Vai al contenuto principale
Ogni control plane su OrcaRouter ha due posture: observe, dove il gateway valuta e logga ciò che una policy farebbe ma non cambia mai una risposta, e enforce, dove la stessa policy blocca, maschera o mette in attesa la chiamata. Lo split ti permette di osservare un framework contro il tuo traffico reale per una settimana prima che una singola richiesta fallisca — poi lo ribalti live quando i numeri sembrano giusti. Questa pagina è la mappa, rivolta al cliente, di quel confine: quale postura è gratuita, quale a pagamento, chi può cambiarla, e come leggere il divario tra le due prima di impegnarti.

1. Perché compliance observe enforce è un gate a due passi

Un framework di compliance che blocca dal primo giorno è un framework che spegni il secondo giorno. La sequenza onesta è: installa in observe, leggi i numeri di would-block contro il tuo traffico, correggi i gap che non sapevi di avere, poi vai live. OrcaRouter integra quella sequenza nel modello di postura così non devi mai tirare a indovinare. (Installare un pack è un passo a pagamento, da Admin, su ogni piano — observe ed enforce sono due posture dello stesso pack a pagamento, non un tier gratuito e uno a pagamento. Il percorso observe gratuito vive sui piani Firewall e Guardrails, che non hanno plan gate.)

Observe — gratis su Firewall & Guardrails

Metti una policy del Firewall in shadow_mode o un Guardrail in audit, e il gateway la valuta contro il traffico live e registra ciò che avrebbe fatto — senza mai cambiare una risposta. Nessun piano richiesto; le scritture sono riservate a Developer+. Anche sfogliare il catalogo di compliance e leggere i rollup di readiness è gratuito per qualsiasi membro del workspace.

Compliance pack — a pagamento, solo Admin

Il piano dei compliance-pack — installare un pack (anche in observe), configurare i controlli e andare live — richiede un piano a pagamento e il ruolo Admin del workspace. Il go-live è il punto in cui le regole materializzate del pack iniziano effettivamente a bloccare, mascherare e mettere in attesa le chiamate.
Observe non è una prova annacquata. Esegue lo stesso motore di valutazione di enforce contro lo stesso traffico live — si limita a sopprimere l’effetto del verdetto. I numeri che vedi in observe sono i numeri che otterrai quando azioni l’interruttore.

2. Com’è ogni postura attraverso i piani

Il gate a due passi non è esclusivo dei compliance pack — ogni piano espone un equivalente observe. Stessa idea ovunque: valuta e logga, non agire.
PianoPostura observePostura enforce
Compliance pack (a pagamento)Installato in modalità observe — le regole materializzate solo logganogolive ribalta il pack a enforce
Policy Firewallshadow_mode — verdetti loggati come [shadow] would …deny / sanitize / pending_approval live
Workspace Firewallfirewall_observe_mode — logga le chiamate non coperte come gapLe policy valutano e agiscono sulle superfici coperte
Livello di Autonomiapermissive — solo observe, nessuna policy applicativabalanced / tight — righe reali di audit e deny
Installare un compliance pack scrive nel tuo workspace policy reali e modificabili di Guardrails e Firewall in postura observe (le policy del firewall atterrano in shadow_mode). Andare live è solo un ribaltamento di postura su righe che esistono già — non una re-installazione.

3. Un walkthrough concreto

Ecco il loop completo da observe a enforce per un singolo framework. Sfogliare il catalogo e leggere i rollup è gratuito; installare il pack (anche in observe) e il golive finale richiedono entrambi un piano a pagamento e Admin.
1

Sfoglia il catalogo (gratis, qualsiasi membro)

Apri Compliance nella console e passa in rassegna i framework disponibili. Qualsiasi membro del workspace può leggere il catalogo, l’elenco dei pack installati e il rollup di readiness — nessun piano richiesto.
# Read-only, session-authenticated (UserAuth) — done from the console.
GET /api/compliance/catalog
GET /api/compliance/readiness
2

Installa in observe (piano a pagamento, Admin)

Dalla card del framework, scegli Install. Installare un compliance pack richiede un piano a pagamento — il server rifiuta un’installazione su piano gratuito. Il pack materializza le sue regole di guardrail e firewall in postura observe (regole del firewall in shadow_mode, azioni del guardrail forzate a solo-log), così il gateway le valuta immediatamente contro il tuo traffico live e logga ogni would-block senza cambiare una singola risposta.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/install
3

