Zum Hauptinhalt springen
Jede Control-Plane auf OrcaRouter hat zwei Haltungen: observe, wo das Gateway auswertet und loggt, was eine Policy täte, aber nie eine Response verändert, und enforce, wo dieselbe Policy den Aufruf tatsächlich blockiert, maskiert oder zurückhält. Die Trennung lässt Sie ein Framework eine Woche lang gegen Ihren echten Traffic beobachten, bevor je ein einziger Request fehlschlägt — und es dann live umlegen, wenn die Zahlen stimmen. Diese Seite ist die kundenseitige Karte dieser Grenze: welche Haltung kostenlos ist, welche kostenpflichtig, wer sie ändern kann und wie Sie die Lücke zwischen beiden lesen, bevor Sie sich festlegen.

1. Warum Compliance Observe Enforce ein zweistufiges Gate ist

Ein Compliance-Framework, das am ersten Tag blockiert, ist ein Framework, das Sie am zweiten Tag abschalten. Die ehrliche Reihenfolge ist: im Observe installieren, die Would-Block-Zahlen gegen Ihren eigenen Traffic lesen, die Lücken schließen, von denen Sie nichts wussten, dann live gehen. OrcaRouter baut diese Reihenfolge in das Haltungsmodell ein, sodass Sie nie raten müssen. (Ein Pack zu installieren ist auf jedem Plan ein kostenpflichtiger Admin-Schritt — Observe und Enforce sind zwei Haltungen desselben kostenpflichtigen Packs, keine kostenlose und keine kostenpflichtige Stufe. Der kostenlose Observe-Pfad lebt auf den Firewall- und Guardrails-Ebenen, die kein Plan-Gate tragen.)

Observe — kostenlos bei Firewall & Guardrails

Setzen Sie eine Firewall-Policy in shadow_mode oder ein Guardrail auf Audit, und das Gateway wertet es gegen Live-Traffic aus und zeichnet auf, was es getan hätte — ohne je eine Response zu verändern. Kein Plan erforderlich; Schreibzugriffe sind auf Developer+ gegated. Das Durchsuchen des Compliance-Katalogs und das Lesen der Readiness-Rollups sind ebenfalls für jedes Workspace-Mitglied kostenlos.

Compliance-Packs — kostenpflichtig, nur Admin

Die Compliance-Pack-Ebene — ein Pack installieren (selbst im Observe), Kontrollen einrichten und live gehen — erfordert einen kostenpflichtigen Plan und die Workspace-Rolle Admin. Beim Go-Live beginnen die materialisierten Regeln des Packs, Aufrufe tatsächlich zu blockieren, zu maskieren und zurückzuhalten.
Observe ist keine abgespeckte Testversion. Es führt dieselbe Auswertungs-Engine wie Enforce gegen denselben Live-Traffic aus — es unterdrückt nur die Wirkung des Verdikts. Die Zahlen, die Sie im Observe sehen, sind die Zahlen, die Sie erhalten, wenn Sie den Schalter umlegen.

2. Wie jede Haltung über die Ebenen hinweg aussieht

Das zweistufige Gate ist nicht einzigartig für Compliance-Packs — jede Ebene exponiert ein Observe-Äquivalent. Überall dieselbe Idee: auswerten und loggen, nicht handeln.
EbeneObserve-HaltungEnforce-Haltung
Compliance-Pack (kostenpflichtig)Im observe-Mode installiert — materialisierte Regeln loggen nurgolive legt das Pack auf enforce um
Firewall-Policyshadow_mode — Verdikte geloggt als [shadow] would …Live deny / sanitize / pending_approval
Firewall-Workspacefirewall_observe_mode — loggt nicht abgedeckte Aufrufe als LückenPolicies werten aus und handeln auf abgedeckten Surfaces
Autonomie-Levelpermissive — nur observe, keine durchsetzende Policybalanced / tight — echte Audit- und Deny-Zeilen
Die Installation eines Compliance-Packs schreibt echte, editierbare Guardrails- und Firewall-Policies in Ihren Workspace in Observe-Haltung (Firewall-Policies landen im shadow_mode). Live zu gehen ist nur ein Haltungswechsel auf bereits existierenden Zeilen — keine Neuinstallation.

3. Ein konkreter Durchlauf

Hier ist die vollständige Observe-zu-Enforce-Schleife für ein einzelnes Framework. Den Katalog zu durchsuchen und Rollups zu lesen ist kostenlos; das Pack zu installieren (selbst im Observe) und das finale golive erfordern beide einen kostenpflichtigen Plan und Admin.
1

Katalog durchsuchen (kostenlos, jedes Mitglied)

Öffnen Sie Compliance in der Konsole und prüfen Sie die verfügbaren Frameworks. Jedes Workspace-Mitglied kann den Katalog, die Liste der installierten Packs und das Readiness-Rollup lesen — kein Plan erforderlich.
# Read-only, session-authenticated (UserAuth) — done from the console.
GET /api/compliance/catalog
GET /api/compliance/readiness
2

Im Observe installieren (kostenpflichtiger Plan, Admin)

Wählen Sie auf der Karte des Frameworks Install. Ein Compliance-Pack zu installieren erfordert einen kostenpflichtigen Plan — der Server lehnt eine Free-Plan-Installation ab. Das Pack materialisiert seine Guardrail- und Firewall-Regeln in Observe-Haltung (Firewall-Regeln im shadow_mode, Guardrail-Aktionen auf Log-only gezwungen), sodass das Gateway sie sofort gegen Ihren Live-Traffic auswertet und jedes Would-Block loggt, ohne eine einzige Response zu verändern.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/install
3

