Dla przedsiębiorstw
Państwa agenci są inteligentniejsi
niż Państwa polityki.
Agent AI rozumiejący Państwa bazę kodu może również zrozumieć Państwa model kontroli dostępu. Bezpieczeństwo oparte na polityce to negocjacje z czymś, co staje się coraz lepsze w negocjacjach. Clavitor zastępuje politykę matematyką.
Matematyka, nie polityka
Inne rozwiązania dodają znacznik AI do istniejącego magazynu. Agent uzyskuje dostęp MCP — wyszukiwanie, przeglądanie, odkrywanie. Jest inteligentniejszy od Państwa. Znajdzie przypadki brzegowe w Państwa politykach. Wymieni poświadczenia, których nigdy nie powinien zobaczyć. Nie dlatego, że jest złośliwy — ponieważ agenci tak robią, gdy otrzymują punkt końcowy wyszukiwania i cel.
Clavitor nie daje agentom dostępu do magazynu. Wydaje konkretne poświadczenia konkretnym agentom za pośrednictwem wąskiego API. Brak przeglądania. Brak odkrywania. Brak enumeracji. Brak punktu końcowego wyszukiwania. Agent otrzymuje to, co mu wydano, i nie może znaleźć tego, czego nie otrzymał. Nie jest to opcja konfiguracji ani przełącznik polityki — tak działa protokół. Nie ma punktu końcowego skierowanego do agenta, który zwracałby listę poświadczeń. Ta funkcja nie istnieje w pliku binarnym.
Ponadto każdy token agenta jest powiązany z adresem IP źródłowym przy pierwszym kontakcie. Listę dozwolonych adresów IP może zaktualizować administrator — ale skradziony token użyty z nieujętego adresu IP jest odrzucany, zanim uruchomi się jakikolwiek program obsługi. Każdy agent podlega ograniczeniu przepustowości: więcej niż trzy unikalne poświadczenia na minutę lub dziesięć na godzinę powoduje spowolnienie. Drugie naruszenie w ciągu dwóch godzin całkowicie blokuje agenta — pozostaje zamrożony, dopóki Państwa zespół ds. bezpieczeństwa nie odblokuje go za pomocą fizycznego potwierdzenia. Zwykły agent potrzebuje dwóch lub trzech poświadczeń. Agent odczytujący dziesięć jest albo błędnie skonfigurowany, albo skompromitowany. W obu przypadkach zostaje zatrzymany.
Wynik: promień rażenia skompromitowanego agenta jest ograniczony do jego zakresu, z jego adresu IP, w tempie, które wyzwala blokadę, zanim dojdzie do znaczącej eksfiltracji. Nie przez regułę, którą można obejść, ale przez brak ścieżki, która by na to pozwoliła.
Stworzone dla Państwa zespołu ds. bezpieczeństwa
Granice wymuszane sprzętowo
Każda operacja administracyjna — tworzenie tokenów agentów, modyfikowanie zakresów, zmiana list dostępu, unieważnianie poświadczeń — wymaga fizycznego potwierdzenia od upoważnionej osoby za pomocą odcisku palca, twarzy lub klucza bezpieczeństwa. Nie jest to bramka programowa, którą może ominąć proces uprzywilejowany. Jest to wyzwanie kryptograficzne wymagające zarejestrowanego urządzenia w ręku osoby.
Żaden agent nie może eskalować swoich uprawnień. Żadna skompromitowana stacja robocza nie może tworzyć nowych tokenów. Żaden atak socjotechniczny nie może nakłonić kogoś do udzielenia dostępu przez telefon — wymagane jest fizyczne potwierdzenie, które jest powiązane z pochodzeniem przeglądarki. Państwa zespół ds. bezpieczeństwa kontroluje granicę zaufania za pomocą czegoś, czego żaden atakujący nie może zdalnie powielić.
Izolacja kryptograficzna
Magazyn każdego pracownika to oddzielna zaszyfrowana baza danych — nie wiersz we współdzielonej tabeli, nie przestrzeń nazw w wielodostępnym magazynie. Naruszenie jednego magazynu skutkuje zaszyfrowanym tekstem. Klucz szyfrowania nie znajduje się na serwerze, nie w kopii zapasowej, nie w żadnym centrum danych.
Zakresy kontrolują, które wpisy agent może zobaczyć. Poziomy szyfrowania kontrolują, co ktokolwiek może odszyfrować. Karty kredytowe i dokumenty tożsamości wydane przez organy państwowe są automatycznie szyfrowane na poziomie tożsamości — tylko klucz sprzętowy, nieczytelne bez fizycznego urządzenia. Państwa przedsiębiorstwo może promować dowolne pole do tego poziomu: loginy bankowe, poświadczenia zamówień, systemy HR, klucze podpisu. Te pola to zaszyfrowany tekst na każdym serwerze, w każdej kopii zapasowej, w każdym scenariuszu naruszenia. Klucze deszyfrujące nie są współlokowane z danymi, które chronią.
