Autonomous reliability for restricted environments.
Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.
Входящий доступ не требуется
Никаких внешних вызовов моделей из защищённых сетей
Подписанные неизменяемые тестовые капсулы
Исполнение под контролем клиента с журналами аудита
Почему защищённым средам нужна другая модель
Сети с ограничениями не были рассчитаны на инструменты, которым требуется входящий доступ, неуправляемые вызовы моделей или нерегулируемая автоматизация.
- -Нет прямого доступа в интернет к защищённым приложениям
- -Сегментация сети и границы нулевого доверия
- -Управление привилегированным доступом и контроль изменений
- -Правила предотвращения утечек данных и обращения с доказательствами
- -Журналы аудита для каждого шага проверки и устранения проблем
- -Никаких неуправляемых внешних вызовов ИИ изнутри анклава
Модель защищённого анклава Zof
Интеллект и управление работают там, где это разрешено политикой; исполнение остаётся внутри границы клиента за шлюзом передачи.
Плоскость интеллекта
Управляемый тестовый интеллект
Работает в Zof Cloud, частном облаке или on-prem, там, где ваша политика допускает планирование и генерацию.
- -Анализ требований и рабочих процессов
- -Моделирование в System Graph и приоритизация рисков
- -Генерация тестов и сборка капсул
- -Планирование устранения проблем там, где это разрешено политикой
- -Никакого исполнения тестов против защищённых приложений из этой плоскости
Управляющий контур
Согласования под управлением клиента
Ваши политики, подписи и журналы аудита определяют, что может выполняться в защищённых средах.
- -Согласование человеком и ролевой контроль доступа
- -Криптографическая подпись и проверки политик
- -Версионирование и продвижение капсул
- -Планирование и маршрутизация доказательств
- -Полный журнал аудита для каждого действия
Плоскость исполнения
Внутри вашей границы
Работает полностью внутри инфраструктуры под контролем клиента. Конфиденциальные данные остаются внутри, если вы не разрешите их вывод.
- -Локальная проверка браузера, API и десктопа
- -Локальные скриншоты, журналы и запись видео
- -Редактирование и локальные комплекты доказательств
- -Опциональный вывод только очищенных данных или только метаданных
- -Никакой зависимости от внешних вызовов моделей во время выполнения
Архитектура защищённого анклава
Интеллект и управление работают за пределами защищённого сегмента; выполнение и доказательства остаются внутри благодаря подписанным капсулам и исполнителям под контролем заказчика.
Одобренная зона планирования
Плоскость интеллекта
Облако, частное облако или локальная инфраструктура
Плоскость управления
Подписанная тестовая капсула
Граница передачи заказчика
Сегмент под контролем заказчика
Плоскость выполнения
Шлюз анклава
Граничный исполнитель
Целевые приложения
Локальное хранилище доказательств
Опциональный санитизированный исходящий трафик
Одобренная зона планирования
Плоскость интеллекта
Облако, частное облако или локальная инфраструктура
Плоскость управления
Подписанная тестовая капсула
Граница передачи заказчика
Сегмент под контролем заказчика
Плоскость выполнения
Шлюз анклава
Граничный исполнитель
Целевые приложения
Локальное хранилище доказательств
Опциональный санитизированный исходящий трафик
Архитектуры исполнения в стиле анклава
Сегментированная инфраструктура, где планирование может выполняться в согласованной зоне, а исполнение и доказательства остаются в границе под контролем клиента.
Выполнение в защищённом анклаве
Сегментированное выполнение с передачей подписанных капсул.
Граница исполнения под контролем клиента
Вы определяете, где размещаются раннеры, к чему они могут обращаться и как артефакты покидают сегмент.
- -Плоскость исполнения остаётся внутри вашего периметра
- -Конфиденциальные данные времени выполнения не требуются во внешнем SaaS
- -Опциональные сводки только из метаданных для централизованных дашбордов
- -Политики доказательств и хранения для каждой среды
- -Списки разрешённых раннеров и идентификация для аудита
- -Интегрируется с существующими моделями сегментации и нулевого доверия
Подписанные тестовые капсулы
Неизменяемые, версионированные и согласованные пакеты, а не разовые скрипты. Ограниченные манифесты точно определяют, что может выполняться.
Жизненный цикл тестовой капсулы
От управляемой генерации до подписанного, утверждённого выполнения, каждый шаг версионируется и поддаётся аудиту.
