Autonomous reliability for restricted environments.
Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.
Không yêu cầu truy cập hướng vào
Không có lệnh gọi mô hình bên ngoài từ các mạng được bảo vệ
Test capsule bất biến đã được ký
Thực thi do khách hàng kiểm soát cùng nhật ký kiểm toán
Vì sao môi trường bảo mật cần một mô hình khác biệt
Các mạng bị hạn chế không được xây dựng cho những công cụ đòi hỏi truy cập hướng vào, lệnh gọi mô hình không được quản lý hay tự động hóa thiếu quản trị.
- -Không có truy cập internet trực tiếp tới các ứng dụng được bảo vệ
- -Phân đoạn mạng và ranh giới zero-trust
- -Quản lý truy cập đặc quyền và kiểm soát thay đổi
- -Quy tắc ngăn ngừa thất thoát dữ liệu và xử lý bằng chứng
- -Nhật ký kiểm toán cho mọi bước kiểm định và khắc phục
- -Không có lệnh gọi AI bên ngoài không được quản lý từ bên trong enclave
Mô hình secure enclave của Zof
Trí tuệ và điều khiển hoạt động ở nơi chính sách cho phép; việc thực thi vẫn ở bên trong ranh giới khách hàng phía sau một cổng chuyển giao.
Intelligence Plane
Trí tuệ kiểm thử có quản trị
Chạy trong Zof Cloud, đám mây riêng hoặc on-prem, ở nơi chính sách của bạn cho phép việc lập kế hoạch và tạo sinh.
- -Phân tích yêu cầu và luồng công việc
- -Mô hình hóa System Graph và ưu tiên rủi ro
- -Tạo sinh kiểm thử và lắp ráp capsule
- -Lập kế hoạch khắc phục ở nơi chính sách cho phép
- -Không thực thi kiểm thử trên các ứng dụng được bảo vệ từ plane này
Control Plane
Phê duyệt do khách hàng quản trị
Chính sách, chữ ký và nhật ký kiểm toán của bạn quyết định những gì được phép chạy trong môi trường được bảo vệ.
- -Phê duyệt của con người và kiểm soát theo vai trò
- -Ký mã hóa và kiểm tra chính sách
- -Quản lý phiên bản và thăng cấp capsule
- -Lập lịch và định tuyến bằng chứng
- -Nhật ký kiểm toán đầy đủ cho mọi hành động
Execution Plane
Bên trong ranh giới của bạn
Chạy hoàn toàn bên trong hạ tầng do khách hàng kiểm soát. Dữ liệu nhạy cảm vẫn ở bên trong trừ khi bạn phê duyệt việc đưa ra ngoài.
- -Kiểm định trình duyệt, API và desktop tại chỗ
- -Ảnh chụp màn hình, log và quay video tại chỗ
- -Che giấu dữ liệu và gói bằng chứng cục bộ
- -Tùy chọn đưa ra ngoài đã làm sạch hoặc chỉ metadata
- -Không phụ thuộc vào lệnh gọi mô hình bên ngoài lúc chạy
Kiến trúc enclave bảo mật
Trí tuệ và điều khiển vận hành bên ngoài phân đoạn được bảo vệ; việc thực thi và bằng chứng nằm bên trong thông qua các capsule đã ký và các runner do khách hàng kiểm soát.
Vùng lập kế hoạch đã phê duyệt
Intelligence Plane
Đám mây, đám mây riêng hoặc on-prem
Control Plane
Test Capsule đã ký
Ranh giới truyền dữ liệu của khách hàng
Phân đoạn do khách hàng kiểm soát
Execution Plane
Enclave Gateway
Edge Runner
Ứng dụng mục tiêu
Kho bằng chứng nội bộ
Truyền ra ngoài đã làm sạch (tùy chọn)
Vùng lập kế hoạch đã phê duyệt
Intelligence Plane
Đám mây, đám mây riêng hoặc on-prem
Control Plane
Test Capsule đã ký
Ranh giới truyền dữ liệu của khách hàng
Phân đoạn do khách hàng kiểm soát
Execution Plane
Enclave Gateway
Edge Runner
Ứng dụng mục tiêu
Kho bằng chứng nội bộ
Truyền ra ngoài đã làm sạch (tùy chọn)
Kiến trúc thực thi kiểu enclave
Hạ tầng được phân đoạn, nơi việc lập kế hoạch có thể diễn ra trong vùng đã được phê duyệt trong khi việc thực thi và bằng chứng vẫn ở trong ranh giới do khách hàng kiểm soát.
