Customer-controlled execution for every environment
Zof generates governed test intelligence, packages signed capsules, and executes through customer-controlled runners, without requiring protected applications to call external AI services.
Không yêu cầu quyền truy cập từ bên ngoài vào
Không có lời gọi mô hình bên ngoài từ các mạng được bảo vệ
Test capsule bất biến đã được ký
Phê duyệt của con người cho hoạt động khắc phục có quản trị
Thực thi gần môi trường của bạn, quản trị ngay từ thiết kế
Cloud là một hướng đi, không phải hướng duy nhất. Zof được thiết kế cho các doanh nghiệp cần thực thi do khách hàng kiểm soát, mạng được phân vùng và các mô hình vận hành được quản lý chặt chẽ.
- Lớp kiểm soát được quản lý trên cloud và trên private cloud riêng biệt
- Thực thi trong VPC/VNet của khách hàng với các mẫu kết nối chỉ-đi-ra (outbound-only)
- Kiến trúc lai kết hợp điều phối trên public cloud với thực thi cục bộ
- Bộ chạy edge và tác tử endpoint cho việc kiểm chứng tại chi nhánh, nhà máy và máy tính để bàn
- Thực thi kiểu enclave với capsule có chữ ký số và kiểm soát luồng telemetry xuất ra
- Thực thi tương thích Private Kubernetes trong các cụm do khách hàng quản lý
Ba lớp (plane). Một mô hình thực thi được quản trị.
Trí tuệ và kiểm soát ở lại nơi chính sách cho phép; việc thực thi nằm trong ranh giới của bạn. Dữ liệu nhạy cảm vẫn nằm trong lớp thực thi trừ khi bạn phê duyệt cho phép xuất ra.
Intelligence Plane
Trí tuệ kiểm thử được quản trị
Việc lập kế hoạch, tạo sinh và ưu tiên hóa chạy ở nơi chính sách cho phép, Zof Cloud, private cloud hoặc on-prem.
- -System Graph và hiểu biết về workflow
- -Ưu tiên hóa theo rủi ro và tạo sinh kiểm thử
- -Lắp ráp capsule đã được ký
- -Lập kế hoạch khắc phục ở nơi được phép
- -Không thực thi trực tiếp nhằm vào các ứng dụng được bảo vệ từ SaaS bên ngoài
Control Plane
Phê duyệt và chính sách
Lớp do khách hàng quản trị để ký, lập lịch, lưu vết audit và định tuyến bằng chứng.
- -Quy trình phê duyệt của con người
- -Ký mật mã và thực thi chính sách
- -Quản lý phiên bản và thăng cấp capsule
- -Truy cập dựa trên vai trò và tích hợp SSO
- -Bản ghi sẵn sàng cho audit cho mọi hành động
Execution Plane
Thực thi do khách hàng kiểm soát
Kiểm thử chạy bên trong hạ tầng của bạn. Dữ liệu nhạy cảm được giữ lại bên trong trừ khi bạn phê duyệt egress.
- -Thực thi cục bộ trên edge runner
- -Kiểm định browser, API và desktop
- -Thu thập và che giấu bằng chứng tại cục bộ
- -Tùy chọn egress đã được làm sạch hoặc chỉ chứa metadata
- -Không có lệnh gọi mô hình bên ngoài từ các mạng được bảo vệ trong lúc chạy
Kiến trúc enclave bảo mật
Trí tuệ và điều khiển vận hành bên ngoài phân đoạn được bảo vệ; việc thực thi và bằng chứng nằm bên trong thông qua các capsule đã ký và các runner do khách hàng kiểm soát.
Vùng lập kế hoạch đã phê duyệt
Intelligence Plane
Đám mây, đám mây riêng hoặc on-prem
Control Plane
Test Capsule đã ký
Ranh giới truyền dữ liệu của khách hàng
Phân đoạn do khách hàng kiểm soát
Execution Plane
Enclave Gateway
Edge Runner
Ứng dụng mục tiêu
Kho bằng chứng nội bộ
Truyền ra ngoài đã làm sạch (tùy chọn)
Vùng lập kế hoạch đã phê duyệt
Intelligence Plane
Đám mây, đám mây riêng hoặc on-prem
Control Plane
Test Capsule đã ký
Ranh giới truyền dữ liệu của khách hàng
Phân đoạn do khách hàng kiểm soát
Execution Plane
Enclave Gateway
Edge Runner
Ứng dụng mục tiêu
Kho bằng chứng nội bộ
Truyền ra ngoài đã làm sạch (tùy chọn)
So sánh các mô hình triển khai
So sánh nơi việc lập kế hoạch chạy, nơi các bài kiểm thử thực thi, và cách bằng chứng có thể rời khỏi ranh giới của bạn. Các mô hình có thể kết hợp thành các kiến trúc lai (hybrid).