Шлюз анклава
Проверяет подписи, применяет политики, размещает капсулы, регистрирует каждое действие и запускает пограничный раннер, не открывая входящий доступ.
Поток учётных данных PAM
Учётные данные предоставляются в момент выполнения; долгоживущие секреты не хранятся в Zof Cloud.
Локальный пограничный раннер
Развёртываемый клиентом исполнитель, который запускает тесты локально, собирает доказательства, применяет редактирование и формирует отчёты внутри защищённой сети.
Поток выполнения граничного исполнителя
Подписанные капсулы проходят через политику шлюза к локальному выполнению и захвату доказательств.
Поддержка сегментированной инфраструктуры
Размещайте шлюзы и раннеры по VLAN, DMZ, зоне OT или бизнес-подразделению с политиками, соответствующими уровню риска.
- -Правила продвижения капсул для каждого сегмента
- -Осторожные пилоты сначала в зонах наивысшего риска
- -Покрытие приложений в DMZ и только внутренних
- -Производственные и филиальные сети через пограничные раннеры
- -SOC и админ-инструменты в изолированных сегментах
- -Расширение после утверждения архитектуры безопасности
Контролируемый исходящий поток телеметрии
Телеметрия и доказательства уходят только по согласованным вами маршрутам, с предварительно применённым редактированием.
Поток телеметрии
Захват исполнителем с опциональным контролируемым исходящим трафиком.
Контроль доказательств и вывода данных
Вы выбираете, как доказательства покидают плоскость исполнения, и покидают ли вообще.
Режимы потока доказательств
Выберите, как доказательства проверки покидают плоскость выполнения.
Только локально
Все снимки экрана, журналы, видео и отчёты остаются внутри вашей среды. Без исходящей передачи.
Санитизированный исходящий трафик
Одобренные поля и артефакты проходят через политики редактирования перед выходом из плоскости выполнения.
Только метаданные
Передавайте сводки «пройдено/не пройдено» и неконфиденциальные метаданные для центральных панелей, без необработанных данных приложений.
Корпоративные процессы согласования
Шлюзы авторизации с участием человека контролируют продвижение капсул и управляемое исправление до того, как это затронет продакшен.
Рабочий процесс утверждения исправлений
Управляемый путь от обнаружения до проверенного исправления.
Примеры регулируемых сред
Типовые сценарии для финансовых услуг, администрирования в здравоохранении и сегментации в госсекторе, это не отзывы клиентов.
- -Сегменты основной банковской системы и обработки платежей
- -Административные системы здравоохранения с границами PHI
- -Платформы идентификации и доверия в архитектурах DMZ
- -Валидация рядом с OT в производстве на периферии
- -Инструменты операций безопасности в VLAN центра SOC
- -См. сценарии в хабе развёртывания для обезличенных моделей
Под вашу операционную модель
От стандартного облака до изолированного on-prem, одна и та же управляемая модель капсул, но разное размещение каждой плоскости.
| Модель развёртывания | Где выполняется планирование ИИ | Где выполняется исполнение | Требование к интернету | Модель исходящей передачи данных | Идеальный сценарий использования | Модель продаж | Ценообразование |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Раннеры под управлением Zof или клиента | Стандартный исходящий трафик | Настраивается клиентом | Облачные команды, пилоты с меньшим уровнем трения | От самообслуживания до корпоративного уровня | Публичные тарифы + корпоративный |
| Zof Private Cloud | Выделенное частное облако | Раннеры под контролем клиента | Исходящий трафик под управлением политик | Сначала локально; опционально согласованный исходящий трафик | Регулируемые отрасли, требования к резидентности данных | Корпоративные продажи | Индивидуально, свяжитесь с отделом продаж |
| Zof Hybrid Enclave | Облако или частное облако | Анклавный шлюз + периферийные раннеры | Не требуется в защищённом сегменте | По умолчанию только локально; опционально очищенные данные | Банки, страхование, внутренние приложения | Брифинг по безопасному развёртыванию | Индивидуально, свяжитесь с отделом продаж |
| Zof On-Prem Control Plane | Центр обработки данных клиента | Раннеры под управлением клиента | Опционально / поддержка изолированных (air-gapped) сред | Обычно только локально | Без интернета, строгая резидентность данных, внутреннее управление | Требуется обзор архитектуры | Индивидуально, свяжитесь с отделом продаж |