Thực thi trong enclave bảo mật
Thực thi phân đoạn với việc truyền capsule đã ký.
Ranh giới thực thi do khách hàng kiểm soát
Bạn xác định nơi runner hoạt động, những gì chúng được phép chạm tới và cách các artifact rời khỏi phân đoạn.
- -Execution plane vẫn ở bên trong vành đai của bạn
- -Dữ liệu runtime nhạy cảm không bắt buộc phải có trong SaaS bên ngoài
- -Tùy chọn tóm tắt chỉ metadata cho bảng điều khiển tập trung
- -Chính sách bằng chứng và lưu trữ theo từng môi trường
- -Allowlist runner và danh tính phục vụ kiểm toán
- -Tích hợp với các mô hình phân đoạn và zero-trust hiện có
Test capsule đã được ký
Các gói bất biến, có phiên bản và đã được phê duyệt, không phải script tùy tiện. Manifest có ràng buộc xác định chính xác những gì được phép chạy.
Vòng đời của test capsule
Từ khâu tạo có kiểm soát đến thực thi đã ký và phê duyệt, mọi bước đều được quản lý phiên bản và có thể kiểm toán.
Cổng enclave
Xác minh chữ ký, thực thi chính sách, chuẩn bị capsule, ghi nhật ký mọi hành động và kích hoạt edge runner, mà không cần mở truy cập hướng vào.
Luồng thông tin xác thực PAM
Thông tin xác thực được cấp tại thời điểm thực thi, không lưu trữ bí mật tồn tại lâu dài trong Zof Cloud.
Edge runner cục bộ
Cơ chế thực thi do khách hàng triển khai, chạy kiểm thử tại chỗ, thu thập bằng chứng, áp dụng che giấu và tạo báo cáo bên trong mạng được bảo vệ.
Luồng thực thi của edge runner
Các capsule đã ký đi qua chính sách của gateway đến khâu thực thi và thu thập bằng chứng nội bộ.
Hỗ trợ hạ tầng được phân đoạn
Bố trí cổng và runner theo từng VLAN, DMZ, vùng OT hoặc đơn vị kinh doanh với chính sách phù hợp với rủi ro.
- -Quy tắc thăng cấp capsule theo từng phân đoạn
- -Thử nghiệm thận trọng ở các vùng rủi ro cao nhất trước
- -Bao phủ ứng dụng DMZ và chỉ-nội-bộ
- -Mạng nhà máy và chi nhánh thông qua edge runner
- -Công cụ SOC và quản trị trong các phân đoạn cô lập
- -Mở rộng sau khi kiến trúc bảo mật được phê duyệt
Kiểm soát lưu lượng telemetry hướng ra
Telemetry và bằng chứng chỉ rời đi qua những đường bạn phê duyệt, với việc che giấu được áp dụng trước.
Luồng telemetry
Thu thập từ runner thông qua truyền ra ngoài có kiểm soát (tùy chọn).
Kiểm soát bằng chứng và lưu lượng hướng ra
Bạn chọn cách bằng chứng rời khỏi execution plane, nếu nó có rời đi.
Các chế độ luồng bằng chứng
Chọn cách bằng chứng kiểm định rời khỏi execution plane.
Chỉ nội bộ
Toàn bộ ảnh chụp màn hình, nhật ký, video và báo cáo vẫn nằm trong môi trường của bạn. Không có truyền dữ liệu ra ngoài.
Truyền ra ngoài đã làm sạch
Các trường và tạo phẩm đã phê duyệt được xử lý qua các chính sách che dữ liệu trước khi rời khỏi execution plane.
Chỉ metadata
Chia sẻ các bản tóm tắt đạt/không đạt và metadata không nhạy cảm cho bảng điều khiển tập trung, không có dữ liệu ứng dụng thô.