| Mô hình triển khai | Nơi lập kế hoạch AI chạy | Nơi thực thi chạy | Yêu cầu về internet | Mô hình egress dữ liệu | Trường hợp sử dụng lý tưởng | Phương thức bán hàng | Định giá |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Runner do Zof quản lý hoặc do khách hàng quản lý | Outbound tiêu chuẩn | Do khách hàng cấu hình | Nhóm cloud-native, thí điểm ít vướng mắc | Từ tự phục vụ đến doanh nghiệp | Các gói công bố + doanh nghiệp |
| Zof Private Cloud | Private cloud chuyên dụng | Runner do khách hàng kiểm soát | Outbound được kiểm soát bởi chính sách | Ưu tiên cục bộ; tùy chọn egress đã được phê duyệt | Ngành chịu quản lý chặt, yêu cầu về địa điểm lưu trữ dữ liệu | Bán hàng doanh nghiệp | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Zof Hybrid Enclave | Cloud hoặc private cloud | Gateway enclave + edge runner | Không bắt buộc trong phân khúc được bảo vệ | Mặc định chỉ cục bộ; tùy chọn đã được làm sạch | Ngân hàng, bảo hiểm, ứng dụng chỉ dùng nội bộ | Tư vấn triển khai bảo mật | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Zof On-Prem Control Plane | Trung tâm dữ liệu của khách hàng | Runner do khách hàng quản lý | Tùy chọn / hỗ trợ air-gapped | Thường chỉ cục bộ | Không có internet, yêu cầu địa điểm lưu trữ nghiêm ngặt, quản trị nội bộ | Cần xem xét kiến trúc | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Zof Local Edge Runner | Control plane được ghép cặp | Chi nhánh, nhà máy, site edge | Không bắt buộc cho việc thực thi | Bằng chứng cục bộ; tùy chọn đồng bộ | Site phân tán, mạng được phân đoạn | Thành phần bổ sung cho triển khai doanh nghiệp | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| VPC / VNet của khách hàng | Cloud hoặc private cloud | Runner trong VPC của khách hàng | Thường chỉ outbound | Ưu tiên cục bộ; được kiểm soát bởi chính sách | SaaS doanh nghiệp trong tài khoản cloud của bạn | Xem xét kiến trúc | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Thực thi trên Kubernetes riêng | Control plane do khách hàng phê duyệt | Agent cụm do khách hàng quản lý | Được kiểm soát bởi chính sách | Bằng chứng giới hạn theo namespace | Nhóm platform với hệ thống K8s sẵn có | Xem xét kiến trúc | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Agent điểm cuối (endpoint) | Control plane được ghép cặp | Desktop / VDI / giao diện cũ (legacy UI) | Thường đăng ký theo chiều outbound | Thu thập cục bộ; tùy chọn đã được làm sạch | ERP, Citrix, ứng dụng desktop nội bộ | Triển khai doanh nghiệp | Tùy chỉnh, liên hệ bộ phận kinh doanh |
Định giá triển khai bảo mật phụ thuộc vào mô hình, quy mô hạ tầng và phạm vi triển khai. Xem định giá triển khai doanh nghiệp
Lớp kiểm soát, quy trình phê duyệt và bằng chứng kiểm toán
Tính linh hoạt khi triển khai đi đôi với khả năng tự hành được quản trị: con người phê duyệt, truy cập theo nguyên tắc đặc quyền tối thiểu, và định tuyến bằng chứng do bạn định nghĩa.
Quy trình phê duyệt khắc phục
Lộ trình có kiểm soát từ phát hiện đến khắc phục đã được xác minh.