| Zof Local Edge Runner | Связанная плоскость управления | Филиал, завод, периферийная площадка | Не требуется для выполнения | Локальные доказательства; опциональная синхронизация | Распределённые площадки, сегментированные сети | Дополнение к корпоративному развёртыванию | Индивидуально, свяжитесь с отделом продаж |
| VPC / VNet клиента | Облако или частное облако | Раннеры в VPC клиента | Обычно только исходящий трафик | Сначала локально; под управлением политик | Корпоративный SaaS в вашем облачном аккаунте | Обзор архитектуры | Индивидуально, свяжитесь с отделом продаж |
| Выполнение в частном Kubernetes | Плоскость управления, согласованная с клиентом | Агенты кластера под управлением клиента | Под управлением политик | Доказательства в рамках пространства имён | Платформенные команды с существующими парками K8s | Обзор архитектуры | Индивидуально, свяжитесь с отделом продаж |
| Агенты на конечных устройствах | Связанная плоскость управления | Настольные приложения / VDI / устаревший интерфейс | Обычно исходящая регистрация | Локальный захват; опционально очищенные данные | ERP, Citrix, внутренние настольные приложения | Корпоративное развёртывание | Индивидуально, свяжитесь с отделом продаж |
Стоимость безопасного развёртывания зависит от модели, масштаба инфраструктуры и объёма внедрения. Посмотреть цены на корпоративное развёртывание
Создано для проверки службой безопасности
Меры контроля, которых ожидают ваши команды по безопасности и рискам, без заявлений о сертификациях, которых мы не получали.
- SSO/SAML/OIDC и ролевой контроль доступа
- Подписанные раннеры и списки разрешённого исполнения
- Журналы аудита для капсул, прогонов и согласований
- PAM-совместимое предоставление учётных данных в момент исполнения
- Настраиваемые политики редактирования и хранения
- Согласование человеком перед управляемым устранением проблем
- Режимы доказательств: только локально, очищенные или только метаданные
- Спроектировано для поддержки моделей исполнения под контролем банка
Чек-лист проверки безопасного развёртывания
Используйте этот чек-лист вместе с вашими командами по безопасности, рискам и инфраструктуре. Он создан, чтобы дополнять, а не заменять ваш внутренний процесс проверки.
Анализ архитектуры
Задокументируйте размещение плоскостей интеллекта, управления и выполнения относительно сетевых сегментов.
Анализ потоков данных
Составьте карту того, какие данные создаются, хранятся и передаются, включая доказательства и опциональные маршруты исходящего трафика.
Подписание раннеров
Проверьте бинарные файлы раннеров, ключи подписи и списки разрешённых хостов выполнения.
Модель PAM
Подтвердите подход к интеграции привилегированных учётных данных в момент выполнения.
DLP и редактирование данных
Определите маскирование полей, политики снимков экрана и срок хранения локальных доказательств.
Журналы аудита
Проверьте журналирование продвижения капсул, прогонов, согласований и административных действий.
RBAC и SSO
Согласуйте роли Zof с корпоративной идентификацией и принципом минимальных привилегий.
Выбор модели развёртывания
Выберите облако, частное облако, гибридный анклав, развёртывание на собственных серверах или на периферии, в зависимости от требований к сегментации.
Хранение доказательств
Определите, где хранятся артефакты, как долго они сохраняются и кто может получить к ним доступ.
Контроль исходящего трафика
Выберите режим «только локально», «очищенные данные» или «только метаданные» для каждой среды.
Модель доступа поддержки
Задокументируйте, когда сотрудники Zof могут получать доступ к системам и в рамках какого процесса согласования.
План пилота и развёртывания
Определите осторожный объём пилотного проекта, критерии успеха и условия расширения на промышленную среду.
Скачать чек-лист
Поделитесь с заинтересованными сторонами в области безопасности и закупок перед анализом архитектуры.
Открыть чек-лист безопасного развёртыванияВопросы о безопасном развёртывании
Ответы для специалистов по безопасности, инфраструктуре и закупкам.
Обсудите безопасное развёртывание с Zof
Рассмотрите сегментацию, управление капсулами и размещение раннеров вместе с командами, которые поддерживают предприятия в регулируемых отраслях.