Quy trình phê duyệt cấp doanh nghiệp
Các cổng cấp quyền do con người kiểm soát việc thăng cấp capsule và khắc phục theo quản trị trước khi tác động đến môi trường sản xuất.
Quy trình phê duyệt khắc phục
Lộ trình có kiểm soát từ phát hiện đến khắc phục đã được xác minh.
Ví dụ về môi trường được quản lý theo quy định
Các mẫu hình tiêu biểu cho dịch vụ tài chính, quản trị y tế và phân vùng khu vực công, không phải là lời chứng thực của khách hàng.
- -Phân khúc xử lý ngân hàng lõi và thanh toán
- -Hệ thống quản trị y tế với ranh giới dữ liệu PHI
- -Nền tảng định danh và tin cậy trong kiến trúc DMZ
- -Kiểm định cận biên gần OT trong sản xuất tại vùng biên
- -Công cụ vận hành an ninh trong các VLAN của SOC
- -Xem các kịch bản tại trung tâm triển khai để biết các mô hình ẩn danh
Phù hợp với mô hình vận hành của bạn
Từ đám mây tiêu chuẩn đến on-prem air-gap, cùng một mô hình capsule có quản trị, chỉ khác cách bố trí từng plane.
| Mô hình triển khai | Nơi lập kế hoạch AI chạy | Nơi thực thi chạy | Yêu cầu về internet | Mô hình egress dữ liệu | Trường hợp sử dụng lý tưởng | Phương thức bán hàng | Định giá |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Runner do Zof quản lý hoặc do khách hàng quản lý | Outbound tiêu chuẩn | Do khách hàng cấu hình | Nhóm cloud-native, thí điểm ít vướng mắc | Từ tự phục vụ đến doanh nghiệp | Các gói công bố + doanh nghiệp |
| Zof Private Cloud | Private cloud chuyên dụng | Runner do khách hàng kiểm soát | Outbound được kiểm soát bởi chính sách | Ưu tiên cục bộ; tùy chọn egress đã được phê duyệt | Ngành chịu quản lý chặt, yêu cầu về địa điểm lưu trữ dữ liệu | Bán hàng doanh nghiệp | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Zof Hybrid Enclave | Cloud hoặc private cloud | Gateway enclave + edge runner | Không bắt buộc trong phân khúc được bảo vệ | Mặc định chỉ cục bộ; tùy chọn đã được làm sạch | Ngân hàng, bảo hiểm, ứng dụng chỉ dùng nội bộ | Tư vấn triển khai bảo mật | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Zof On-Prem Control Plane | Trung tâm dữ liệu của khách hàng | Runner do khách hàng quản lý | Tùy chọn / hỗ trợ air-gapped | Thường chỉ cục bộ | Không có internet, yêu cầu địa điểm lưu trữ nghiêm ngặt, quản trị nội bộ | Cần xem xét kiến trúc | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Zof Local Edge Runner | Control plane được ghép cặp | Chi nhánh, nhà máy, site edge | Không bắt buộc cho việc thực thi | Bằng chứng cục bộ; tùy chọn đồng bộ | Site phân tán, mạng được phân đoạn | Thành phần bổ sung cho triển khai doanh nghiệp | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| VPC / VNet của khách hàng | Cloud hoặc private cloud | Runner trong VPC của khách hàng | Thường chỉ outbound | Ưu tiên cục bộ; được kiểm soát bởi chính sách | SaaS doanh nghiệp trong tài khoản cloud của bạn | Xem xét kiến trúc | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Thực thi trên Kubernetes riêng | Control plane do khách hàng phê duyệt | Agent cụm do khách hàng quản lý | Được kiểm soát bởi chính sách | Bằng chứng giới hạn theo namespace | Nhóm platform với hệ thống K8s sẵn có | Xem xét kiến trúc | Tùy chỉnh, liên hệ bộ phận kinh doanh |
| Agent điểm cuối (endpoint) | Control plane được ghép cặp | Desktop / VDI / giao diện cũ (legacy UI) | Thường đăng ký theo chiều outbound | Thu thập cục bộ; tùy chọn đã được làm sạch | ERP, Citrix, ứng dụng desktop nội bộ | Triển khai doanh nghiệp | Tùy chỉnh, liên hệ bộ phận kinh doanh |
Định giá triển khai bảo mật phụ thuộc vào mô hình, quy mô hạ tầng và phạm vi triển khai. Xem định giá triển khai doanh nghiệp
Thiết kế cho việc rà soát bảo mật
Những kiểm soát mà đội bảo mật và quản lý rủi ro của bạn kỳ vọng, không tuyên bố các chứng nhận mà chúng tôi chưa đạt được.
