Enclave seguro

Autonomous reliability for restricted environments.

Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.

Agende uma sessão informativa sobre implantação seguraVer arquitetura de implantação

Não é necessário acesso de entrada

Sem chamadas a modelos externos a partir de redes protegidas

Cápsulas de teste imutáveis e assinadas

Execução controlada pelo cliente com trilhas de auditoria

O desafio

Por que ambientes seguros precisam de um modelo diferente

As redes restritas não foram concebidas para ferramentas que exigem acesso de entrada, chamadas de modelo não gerenciadas ou automação não governada.

  • -Sem acesso direto à internet para as aplicações protegidas
  • -Segmentação de rede e perímetros zero-trust
  • -Gestão de acesso privilegiado e controle de mudanças
  • -Prevenção de perda de dados e regras de tratamento de evidências
  • -Trilhas de auditoria para cada etapa de validação e correção
  • -Sem chamadas a IA externa não gerenciadas de dentro do enclave
Arquitetura

O modelo de enclave seguro da Zof

A inteligência e o controle operam onde a política permite; a execução permanece dentro do perímetro do cliente, por trás de um gateway de transferência.

Camada de Inteligência

Inteligência de testes governada

Executa no Zof Cloud, em nuvem privada ou on-premises, onde sua política permite planejamento e geração.

  • -Análise de requisitos e fluxos de trabalho
  • -Modelagem do System Graph e priorização de riscos
  • -Geração de testes e montagem de cápsulas
  • -Planejamento de correções quando a política permite
  • -Nenhuma execução de testes contra aplicações protegidas a partir desta camada

Camada de Controle

Aprovações governadas pelo cliente

Suas políticas, assinaturas e trilhas de auditoria determinam o que pode ser executado em ambientes protegidos.

  • -Aprovação humana e controles baseados em funções
  • -Assinatura criptográfica e verificações de política
  • -Versionamento e promoção de cápsulas
  • -Agendamento e roteamento de evidências
  • -Trilha de auditoria completa para cada ação

Camada de Execução

Dentro do seu perímetro

Executa inteiramente dentro da infraestrutura controlada pelo cliente. Os dados sensíveis permanecem internos, a menos que você aprove a saída.

  • -Validação local de navegador, API e desktop
  • -Capturas de tela, logs e gravações de vídeo locais
  • -Redação e pacotes de evidências locais
  • -Saída opcional sanitizada ou apenas de metadados
  • -Nenhuma dependência de chamadas a modelos externos em tempo de execução

Arquitetura de enclave seguro

A inteligência e o controle operam fora do segmento protegido; a execução e as evidências permanecem internas por meio de cápsulas assinadas e runners controlados pelo cliente.

Zona de planejamento aprovada

Plano de Inteligência

Nuvem, nuvem privada ou on-premises

Control Plane

Cápsula de Teste Assinada

Limite de Transferência do Cliente

Segmento controlado pelo cliente

Plano de Execução

Gateway de Enclave

Edge Runner

Aplicações de Destino

Repositório de evidências local

Egresso higienizado opcional

Padrões de enclave

Arquiteturas de execução no estilo enclave

Infraestrutura segmentada em que o planejamento pode ocorrer em uma zona aprovada, enquanto a execução e as evidências permanecem em um perímetro controlado pelo cliente.

Execução em enclave seguro

Execução segmentada com transferência de cápsulas assinadas.

Zona de planejamento aprovadaSegmento protegidoInteligênciaControleGatewayRunnerAplicaçõesEvidências
Perímetro de execução

Perímetro de execução controlado pelo cliente

Você define onde os runners residem, o que eles podem acessar e como os artefatos saem do segmento.

  • -A camada de execução permanece dentro do seu perímetro
  • -Dados sensíveis de tempo de execução não são exigidos em SaaS externo
  • -Resumos opcionais apenas de metadados para painéis centrais
  • -Políticas de evidências e retenção por ambiente
  • -Listas de permissão e identidade de runners para auditoria
  • -Integra-se aos modelos de segmentação e zero-trust existentes
Cápsulas assinadas

Cápsulas de teste assinadas

Pacotes imutáveis, versionados e aprovados, e não scripts improvisados. Manifestos restritos definem exatamente o que pode ser executado.

Ciclo de vida da cápsula de teste

Da geração governada à execução assinada e aprovada, cada etapa é versionada e auditável.

AnalisarGerarMontarAprovarAssinarExecutar
Gateway do enclave

Gateway do enclave

Verifica assinaturas, aplica políticas, prepara cápsulas, registra cada ação e aciona o edge runner, sem abrir acesso de entrada.

Fluxo de credenciais PAM

As credenciais são intermediadas no momento da execução, sem segredos de longa duração armazenados na Zof Cloud.

O runner solicita sessão
O gateway aplica a política
O PAM intermedia a credencial
Acesso por tempo limitado concedido
Evento de auditoria registrado
Edge runner

Edge runner local

Execução implantada pelo cliente que roda os testes localmente, captura evidências, aplica redação e gera relatórios dentro da rede protegida.

