Autonomous reliability for restricted environments.
Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.
Geen inkomende toegang vereist
Geen externe modelaanroepen vanuit beschermde netwerken
Ondertekende, onveranderlijke testcapsules
Door de klant beheerde uitvoering met audittrails
Waarom veilige omgevingen een ander model nodig hebben
Afgeschermde netwerken zijn niet gebouwd voor tools die inkomende toegang, onbeheerde modelaanroepen of niet-beheerste automatisering vereisen.
- -Geen directe internettoegang tot beschermde applicaties
- -Netwerksegmentatie en zero-trust-grenzen
- -Privileged access management en change control
- -Regels voor data loss prevention en bewijsverwerking
- -Audittrails voor elke validatie- en remediatiestap
- -Geen onbeheerde externe AI-aanroepen vanuit de enclave
Het Zof secure-enclave-model
Intelligentie en beheer draaien waar het beleid dit toestaat; uitvoering blijft binnen de klantgrens, achter een transfer-gateway.
Intelligence Plane
Beheerde testintelligentie
Draait in Zof Cloud, private cloud of on-prem, waar uw beleid planning en generatie toestaat.
- -Analyse van requirements en workflows
- -System Graph-modellering en risicoprioritering
- -Testgeneratie en samenstelling van capsules
- -Remediatieplanning waar het beleid dit toestaat
- -Vanuit dit vlak worden geen tests uitgevoerd tegen beschermde apps
Control Plane
Door de klant beheerde goedkeuringen
Uw beleidsregels, handtekeningen en audittrails bepalen wat er in beschermde omgevingen mag draaien.
- -Menselijke goedkeuring en rolgebaseerde controls
- -Cryptografische ondertekening en beleidscontroles
- -Versiebeheer en promotie van capsules
- -Planning en bewijsroutering
- -Volledige audittrail voor elke actie
Execution Plane
Binnen uw grens
Draait volledig binnen door de klant beheerde infrastructuur. Gevoelige data blijft binnen, tenzij u uitgaand verkeer goedkeurt.
- -Lokale validatie van browser, API en desktop
- -Lokale screenshots, logs en video-opnamen
- -Redactie en lokale bewijsbundels
- -Optioneel uitgaand verkeer dat opgeschoond is of alleen metadata bevat
- -Geen afhankelijkheid van externe modelaanroepen tijdens runtime
Secure enclave-architectuur
Intelligentie en besturing draaien buiten het beveiligde segment; uitvoering en bewijs blijven binnen via ondertekende capsules en door de klant beheerde runners.
Goedgekeurde planningszone
Intelligence Plane
Cloud, private cloud of on-premises
Control Plane
Ondertekende test-capsule
Overdrachtsgrens van de klant
Door de klant beheerd segment
Execution Plane
Enclave Gateway
Edge Runner
Doelapplicaties
Lokale bewijsopslag
Optionele gesaneerde egress
Goedgekeurde planningszone
Intelligence Plane
Cloud, private cloud of on-premises
Control Plane
Ondertekende test-capsule
Overdrachtsgrens van de klant
Door de klant beheerd segment
Execution Plane
Enclave Gateway
Edge Runner
Doelapplicaties
Lokale bewijsopslag
Optionele gesaneerde egress
Enclave-achtige uitvoeringsarchitecturen
Gesegmenteerde infrastructuur waarbij planning in een goedgekeurde zone kan plaatsvinden, terwijl uitvoering en bewijs binnen een door de klant beheerde grens blijven.
Secure enclave-uitvoering
Gesegmenteerde uitvoering met overdracht van ondertekende capsules.
Door de klant beheerde uitvoeringsgrens
U bepaalt waar runners draaien, wat ze mogen raken en hoe artefacten het segment verlaten.
- -Het uitvoeringsvlak blijft binnen uw perimeter
- -Gevoelige runtimedata niet vereist in externe SaaS
- -Optionele samenvattingen met alleen metadata voor centrale dashboards
- -Bewijs- en bewaarbeleid per omgeving
- -Runner-allowlists en identiteit voor audit
- -Integreert met bestaande segmentatie- en zero-trust-modellen
Ondertekende testcapsules
Onveranderlijke, versiebeheerde en goedgekeurde packages, geen ad-hocscripts. Beperkte manifesten bepalen exact wat er mag draaien.
Levenscyclus van test-capsule
Van beheerde generatie tot ondertekende, goedgekeurde uitvoering: elke stap is van versies voorzien en controleerbaar.
