Zum Hauptinhalt springen
Ein Compliance-Pack ist ein Framework — SOC 2, HIPAA, GDPR, ISO 27001, die OWASP LLM Top 10 —, das den Gateway-Kontrollen zugeordnet ist, die es erfüllen. Wenn Sie ein Compliance-Pack installieren, lesezeichnet OrcaRouter nicht nur das Framework: Es materialisiert die Kontrollen des Packs in ein echtes, editierbares Guardrail (die Content-Ebene) und eine echte Firewall-Policy (die Tool-Call-Ebene), getaggt mit der Provenienz des Packs, sodass jeder existierende Enforcement-, Anhängungs- und History-Pfad unverändert funktioniert. Installationen landen im Observe-Mode — das Guardrail flaggt statt zu blockieren, die Firewall läuft im Shadow —, sodass Sie „would-have-blocked”-Nachweise sammeln, bevor irgendetwas den Live-Traffic beeinflusst. Sie nehmen es später, bewusst, aus der Konsole live.
Das Durchsuchen des Katalogs und das Prüfen der Readiness sind für jedes Workspace-Mitglied kostenlos. Ein Pack zu installieren ist eine Workspace-Admin-Aktion und erfordert einen kostenpflichtigen Plan — das Gateway setzt beides serverseitig durch, sodass ein direkter API-Call das Gate nicht umgehen kann.

1. Was „ein Compliance-Pack installieren” tatsächlich tut

Ein Install-Call schreibt drei Dinge atomar in Ihren Workspace:
Die Content-Ebenen-Kontrollen des Packs werden in ein benanntes Guardrail zusammengeführt — <Pack> (Compliance) (z. B. SOC 2 (Compliance)). Im Observe-Mode wird jede Aktion (und jede Pro-Entity-Aktion) auf flag gezwungen, sodass sie Matches annotiert, ohne echten Traffic zu blockieren oder zu maskieren.
Die Tool-Call-Kontrollen des Packs werden in eine benannte Firewall-Policy zusammengeführt — <Pack> (Compliance — tools) (z. B. SOC 2 (Compliance — tools)) —, erstellt mit aktiviertem shadow_mode, sodass sie jeden abgedeckten Aufruf als [shadow] would … auswertet und loggt, aber niemals ablehnt.
Eine Workspace-Compliance-Pack-Zeile verknüpft die zwei materialisierten Policies, pinnt die Katalogversion, zeichnet auf, welche Kontrollen Sie ausgewählt haben, und stempelt, wer es installiert hat — plus einen Audit-Log-Eintrag.
Weil die Installation Standard-Guardrail- und Firewall-Objekte produziert, können Sie sie anschließend in der Konsole öffnen, jede Regel lesen, sie tunen und die Firewall-Policy via firewall_policy_id an einen Key anhängen — genau wie jede Policy, die Sie von Hand verfasst haben.

2. Ein Compliance-Pack aus der Konsole installieren

Die Compliance-Konfiguration nutzt Ihre Konsolen-Session (UserAuth), keinen Relay-Key. Tun Sie es in der Konsole:
1

Den Compliance-Katalog öffnen

Gehen Sie zu Compliance in der Workspace-Konsole. Durchsuchen Sie den Katalog und öffnen Sie das Framework, das Sie brauchen — zum Beispiel SOC 2 (soc2) oder die OWASP LLM Top-10 (owasp_llm). Jedes Pack listet seine Kontrollen, auf welcher Ebene jede Kontrolle landet, und die offizielle Referenz.
2

Kontrollen wählen (oder alle nehmen)

Installieren Sie das ganze Framework oder wählen Sie eine Teilmenge von Kontrollen. Eine leere Auswahl installiert jede Kontrolle im Pack.
3