- Truy cập theo vai trò, SSO và phân tách nhiệm vụ cho việc thăng cấp capsule
- Con người phê duyệt trước khi khắc phục được quản trị trên các luồng production
- Các chế độ bằng chứng có thể cấu hình: chỉ cục bộ, đã làm sạch, hoặc chỉ metadata
- Nhật ký kiểm toán cho lập kế hoạch, thực thi, phê duyệt và các thao tác quản trị
Khám phá các lựa chọn triển khai
Secure enclave
Capsule có chữ ký số, cổng enclave gateway và bộ chạy local edge cho các mạng được phân vùng và hạn chế.
Private cloud
Môi trường Zof riêng biệt tại một khu vực được khách hàng phê duyệt, với khả năng cách ly mạnh hơn và biện pháp kiểm soát nơi lưu trú dữ liệu.
Hybrid cloud
Kết hợp điều phối trên cloud hoặc private cloud với việc thực thi tại VPC, edge và endpoint trong một mô hình được quản trị duy nhất.
Private Kubernetes
Chạy các tác tử tương thích thực thi trong các cụm do khách hàng quản lý, với lớp kiểm soát và lớp thực thi tách biệt.
Lớp kiểm soát on-prem
Hạ tầng do khách hàng quản lý cho các yêu cầu nghiêm ngặt về nơi lưu trú dữ liệu, air-gapped hoặc kết nối hạn chế.
Bộ chạy local edge
Kiểm chứng phân tán tại các chi nhánh, nhà máy hoặc địa điểm edge, mà không để các hệ thống cục bộ lộ ra internet.
Secure enclave cho ngân hàng
Kiểm chứng được quản trị cho các quy trình ngân hàng lõi thông qua thực thi do khách hàng kiểm soát và bằng chứng sẵn sàng cho kiểm toán.
Môi trường được quản lý chặt chẽ
Các mẫu kiến trúc cho phân vùng trong y tế, dịch vụ tài chính và khu vực công mà không phóng đại các chứng nhận.
Cách các doanh nghiệp được quản lý chặt chẽ triển khai Zof
Các mô hình ngành đã ẩn danh, minh họa cách tiếp cận triển khai trong các môi trường tương tự. Không phải lời chứng thực hay sự nhận diện khách hàng.
This representative scenario is an anonymized industry model used to explain how Zof AI can be deployed in similar enterprise environments. It does not identify or imply a specific customer relationship.
Môi trường tư vấn được quản lý chặt chẽ
Dữ liệu khách hàng và các hệ thống tư vấn nội bộ không thể bị lộ ra việc thực thi trên SaaS công cộng.
- Ràng buộc về hạ tầng
- Yêu cầu nghiêm ngặt về nơi lưu trú dữ liệu, không có lệnh gọi AI bên ngoài không được quản lý từ các mạng tư vấn.
- Phân vùng mạng
- Các VLAN riêng cho ứng dụng hướng khách hàng, công cụ nghiên cứu và hệ thống quản trị.
- Kiến trúc triển khai
- Lớp kiểm soát trên private cloud với cổng enclave gateway và các bộ chạy cục bộ.
- Thực thi tại endpoint / edge
- Bộ chạy edge kiểm chứng các cổng thông tin nội bộ; tác tử endpoint cho các quy trình trên máy tính để bàn.
- Biện pháp kiểm soát quản trị
- Ký số capsule, phê duyệt kép cho khắc phục trên production, xuất nhật ký kiểm toán đầy đủ.
- Ranh giới telemetry
- Chỉ xuất metadata ra các bảng điều khiển trung tâm; bằng chứng thô vẫn ở cục bộ.
- Quản trị việc khắc phục
- Sửa lỗi dựa trên PR với sự cho phép của con người; không có thay đổi production âm thầm.
Môi trường xử lý thanh toán
Các môi trường dữ liệu chủ thẻ yêu cầu thực thi được phân vùng và kiểm soát luồng dữ liệu xuất ra.
- Ràng buộc về hạ tầng
- Phân vùng theo chuẩn PCI; bố trí bộ chạy theo nguyên tắc đặc quyền tối thiểu.
- Phân vùng mạng
- Các phân đoạn cách ly CDE với cổng gateway riêng cho từng vùng.
- Kiến trúc triển khai
- Lai (hybrid): lập kế hoạch trên cloud tại khu vực được phê duyệt, thực thi trong VPC của khách hàng.
- Thực thi tại endpoint / edge
- Tác tử tương thích Kubernetes trong các cụm của khách hàng; kiểm chứng API trong VPC.