Zgodność z przepisami
SOC 2 Typ II
Audytowane kontrole bezpieczeństwa, dostępności i poufności. Audyt obejmuje operacje infrastrukturalne, zarządzanie dostępem, obsługę kluczy szyfrowania i reagowanie na incydenty. Raporty dostępne na podstawie NDA dla klientów korporacyjnych oceniających platformę.
ISO 27001
Certyfikowany system zarządzania bezpieczeństwem informacji. Obejmuje pełny cykl życia — od udostępnienia magazynu przez wydanie poświadczeń aż po usunięcie danych i przechowywanie kopii zapasowych. Zakres certyfikacji obejmuje wszystkie Punkty Obecności (POP), centralną infrastrukturę administracyjną i potok wdrożeniowy.
99,99% SLA odczytu
99,99% dostępności odczytu. Awaryjne przełączanie między półkulami między Calgary a Zurychem — dwie lokalizacje wybrane ze względu na stabilność geologiczną i maksymalną odległość. Jeśli nie osiągniemy celu, otrzymają Państwo pełny miesięczny kredyt na następnej fakturze. Automatycznie, bez formularza reklamacyjnego, bez negocjacji. SLA jest umowne, nie aspiracyjne.
Integracja
Synchronizacja katalogu SCIM
Pracownik dołącza do Azure AD, Okta lub Google Workspace — magazyn udostępniany automatycznie. Zakresy przypisane na podstawie członkostwa w grupie. Pracownik odchodzi — magazyn zamrożony, wszystkie tokeny unieważnione, wszyscy agenci zablokowani. Brak ręcznego czyszczenia, brak zgłoszeń, brak pytania „czy ktoś pamiętał o rotacji poświadczeń".
Udostępnianie odbywa się w czasie rzeczywistym, nie wsadowo. Magazyn nowego pracownika jest gotowy, zanim będzie gotowy jego laptop. Dostęp zwolnionego pracownika jest cofnięty, zanim dotrze on na parking.
Integracja SIEM
Kanał w czasie rzeczywistym do Splunk, Datadog lub Sentinel. Każdy dostęp do poświadczeń, każda nieudana próba, każde naruszenie zakresu, każde utworzenie tokenu, każda rotacja. Nie codzienny raport — strumień zdarzeń na żywo, na podstawie których Państwa SOC może konfigurować alerty.
Gdy agent uzyskuje dostęp do więcej niż trzech unikalnych poświadczeń na minutę lub dziesięciu na godzinę, jest automatycznie ograniczany. Drugie naruszenie powoduje twardą blokadę. Państwa SIEM widzi zdarzenie, zanim zakończy się następne żądanie agenta.
Audyt i atrybucja
Każdy dostęp do poświadczeń jest przypisywany konkretnemu podmiotowi — człowiekowi lub agentowi. Nie „komuś ze współdzielonym hasłem". Nazwisko, zakres, znacznik czasu, adres IP źródłowy. Kiedy Państwa CISO zapyta, kto uzyskał dostęp do bazy produkcyjnej o 2 w nocy we wtorek, odpowiedź będzie dostępna po jednym zapytaniu.
Rotacje haseł niosą ze sobą to samo przypisanie. Które poświadczenie zostało zmienione, kto wyzwolił rotację, którzy agenci pobrali nową wartość. Jeśli rotacja spowoduje awarię wdrożenia, można ją prześledzić do dokładnej zmiany w ciągu sekund.
Jest to zawsze włączone. Brak konfiguracji. Brak opcji rezygnacji. Dziennik audytu jest Państwa dowodem zgodności z przepisami, narzędziem reagowania na incydenty i odpowiedzią na każde zapytanie regulatora dotyczące sposobu kontrolowania dostępu do wrażliwych systemów.
Ceny dla przedsiębiorstw
Ceny za użytkownika. Trzech agentów na użytkownika. Cena na zawsze — Państwa stawka nigdy nie wzrośnie. Nie po roku. Nie po pięciu latach. Nie po podwojeniu Państwa liczby pracowników. Możemy podnieść stawki dla nowych klientów, ale Państwa stawka jest zablokowana na Państwa poziomie, w Państwa walucie, przez cały okres subskrypcji.
Porozmawiajmy.
Państwa agenci są już tutaj. Państwa warstwa poświadczeń również powinna być.