Kiểm thử trong vùng an toàn (Secure Enclave) cho doanh nghiệp chịu quản lý

Các môi trường chịu quản lý cấm truy cập từ nhà cung cấp vào bên trong và các lệnh gọi mô hình không được quản lý từ các phân đoạn được bảo vệ.

Việc xác thực phải chạy cục bộ với các chính sách mà kiểm toán viên của bạn công nhận.

Các ứng dụng được bảo vệ không gọi AI bên ngoài tại thời điểm chạy. Trí tuệ có thể lập kế hoạch ở nơi khác; việc thực thi sử dụng các capsule có chữ ký bên trong vùng an toàn.

Các bản cập nhật chỉ đi ra ngoài được kiểm soát bằng chính sách.

Capsule là các gói bất biến, có phiên bản, kèm theo manifest, hash và hồ sơ phê duyệt.

Các script tùy biến không được thăng cấp lên vùng an toàn sản xuất.

Các runner ở biên thực thi kiểm tra trình duyệt, API và máy tính để bàn cục bộ, lưu trữ bằng chứng trong các kho do khách hàng kiểm soát.

Tài liệu Edge runner trình bày các chế độ triển khai.

Một cổng kiểm tra chữ ký, thực thi chính sách, dàn dựng các capsule và ghi nhật ký các lần chuyển giao, mà không tạo ra lỗ hổng vào bên trong.

Các lần chuyển giao là những sự kiện có thể kiểm toán, không phải là đồng bộ ngầm.

Ảnh chụp màn hình, nhật ký và báo cáo mặc định vẫn ở cục bộ.

Kịch bản tiêu biểu: môi trường dịch vụ tư vấn chịu quản lý giữ các gói kiểm toán tại chỗ (on-prem).

Tùy chọn lưu lượng đi ra đã được che giấu hoặc chỉ chứa metadata hỗ trợ các bảng điều khiển tập trung khi không thể đưa toàn bộ artifact ra ngoài.

Lưu lượng đi ra yêu cầu các quy trình phê duyệt rõ ràng.

Thông tin xác thực được môi giới tại thời điểm thực thi thông qua tích hợp PAM; các bí mật tồn tại lâu dài không được lưu trong SaaS của nhà cung cấp.

Tuân theo các chính sách luân chuyển bí mật của doanh nghiệp.

Mọi lần thăng cấp capsule, lần chạy và lần phê duyệt đều có thể truy vấn phục vụ cho các đợt thanh tra.

Các định dạng xuất nên khớp với công cụ GRC của bạn.

Việc khắc phục và thăng cấp capsule đòi hỏi những người phê duyệt được nêu tên.

Không có việc tự động khắc phục hoàn toàn trên môi trường sản xuất.

Các worker chạy các capsule có chữ ký bên trong phân đoạn được bảo vệ. Không có yêu cầu các ứng dụng được bảo vệ phải gọi các dịch vụ AI bên ngoài tại thời điểm chạy.

Kết hợp với edge runner cho các địa điểm phân tán.

Ở nơi có kết nối, kết nối đó chỉ đi ra ngoài và được kiểm soát bằng chính sách, dùng cho cập nhật capsule hoặc telemetry đã được phê duyệt, không bao giờ đi vào ứng dụng của bạn.

Các đợt thí điểm gần mức cách ly mạng (air-gap) có thể dùng phương thức chuyển giao capsule thủ công.

Việc che giấu được thực hiện trước bất kỳ lưu lượng đi ra tùy chọn nào. Mặt nạ trường dữ liệu và chính sách ảnh chụp màn hình áp dụng theo từng quy trình.

Xem sơ đồ triển khai vùng an toàn.

Các chế độ bao gồm thí điểm thận trọng (nhập capsule thủ công), tự động hóa nội bộ có kiểm soát, control plane trên private cloud và hoàn toàn tại chỗ (on-prem), cùng một mô hình quản trị, chỉ khác vị trí đặt.

Thiết kế một triển khai an toàn cùng các kiến trúc sư triển khai của chúng tôi.