Enclave-gateway
Verifieert handtekeningen, handhaaft beleid, stelt capsules klaar, logt elke actie en activeert de edge runner, zonder inkomende toegang te openen.
PAM-credentialstroom
Credentials worden tijdens de uitvoering gebrokerd; er worden geen langlevende secrets opgeslagen in Zof Cloud.
Lokale edge runner
Door de klant geïmplementeerde uitvoering die tests lokaal draait, bewijs vastlegt, redactie toepast en rapporten produceert binnen het beschermde netwerk.
Uitvoeringsstroom van edge runner
Ondertekende capsules doorlopen het gateway-beleid naar lokale uitvoering en bewijsvastlegging.
Ondersteuning voor gesegmenteerde infrastructuur
Plaats gateways en runners per VLAN, DMZ, OT-zone of business unit, met beleid afgestemd op het risico.
- -Promotieregels voor capsules per segment
- -Eerst conservatieve pilots in de zones met het hoogste risico
- -Dekking voor DMZ- en uitsluitend interne applicaties
- -Maakindustrie- en vestigingsnetwerken via edge runners
- -SOC- en admintooling in geïsoleerde segmenten
- -Uitbreiden na goedkeuring van de beveiligingsarchitectuur
Gecontroleerde telemetrie-uitgang
Telemetrie en bewijs verlaten de omgeving alleen via paden die u goedkeurt, waarbij eerst redactie wordt toegepast.
Telemetriestroom
Vastlegging door de runner via optionele gecontroleerde uitgaande communicatie.
Controles voor bewijs en uitgaand verkeer
U bepaalt hoe bewijs het uitvoeringsvlak verlaat, als het dat al doet.
Modi voor bewijsstroom
Kies hoe validatiebewijs de execution plane verlaat.
Alleen lokaal
Alle screenshots, logs, video's en rapporten blijven binnen uw omgeving. Geen uitgaande overdracht.
Gesaneerde egress
Goedgekeurde velden en artefacten doorlopen redactiebeleid voordat ze de execution plane verlaten.
Alleen metadata
Deel geslaagd/mislukt-samenvattingen en niet-gevoelige metadata voor centrale dashboards, zonder ruwe applicatiegegevens.
Enterprise-goedkeuringsworkflows
Menselijke autorisatie bewaakt capsule-promotie en gecontroleerde remediatie voordat er impact op productie ontstaat.
Workflow voor herstelgoedkeuring
Beheerd traject van detectie tot geverifieerde oplossing.
Voorbeelden van gereguleerde omgevingen
Representatieve patronen voor financiële dienstverlening, zorgadministratie en segmentatie in de publieke sector, geen klantaanbevelingen.
- -Segmenten voor core banking en betalingsverwerking
- -Zorgadministratiesystemen met PHI-grenzen
- -Identiteits- en trustplatforms in DMZ-architecturen
- -OT-naburige validatie in de productie aan de edge
- -Security-operationstooling in SOC-VLAN's
- -Zie de scenario's in de deployment-hub voor geanonimiseerde modellen
Passend bij uw operating model
Van standaardcloud tot air-gapped on-prem: hetzelfde beheerde capsule-model, met telkens een andere plaatsing van elk vlak.
