione del flusso dei dati
Mappa quali dati vengono creati, archiviati e trasmessi, comprese le evidenze e i percorsi di egress opzionali.
Firma dei runner
Verifica i binari dei runner, le chiavi di firma e gli allowlist per gli host di esecuzione.
Modello PAM
Conferma l'approccio di integrazione per le credenziali privilegiate al momento dell'esecuzione.
DLP e redazione
Definisci il mascheramento dei campi, le policy sugli screenshot e la conservazione delle evidenze locali.
Audit trail
Convalida il logging per la promozione delle capsule, le esecuzioni, le approvazioni e le azioni amministrative.
RBAC e SSO
Allinea i ruoli Zof all'identità aziendale e all'accesso con privilegi minimi.
Selezione del modello di deployment
Scegli tra cloud, private cloud, enclave ibrido, on-prem o edge in base alle esigenze di segmentazione.
Archiviazione delle evidenze
Definisci dove risiedono gli artefatti, per quanto tempo vengono conservati e chi può accedervi.
Controlli di egress
Seleziona le modalità solo-locale, sanitizzata o solo-metadati per ciascun ambiente.
Modello di accesso al supporto
Documenta quando il personale Zof può accedere ai sistemi e con quale flusso di approvazione.
Piano di pilota e rollout
Definisci un perimetro pilota prudente, i criteri di successo e i gate per l'espansione in produzione.
Scarica la checklist
Condividila con gli stakeholder di sicurezza e procurement prima della tua architecture review.
Visualizza la checklist per il deployment sicuroDomande sul deployment sicuro
Risposte per i referenti di sicurezza, infrastruttura e procurement.
Discuti il deployment sicuro con Zof
Esamina la segmentazione, la governance delle capsule e il posizionamento dei runner con team che supportano le imprese regolamentate.