- Biện pháp kiểm soát quản trị
- Thông tin xác thực qua PAM, bộ chạy có chữ ký số, tích hợp kiểm soát thay đổi.
- Ranh giới telemetry
- Xuất dữ liệu đã làm sạch với việc che trường dữ liệu; lưu giữ theo chương trình tuân thủ.
- Quản trị việc khắc phục
- Khắc phục theo hướng staging trước với bộ kiểm chứng trước khi thăng cấp.
Môi trường vận hành sản xuất công nghiệp
Các hệ thống tại sàn nhà máy và MES cần được kiểm định cục bộ mà không cần phơi bày ra internet.
- Ràng buộc về hạ tầng
- Ranh giới OT/IT, kết nối gián đoạn, các kiểm tra nhạy cảm với độ trễ.
- Phân vùng mạng
- Mạng nhà máy được cô lập khỏi các control plane đám mây của doanh nghiệp.
- Kiến trúc triển khai
- Điều phối tập trung với đội runner biên phân tán cho từng địa điểm.
- Thực thi tại endpoint / edge
- Runner biên đặt tại nhà máy; tùy chọn đồng bộ chỉ-hướng-ra để cập nhật capsule.
- Biện pháp kiểm soát quản trị
- Chính sách cấp địa điểm, kiểm kê đội runner và gói bằng chứng cục bộ.
- Ranh giới telemetry
- Mặc định báo cáo chỉ-cục-bộ; tùy chọn metadata tình trạng dạng tổng hợp.
- Quản trị việc khắc phục
- Cần phê duyệt của con người cho các thay đổi ảnh hưởng đến dây chuyền sản xuất.
Môi trường danh tính và tin cậy
Các nền tảng danh tính yêu cầu kiểm thử mức đảm bảo cao bên trong ranh giới tin cậy.
- Ràng buộc về hạ tầng
- Bí mật và token không được rời khỏi execution plane khi chưa được che giấu.
- Phân vùng mạng
- DMZ, service mesh nội bộ và công cụ quản trị nằm trên các đường tách biệt.
- Kiến trúc triển khai
- Thực thi trong VPC của khách hàng với mô hình secure enclave cho các luồng đặc quyền.
- Thực thi tại endpoint / edge
- Kiểm định API và trình duyệt trong VPC; agent endpoint cho các console quản trị.
- Biện pháp kiểm soát quản trị
- Thông tin xác thực có vòng đời ngắn, allowlist thực thi, kiểm toán liên tục.
- Ranh giới telemetry
- Làm sạch bằng chứng trước mọi lần chuyển giao xuyên vùng.
- Quản trị việc khắc phục
- Khắc phục theo quản trị với xác minh rollback trong môi trường staging.
Môi trường tích hợp hệ thống doanh nghiệp
Các chương trình SI kết nối ERP, CRM và middleware tùy chỉnh trên hạ tầng lai.
- Ràng buộc về hạ tầng
- Khách hàng đa khu vực, các endpoint kết hợp giữa đám mây và on-prem.
- Phân vùng mạng
- Ranh giới mạng theo từng tenant hoặc từng dự án cho khối lượng kiểm định.
- Kiến trúc triển khai
- Độ tin cậy đám mây lai: control plane trên đám mây + runner trong VPC và on-prem.
- Thực thi tại endpoint / edge
- Các đội kiểm thử phân tán được nhắm mục tiêu qua tác động thay đổi của System Graph.
- Biện pháp kiểm soát quản trị
- Chính sách phạm vi dự án và định tuyến bằng chứng theo từng cam kết triển khai.
- Ranh giới telemetry
- Có thể cấu hình theo từng môi trường; phân tích tập trung khi được phê duyệt.
- Quản trị việc khắc phục
- Quy trình phê duyệt phù hợp với các quy trình CAB của khách hàng.
Môi trường quản trị y tế
Các hệ thống quản trị xử lý PHI yêu cầu thực thi có nhận biết về vùng lưu trú dữ liệu.
- Ràng buộc về hạ tầng
- Xử lý tuân theo HIPAA; giảm thiểu việc di chuyển dữ liệu ra ngoài ranh giới.
- Phân vùng mạng
- Tách biệt mạng lâm sàng và mạng quản trị.
- Kiến trúc triển khai
- Control plane trên đám mây riêng hoặc on-prem cùng các worker thực thi cục bộ.