| Implementatiemodel | Waar AI-planning draait | Waar uitvoering draait | Internetvereiste | Egressmodel voor gegevens | Ideale use case | Salesaanpak | Prijsstelling |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Door Zof beheerde of klanteigen runners | Standaard uitgaand | Door klant geconfigureerd | Cloud-native teams, pilots met minder frictie | Self-serve tot enterprise | Gepubliceerde niveaus + enterprise |
| Zof Private Cloud | Dedicated private cloud | Door de klant beheerde runners | Beleidsgestuurd uitgaand | Local-first; optionele goedgekeurde egress | Gereguleerde sectoren, residentievereisten | Enterprise-verkoop | Op maat, neem contact op met sales |
| Zof Hybrid Enclave | Cloud of private cloud | Enclave-gateway + edge runners | Niet vereist in beschermd segment | Standaard uitsluitend lokaal; optioneel gesaniteerd | Banken, verzekeraars, apps voor uitsluitend intern gebruik | Briefing over veilige implementatie | Op maat, neem contact op met sales |
| Zof On-Prem Control Plane | Datacenter van de klant | Door de klant beheerde runners | Optioneel / air-gapped ondersteund | Doorgaans uitsluitend lokaal | Geen internet, strikte residentie, interne governance | Architectuurreview vereist | Op maat, neem contact op met sales |
| Zof Local Edge Runner | Gekoppeld control plane | Filiaal, fabriek, edge-locatie | Niet vereist voor uitvoering | Lokaal bewijs; optionele synchronisatie | Gedistribueerde locaties, gesegmenteerde netwerken | Add-on op enterprise-implementatie | Op maat, neem contact op met sales |
| Klant-VPC / VNet | Cloud of private cloud | Runners in de klant-VPC | Doorgaans uitsluitend uitgaand | Local-first; beleidsgestuurd | Enterprise SaaS in uw eigen cloudaccount | Architectuurreview | Op maat, neem contact op met sales |
| Private Kubernetes-uitvoering | Door de klant goedgekeurd control plane | Door de klant beheerde clusteragents | Beleidsgestuurd | Bewijs gescoped op namespace | Platformteams met bestaande K8s-omgevingen | Architectuurreview | Op maat, neem contact op met sales |
| Endpoint-agents | Gekoppeld control plane | Desktop / VDI / legacy UI | Doorgaans uitgaande registratie | Lokale vastlegging; optioneel gesaniteerd | ERP, Citrix, interne desktopapps | Enterprise-implementatie | Op maat, neem contact op met sales |
De prijs voor veilige implementatie hangt af van model, footprint en implementatieomvang. Bekijk de prijzen voor enterprise-implementatie
Ontworpen voor securityreview
De controles die uw security- en risicoteams verwachten, zonder certificeringen te claimen die we niet hebben behaald.
- SSO/SAML/OIDC en rolgebaseerde toegangscontrole
- Ondertekende runners en uitvoeringsallowlists
- Audittrails voor capsules, runs en goedkeuringen
- PAM-compatibele credential-brokering tijdens uitvoering
- Configureerbaar redactie- en bewaarbeleid
- Menselijke goedkeuring vóór beheerde remediatie
- Bewijsmodi: uitsluitend lokaal, opgeschoond of alleen metadata
- Ontworpen om door de bank beheerde uitvoeringsmodellen te ondersteunen
Checklist voor beoordeling van veilige implementatie
Gebruik deze checklist met je teams voor beveiliging, risico en infrastructuur. Ontworpen om je interne beoordelingsproces te ondersteunen, niet te vervangen.
Architectuurbeoordeling
Documenteer de plaatsing van de intelligence-, control- en executionplane ten opzichte van netwerksegmenten.
Beoordeling van gegevensstromen
Breng in kaart welke gegevens worden aangemaakt, opgeslagen en verzonden, inclusief bewijs en optionele uitgaande paden.
Runner-ondertekening
Verifieer runner-binaries, ondertekeningssleutels en allowlists voor uitvoeringshosts.
PAM-model
Bevestig de integratieaanpak voor bevoorrechte inloggegevens tijdens uitvoering.
DLP en redactie
Definieer veldmaskering, screenshotbeleid en bewaring voor lokaal bewijs.
Audittrails
Valideer logging voor capsulepromotie, runs, goedkeuringen en administratieve handelingen.
RBAC en SSO
Stem Zof-rollen af op de bedrijfsidentiteit en toegang volgens het minimale-rechtenprincipe.
Selectie van implementatiemodel
Kies cloud, private cloud, hybride enclave, on-prem of edge op basis van segmentatiebehoeften.
Bewijsopslag
Definieer waar artefacten zich bevinden, hoe lang ze worden bewaard en wie er toegang toe heeft.
Controles op uitgaande communicatie
Selecteer per omgeving de modus alleen-lokaal, geschoond of alleen-metadata.
Model voor supporttoegang
Documenteer wanneer Zof-medewerkers toegang tot systemen mogen hebben en onder welke goedkeuringsworkflow.
Pilot- en uitrolplan
Definieer een behoudzame pilotscope, succescriteria en gates voor uitbreiding naar productie.
Download de checklist
Deel deze met belanghebbenden in beveiliging en inkoop vóór je architectuurbeoordeling.
Bekijk de checklist voor veilige implementatieVragen over veilige deployment
Antwoorden voor beoordelaars op het gebied van beveiliging, infrastructuur en inkoop.
Bespreek een veilige implementatie met Zof
Bekijk segmentatie, capsulegovernance en runnerplaatsing met teams die gereguleerde ondernemingen ondersteunen.