Fluxo de execução do edge runner

Cápsulas assinadas passam pela política do gateway até a execução local e a captura de evidências.

Gateway do enclaveEdge runnerAplicações de destinoRepositório de evidências local
Segmentação

Suporte a infraestrutura segmentada

Posicione gateways e runners por VLAN, DMZ, zona de OT ou unidade de negócio, com políticas alinhadas ao risco.

  • -Regras de promoção de cápsulas por segmento
  • -Pilotos conservadores primeiro nas zonas de maior risco
  • -Cobertura de aplicações em DMZ e exclusivamente internas
  • -Redes de manufatura e de filiais via edge runners
  • -Ferramentas de SOC e administração em segmentos isolados
  • -Expanda após a aprovação da arquitetura de segurança
Telemetria

Saída de telemetria controlada

A telemetria e as evidências saem apenas pelos caminhos que você aprova, com a redação aplicada antes.

Fluxo de telemetria

Captura do runner até o egresso controlado opcional.

RunnerRepositório localOcultaçãoEgresso aprovado
Controles de evidências

Controles de evidências e de saída

Você decide como as evidências saem da camada de execução, se é que saem.

Modos de fluxo de evidências

Escolha como as evidências de validação saem do plano de execução.

Apenas local

Todas as capturas de tela, logs, vídeos e relatórios permanecem dentro do seu ambiente. Sem transferência externa.

Egresso higienizado

Campos e artefatos aprovados passam por políticas de ocultação antes de sair do plano de execução.

Apenas metadados

Compartilhe resumos de aprovação/reprovação e metadados não sensíveis para painéis centralizados, sem dados brutos da aplicação.

Aprovações

Fluxos de trabalho de aprovação corporativos

A autorização humana controla a promoção de cápsulas e a correção governada antes de qualquer impacto na produção.

Fluxo de aprovação de remediação

Caminho governado da detecção à correção verificada.

DetectarProporAprovarAplicarVerificarAuditar
Ambientes regulados

Exemplos de ambientes regulados

Padrões representativos para serviços financeiros, administração de saúde e segmentação do setor público, e não endossos de clientes.

  • -Segmentos de core banking e processamento de pagamentos
  • -Sistemas administrativos de saúde com perímetros de PHI
  • -Plataformas de identidade e confiança em arquiteturas de DMZ
  • -Validação adjacente a OT de manufatura na borda
  • -Ferramentas de operações de segurança em VLANs de SOC
  • -Consulte os cenários do hub de implantação para modelos anonimizados
Modos de implantação

Adapte-se ao seu modelo operacional

Da nuvem padrão ao on-premises isolado (air-gapped), o mesmo modelo de cápsula governada, com posicionamento diferente de cada camada.

Modelo de implantaçãoOnde o planejamento por IA é executadoOnde a execução ocorreRequisito de internetModelo de saída de dadosCaso de uso idealModelo de vendasPreço
Zof CloudZof CloudRunners gerenciados pela Zof ou pelo clienteSaída padrãoConfigurado pelo clienteEquipes nativas em nuvem, pilotos de menor atritoDo autoatendimento ao enterprisePlanos publicados + enterprise
Zof Private CloudNuvem privada dedicadaRunners controlados pelo clienteSaída controlada por políticaLocal-first; saída aprovada opcionalSetores regulados, requisitos de residênciaVendas enterprisePersonalizado, entre em contato com vendas
Zof Hybrid EnclaveNuvem ou nuvem privadaGateway de enclave + edge runnersNão necessário no segmento protegidoPadrão apenas local; sanitização opcionalBancos, seguradoras, aplicações exclusivamente internasBriefing de implantação seguraPersonalizado, entre em contato com vendas
Zof On-Prem Control PlaneData center do clienteRunners gerenciados pelo clienteOpcional / suporte a air-gappedNormalmente apenas localSem internet, residência rigorosa, governança internaRevisão de arquitetura necessáriaPersonalizado, entre em contato com vendas
Zof Local Edge RunnerControl plane pareadoFilial, fábrica, site de bordaNão necessário para execuçãoEvidências locais; sincronização opcionalSites distribuídos, redes segmentadasComplemento à implantação enterprisePersonalizado, entre em contato com vendas
VPC / VNet do clienteNuvem ou nuvem privadaRunners na VPC do clienteNormalmente apenas saídaLocal-first; controlado por políticaSaaS enterprise na sua conta de nuvemRevisão de arquiteturaPersonalizado, entre em contato com vendas
Execução em Kubernetes privadoControl plane aprovado pelo clienteAgentes de cluster gerenciados pelo clienteControlado por políticaEvidências com escopo de namespaceEquipes de plataforma com ambientes K8s existentesRevisão de arquiteturaPersonalizado, entre em contato com vendas
Agentes de endpointControl plane pareadoDesktop / VDI / UI legadaRegistro de saída típicoCaptura local; sanitização opcionalERP, Citrix, aplicações desktop internasImplantação enterprisePersonalizado, entre em contato com vendas

O preço da implantação segura depende do modelo, da footprint e do escopo de implementação. Ver preços de implantação enterprise

Controles de segurança

Projetado para revisão de segurança

Os controles que suas equipes de segurança e de risco esperam, sem alegar certificações que não obtivemos.