Die Lücke lesen (kostenlos, jedes Mitglied)

Die Readiness-Ansicht zeigt nun eine Would-Block-Anzahl pro Framework: wie viele echte Requests in Ihrem nachlaufenden Fenster das Framework gestoppt hätte (zugeordnet zu den Guardrail-Ebenen-Zeilen des Packs). Eine hohe Zahl ist Ihr Signal, einen Workflow zu beheben, bevor Sie durchsetzen, nicht danach.
4

Live gehen (kostenpflichtiger Plan, Admin)

Wenn die Zahlen stimmen, legt ein Admin auf einem kostenpflichtigen Plan das Pack auf Enforce um. Dieselben Regeln, die loggten, blockieren, maskieren und halten nun zurück — und die Firewall-Policy des Packs verlässt den shadow_mode.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/golive
Konfigurationsrouten (/api/compliance/*, /api/guardrail/*, /api/workspace/firewall/*) authentifizieren sich mit Ihrer Konsolen-Session, nicht mit einem Relay-Key. Nur /v1/*-Modellaufrufe nutzen einen sk-orca-…-Key. Die obigen Beispiele werden zur Verdeutlichung als Routen gezeigt, aber Sie steuern sie alle aus der Konsole.

4. Die Free-/Paid-Grenze, präzise

Auf der Compliance-Ebene ist nur das Lesen Ihrer Haltung kostenlos; in dem Moment, in dem Sie ein Pack materialisieren, sind Sie auf einem kostenpflichtigen Pfad. Die Plan-Prüfung wird serverseitig durchgesetzt — ein direkter API-Call kann sie nicht umgehen.
Das Durchsuchen des Framework-Katalogs, das Auflisten installierter Packs, das Lesen des Readiness-Rollups, das Lesen der konfigurierten Datenresidenz und das Auflisten von Report-Metadaten sind für jedes Mitglied kostenlos offen. Den ersten Compliance-Report Ihres Workspaces als PDF zu erzeugen ist ebenfalls kostenlos.
Ein Pack zu installieren (selbst im Observe), Kontrollen einzurichten, ein Pack live zu nehmen (golive), weitere signierte Reports über den ersten hinaus zu erzeugen und Nachweise zu exportieren als CSV/JSON erfordern alle einen kostenpflichtigen Plan und die Admin-Rolle. Die Compliance-Ebene hat keine kostenlose Observe-Stufe — die Installation selbst ist die Paywall.
Das Setzen der Datenresidenz ist auf die Workspace-Rolle Admin gegated, steht aber nicht hinter einem kostenpflichtigen Plan — jeder Admin kann die Region setzen.
Reports sind nach der Erzeugung öffentlich verifizierbar — jeder mit dem Artefakt kann seine Signatur ohne Konto bestätigen, über die Report-Verifizierung. Jeder Report ist signiert (PDF, CSV und JSON gleichermaßen); die Verifizierung steht der ganzen Welt offen.

5. Lesen Sie die Would-Block-Zahlen, bevor Sie umlegen

Observe existiert, damit Sie eine Frage mit Daten statt mit Nerven beantworten können: Was bricht, wenn dies live geht? Zwei Surfaces geben Ihnen die Antwort.
  • Readiness-Rollup — Would-Block-Zahlen pro Framework für installierte Compliance-Packs (zugeordnet zu den Guardrail-Ebenen-Zeilen des Packs), sodass Sie sehen können, welche Frameworks am härtesten gegen Ihren nachlaufenden Traffic beißen, bevor Sie sie durchsetzen. Lesbar von jedem Workspace-Mitglied.
  • Firewall-Events — zeichnen auf, was jede shadow_mode-Policy getan hätte; eine [shadow] would deny-Zeile ist eine Ablehnung, die noch nicht passiert ist. Der Events-Feed ist auf Developer+ gegated (die Zeilen tragen Tool-Call-Provenienz). Firewall-Policies, Einstellungen, die Discovered-tools-Ansicht, der Autonomie-Simulator und der Anomalie-Feed bleiben für jedes Mitglied lesbar.
  • Guardrails-Matches — der Match-Feed zeichnet auf, was jedes Audit-Mode-Guardrail geflaggt hätte. Lesbar von jedem Mitglied.
Derselbe gestufte Rollout funktioniert auf Autonomie-Ebene. Wenden Sie zuerst permissive (nur observe) an, beobachten Sie den Events-Feed, steigern Sie dann auf balanced und tight für die Surfaces, die es verdienen — mit Ein-Klick-Undo aus dem Audit-Snapshot. Siehe die Secure-Agents-Baseline.

6. Wohin als Nächstes

Plan-Gating

Genau welche Compliance-Aktionen einen kostenpflichtigen Plan erfordern und was auf jeder Stufe kostenlos bleibt.

Ein Pack installieren

Materialisieren Sie die Guardrail- und Firewall-Regeln eines Frameworks im Observe — ein kostenpflichtiger Admin-Erstschritt, bevor Sie live gehen.

Enforcement-Modi

Das vollständige Haltungs-Vokabular — Observe, Shadow, Audit und Enforce — über jede Ebene hinweg.

Geteilte Verantwortung

Was das Gateway durchsetzt versus was Ihre Entscheidung bleibt.
Im Observe lernen Sie, was Enforce Sie kosten wird. Auf den Firewall- und Guardrails-Ebenen können Sie kostenlos zusehen; auf der Compliance-Pack-Ebene sind Installation und Go-Live die kostenpflichtigen Admin-Schritte — lesen Sie zuerst die Would-Block-Zahlen, dann nehmen Sie es zu Ihren Bedingungen live.