- SSO/SAML/OIDC và kiểm soát truy cập theo vai trò
- Runner đã ký và allowlist thực thi
- Nhật ký kiểm toán cho capsule, lần chạy và phê duyệt
- Cấp phát thông tin xác thực tương thích PAM tại thời điểm thực thi
- Chính sách che giấu và lưu trữ có thể cấu hình
- Phê duyệt của con người trước khi khắc phục có quản trị
- Chế độ bằng chứng: chỉ-cục-bộ, đã làm sạch hoặc chỉ metadata
- Thiết kế để hỗ trợ các mô hình thực thi do ngân hàng kiểm soát
Danh sách kiểm tra rà soát triển khai an toàn
Sử dụng danh sách kiểm tra này cùng các đội ngũ bảo mật, rủi ro và hạ tầng của bạn. Được thiết kế để hỗ trợ, chứ không thay thế, quy trình rà soát nội bộ của bạn.
Rà soát kiến trúc
Ghi nhận vị trí của tầng trí tuệ, tầng kiểm soát và tầng thực thi so với các phân đoạn mạng.
Rà soát luồng dữ liệu
Lập sơ đồ dữ liệu nào được tạo, lưu trữ và truyền đi, bao gồm cả bằng chứng và các đường truyền ra ngoài tùy chọn.
Ký runner
Xác minh tệp nhị phân runner, khóa ký và danh sách cho phép đối với các máy chủ thực thi.
Mô hình PAM
Xác nhận phương pháp tích hợp đối với thông tin xác thực đặc quyền tại thời điểm thực thi.
DLP và làm sạch dữ liệu
Xác định việc che trường dữ liệu, chính sách ảnh chụp màn hình và thời gian lưu giữ bằng chứng cục bộ.
Nhật ký kiểm toán
Kiểm chứng việc ghi nhật ký cho hoạt động nâng cấp capsule, các lần chạy, phê duyệt và các thao tác quản trị.
RBAC và SSO
Đồng bộ các vai trò Zof với danh tính doanh nghiệp và quyền truy cập tối thiểu cần thiết.
Lựa chọn mô hình triển khai
Chọn cloud, private cloud, hybrid enclave, on-prem hoặc edge dựa trên nhu cầu phân đoạn.
Lưu trữ bằng chứng
Xác định nơi lưu giữ các tạo phẩm, thời gian lưu giữ và ai được quyền truy cập.
Kiểm soát luồng ra
Chọn chế độ chỉ cục bộ, đã làm sạch hoặc chỉ siêu dữ liệu cho từng môi trường.
Mô hình truy cập hỗ trợ
Ghi nhận khi nào nhân sự Zof có thể truy cập hệ thống và theo quy trình phê duyệt nào.
Kế hoạch thử nghiệm và triển khai diện rộng
Xác định phạm vi thử nghiệm thận trọng, tiêu chí thành công và các cổng mở rộng lên sản xuất.
Tải xuống danh sách kiểm tra
Chia sẻ với các bên liên quan về bảo mật và mua sắm trước khi rà soát kiến trúc của bạn.
Xem danh sách kiểm tra triển khai an toànCâu hỏi về triển khai bảo mật
Giải đáp cho các bên rà soát về bảo mật, hạ tầng và mua sắm.
Trao đổi về triển khai an toàn với Zof
Cùng những đội ngũ hỗ trợ doanh nghiệp trong môi trường quản chế xem xét phân đoạn, quản trị capsule và việc đặt runner.