Installieren

Klicken Sie als Workspace-Admin auf einem kostenpflichtigen Plan auf Install. Das Pack materialisiert sofort im Observe-Mode. Ein bereits installiertes Pack erneut zu installieren ist idempotent — es gibt den existierenden Datensatz zurück, kein Duplikat.
4

Die Nachweise beobachten, dann live gehen

Lassen Sie das Shadow-Guardrail und die Firewall would-have-blocked-Matches sammeln. Wenn die Haltung stimmt, nehmen Sie das Pack live, um die deklarierten Aktionen einzuschalten und (optional) die Policies zu Ihrem Workspace-Default zu befördern. Siehe Observe vs. Enforce.
Installieren Sie zuerst das OWASP-LLM-Top-10-Pack, wenn Sie nicht sicher sind, wo Sie anfangen sollen — es bildet direkt auf die Bedrohungen ab, die dieser Docs-Abschnitt behandelt (Injection, unsichere Output-Behandlung, Offenlegung sensibler Informationen, System-Prompt-Leakage und exzessive Handlungsfreiheit), und gibt Ihnen eine konkrete Haltung zum Beobachten.

3. Der zugrunde liegende Call

Die Konsole steuert einen Endpunkt. Er ist hier dokumentiert, sodass Sie die Form sehen, ihn auditieren oder einen internen Provisioning-Flow skripten können — aber das Gateway erfordert ein Workspace-Admin-Session-Token und einen kostenpflichtigen Plan, um ihn zu erreichen: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
Ein leerer Body installiert alle Kontrollen im Pack: 
POST /api/compliance/packs/owasp_llm/install
Die Response ist der Install-Datensatz — der Pack-Key, die gepinnte Version, mode: observe und die IDs der materialisierten guardrail_id und firewall_policy_id, sodass Sie sie direkt öffnen können.
Ein fehlerhafter (nicht leerer, aber nicht parsebarer) Body wird abgelehnt, nicht stillschweigend als „alles installieren” behandelt — sodass ein Client-Serialisierungs-Bug niemals leise eine partielle Installation zum vollen Framework erweitern kann. Senden Sie gültiges JSON oder senden Sie überhaupt nichts.

4. Nach der Installation

DannWo
Sehen, was im Pack istPack-Inhalte
Live nehmenObserve vs. Enforce
Signierte Nachweise erzeugenSignierter Report
Installieren ist der günstige, reversible erste Zug: Es kostet keinen Live-Traffic, es ist idempotent, und Deinstallieren entfernt beide materialisierten Ebenen sauber. Der bewusste Schritt ist das Live-Gehen — dort schalten die deklarierten block/mask/deny-Aktionen ein.
Warum ein kostenpflichtiger Plan, um zu installieren, und nicht nur, um durchzusetzen? Ein Framework in live-editierbare Policy zu materialisieren ist der Wert-Moment — das Gateway gated es bei der Installation und erneut beim Go-Live, sodass die Upgrade-Grenze explizit ist, niemals ein überraschendes 403 mitten im Rollout.

5. Verwandtes

Plan-Gating

Genau welche Compliance-Aktionen kostenlos sind und welche einen kostenpflichtigen Plan benötigen.

Observe vs. Enforce

Wie der Observe-Mode Nachweise sammelt und was sich beim Go-Live ändert.

Control-Matrix

Wie jede Framework-Kontrolle auf Gateway-Guardrails und Firewall-Regeln abbildet.

OWASP LLM Top 10

Das Pack, das auf die Agenten-Sicherheitsbedrohungen in diesem Abschnitt abbildet.

Guardrails-Referenz

Die Content-Ebene, die eine Installation materialisiert — Regeln, PII, Aktionen.

Agent-Firewall-Referenz

Die Tool-Call-Ebene, die eine Installation materialisiert — Verdikte und Surfaces.
Für das größere Bild, welche Seite der Linie Ihnen gegenüber dem Gateway gehört, siehe Geteilte Verantwortung; für den Frameworks-Katalog siehe Frameworks.