  • SSO/SAML/OIDC e controle de acesso baseado em funções
  • Runners assinados e listas de permissão de execução
  • Trilhas de auditoria para cápsulas, execuções e aprovações
  • Intermediação de credenciais compatível com PAM no momento da execução
  • Políticas de redação e retenção configuráveis
  • Aprovação humana antes da correção governada
  • Modos de evidência: apenas local, sanitizado ou apenas metadados
  • Projetado para suportar modelos de execução controlados pelo banco
Revisão de segurança

Checklist de revisão de implantação segura

Use este checklist com suas equipes de segurança, risco e infraestrutura. Projetado para apoiar, não substituir, seu processo de revisão interno.

  • Revisão da arquitetura

    Documente o posicionamento dos planos de inteligência, controle e execução em relação aos segmentos de rede.

  • Revisão do fluxo de dados

    Mapeie quais dados são criados, armazenados e transmitidos, incluindo evidências e caminhos de egresso opcionais.

  • Assinatura de runners

    Verifique os binários dos runners, as chaves de assinatura e as listas de permissão para hosts de execução.

  • Modelo de PAM

    Confirme a abordagem de integração para credenciais privilegiadas no momento da execução.

  • DLP e ocultação

    Defina o mascaramento de campos, as políticas de capturas de tela e a retenção de evidências locais.

  • Trilhas de auditoria

    Valide o registro de logs para promoção de cápsulas, execuções, aprovações e ações administrativas.

  • RBAC e SSO

    Alinhe os papéis da Zof com a identidade corporativa e o acesso com privilégio mínimo.

  • Seleção do modelo de implantação

    Escolha nuvem, nuvem privada, enclave híbrido, local (on-prem) ou edge conforme as necessidades de segmentação.

  • Armazenamento de evidências

    Defina onde os artefatos residem, por quanto tempo são retidos e quem pode acessá-los.

  • Controles de saída (egress)

    Selecione modos somente local, sanitizado ou apenas metadados por ambiente.

  • Modelo de acesso de suporte

    Documente quando a equipe da Zof pode acessar sistemas e sob qual fluxo de aprovação.

  • Plano de piloto e implementação

    Defina um escopo de piloto conservador, critérios de sucesso e portões de expansão para produção.

Baixe o checklist

Compartilhe com as partes interessadas de segurança e compras antes da sua revisão de arquitetura.

Ver checklist de implantação segura
Perguntas frequentes

Perguntas sobre implantação segura

Respostas para revisores de segurança, infraestrutura e aquisições.

Não. A Zof não requer conexões de entrada à sua rede protegida. Os edge runners implantados pelo cliente executam cápsulas assinadas localmente. A conectividade, se houver, é de saída e controlada por política.
Next step

Discuta uma implantação segura com a Zof

Revise a segmentação, a governança de cápsulas e o posicionamento de runners com equipes que apoiam empresas reguladas.

Agende um briefing de implantação seguraFale com vendas
01A superfície operacional

Uma superfície para postura, operações e o que precisa de atenção em seguida.

A página inicial do Zof não é um painel de marketing. São as equipes operacionais de engenharia de superfície, controle de qualidade e SRE que usam todos os dias, a postura de qualidade, as execuções em voo, a cobertura por módulo e as ações que um líder deve observar a seguir.

KPIs OPERACIONAIS

  • Corridas
  • Cobertura
  • Risco

Viva em todos os ambientes para os quais você envia.

COLUNA DE TRABALHO

  • Especificações
  • Testes
  • Cronogramas

Da especificação à regressão programada.

GUARDA-GUARDA

  • RBAC
  • SSO
  • auditoria

Toda ação atribuível a um ser humano nomeado.

LIVE/console
Centro de comando inicial Zof AI mostrando 12 execuções com 94% de aprovação, 3 problemas críticos abertos, 84% de cobertura, quatro barras de rastreabilidade de módulo, pipeline de especificação, cronogramas futuros e próximas ações recomendadas com uma barra lateral de execuções ativas.
Visualização inicial · Serviço de checkout · Preparação · capturado ao vivo do produto.
  • 01 · RUNS · 24H

    94% pass

    12 runs across staging

  • 02 · COVERAGE

    84%

    Across four modules

  • 03 · ACTIVE RUNS

    3 running

    Live on this branch

  • 04 · NEXT ACTIONS

    Recommended

    Triage gaps, new spec

Implementação em Enclave Seguro da Zof AI, Testes Controlados pelo Cliente para Ambientes Restritos