- Thực thi tại endpoint / edge
- Kiểm thử ứng dụng chỉ trong nội bộ; agent desktop cho các giao diện quản trị cũ.
- Biện pháp kiểm soát quản trị
- Chính sách lưu trữ, rà soát quyền truy cập và xuất kiểm toán sẵn sàng cho sự cố rò rỉ.
- Ranh giới telemetry
- Ưu tiên bằng chứng cục bộ; bản tóm tắt metadata cho bảng điều khiển doanh nghiệp.
- Quản trị việc khắc phục
- Con người tham gia vào vòng lặp đối với các thay đổi chạm tới luồng PHI.
Môi trường vận hành bảo mật
Công cụ bảo mật và các luồng công việc cận SOAR đòi hỏi kiểm định cô lập.
- Ràng buộc về hạ tầng
- Log và cấu hình có độ nhạy cảm cao; không cho phép truy cập vào các phân đoạn SOC từ bên ngoài.
- Phân vùng mạng
- VLAN của SOC, các tích hợp công cụ và bản sao staging của môi trường production.
- Kiến trúc triển khai
- Thực thi kiểu enclave với gói đã ký và giới hạn lưu lượng hướng ra.
- Thực thi tại endpoint / edge
- Runner trong phân đoạn SOC; kiểm định API cho các tích hợp và playbook.
- Biện pháp kiểm soát quản trị
- Capsule bất biến, chuỗi phê duyệt, tích hợp với công cụ GRC.
- Ranh giới telemetry
- Kiểm soát lưu lượng telemetry hướng ra cùng việc làm sạch bằng chứng.
- Quản trị việc khắc phục
- Luồng công việc khắc phục đã xác minh với các cổng phê duyệt của bộ phận bảo mật.
Kịch bản tiêu biểu này là một mô hình ngành đã ẩn danh, dùng để giải thích cách tiếp cận triển khai trong các môi trường doanh nghiệp tương tự. Nó không nhận diện một khách hàng cụ thể nào.
Các kiến trúc triển khai cho doanh nghiệp
Các sơ đồ tiêu biểu cho những kịch bản đánh giá phổ biến của người mua. Quá trình rà soát kiến trúc của bạn sẽ xác định vị trí chính xác của từng lớp.
Kiến trúc do đám mây quản lý
Control plane do Zof quản lý với vị trí thực thi có thể cấu hình.
Thực thi trong VPC của khách hàng
Lập kế hoạch trong đám mây đã phê duyệt; thực thi bên trong ranh giới VPC của bạn.
Kiến trúc thực thi kết hợp (hybrid)
Điều phối trên đám mây với các nhóm thực thi nội bộ phân tán.
Cấu trúc liên kết của edge runner
Thực thi nội bộ với điều phối tập trung.
Cấu trúc liên kết của endpoint agent
Kiểm định ứng dụng desktop và ứng dụng cũ thông qua các agent do khách hàng triển khai.
Thực thi trong enclave bảo mật
Thực thi phân đoạn với việc truyền capsule đã ký.
Thực thi trên Kubernetes riêng
Các agent tương thích thực thi trong những cụm do khách hàng quản lý, không phải bản cài đặt nền tảng đầy đủ.
Các testing fleet phân tán
Nhiều fleet được điều phối từ một control plane tập trung.
Quy trình phê duyệt khắc phục
Lộ trình có kiểm soát từ phát hiện đến khắc phục đã được xác minh.
Luồng telemetry
Thu thập từ runner thông qua truyền ra ngoài có kiểm soát (tùy chọn).
Định tuyến bằng chứng
Cách các tạo phẩm kiểm định có thể rời khỏi ranh giới thực thi.
Lập kế hoạch triển khai với Zof
Cùng các chuyên gia triển khai của chúng tôi đi qua kiến trúc, kiểm soát bằng chứng và lộ trình thử nghiệm thận trọng.
Tiếp tục khám phá
Tài nguyên về kiến trúc, giải pháp theo ngành, bảng giá và rà soát bảo mật.
Secure Enclave
Signed capsules and customer-controlled runners for restricted networks
Banking Secure Enclave
Governed validation for core banking workflows
Enterprise Deployment Pricing
Private cloud, on-prem, enclave, and edge pricing
Security Review Checklist
Procurement-ready deployment review checklist