Leggi il gap (gratis, qualsiasi membro)

La vista di readiness ora mostra un would-block count per framework: quante richieste reali nella tua finestra mobile il framework avrebbe fermato (attribuite alle righe del piano guardrail del pack). Un numero alto è il tuo segnale per correggere un workflow prima di applicare, non dopo.
4

Vai live (piano a pagamento, Admin)

Quando i numeri sembrano giusti, un Admin su un piano a pagamento ribalta il pack su enforce. Le stesse regole che loggavano ora bloccano, mascherano e mettono in attesa — e la policy del firewall del pack lascia shadow_mode.
# Paid + Admin, server-gated. Done from the console.
POST /api/compliance/packs/{key}/golive
Le rotte di configurazione (/api/compliance/*, /api/guardrail/*, /api/workspace/firewall/*) si autenticano con la tua sessione di console, non con una chiave di relay. Solo le chiamate al modello /v1/* usano una chiave sk-orca-…. Gli esempi sopra sono mostrati come rotte per chiarezza, ma le guidi tutte dalla console.

4. Il confine gratis / a pagamento, con precisione

Sul piano della compliance, solo leggere la tua postura è gratis; nel momento in cui materializzi un pack sei su un percorso a pagamento. Il controllo del piano è applicato lato server — una chiamata API diretta non può aggirarlo.
Sfogliare il catalogo dei framework, elencare i pack installati, leggere il rollup di readiness, leggere la data residency configurata ed elencare i metadati dei report è aperto a ogni membro senza costi. Generare il primo report di compliance del tuo workspace come PDF è gratis, anch’esso.
Installare un pack (anche in observe), configurare i controlli, portare un pack live (golive), generare report firmati aggiuntivi oltre il primo, ed esportare le evidenze come CSV/JSON richiedono tutti un piano a pagamento e il ruolo Admin. Il piano della compliance non ha un tier observe gratuito — l’installazione stessa è il paywall.
Impostare la data residency è riservato al ruolo Admin del workspace ma non è dietro un piano a pagamento — qualsiasi Admin può impostare la regione.
I report sono verificabili pubblicamente una volta generati — chiunque possieda l’artefatto può confermarne la firma senza un account tramite la verifica del report. Ogni report è firmato (PDF, CSV e JSON allo stesso modo); la verifica è aperta al mondo.

5. Leggi i numeri di would-block prima di ribaltare

Observe esiste così puoi rispondere a una domanda con i dati anziché con il coraggio: cosa si rompe quando questo va live? Due superfici ti danno la risposta.
  • Rollup di readiness — conteggi di would-block per framework per i compliance pack installati (attribuiti alle righe del piano guardrail del pack), così puoi vedere quali framework mordono più forte contro il tuo traffico mobile prima di applicarli. Leggibile da qualsiasi membro del workspace.
  • Eventi del Firewall — registrano ciò che ogni policy in shadow_mode avrebbe fatto; una riga [shadow] would deny è una negazione che non è ancora avvenuta. Il feed Events è riservato a Developer+ (le righe portano provenienza delle chiamate a tool). Le policy del firewall, le impostazioni, la vista dei discovered-tools, il simulatore di autonomia e il feed delle anomalie restano leggibili da qualsiasi membro.
  • Match dei Guardrails — il feed dei match registra ciò che ogni guardrail in audit-mode avrebbe segnalato. Leggibile da qualsiasi membro.
Lo stesso rollout a fasi funziona a livello di autonomia. Applica permissive (solo observe) per primo, osserva il feed degli eventi, poi sali a balanced e tight per le superfici che se lo meritano — con undo a un clic dallo snapshot di audit. Vedi il baseline secure-agents.

6. Dove andare dopo

Plan gating

Esattamente quali azioni di compliance richiedono un piano a pagamento, e cosa resta gratis su ogni tier.

Installa un pack

Materializza le regole di guardrail e firewall di un framework in observe — un primo passo a pagamento, da Admin, prima di andare live.

Modalità di applicazione

L’intero vocabolario di postura — observe, shadow, audit ed enforce — su ogni piano.

Responsabilità condivisa

Cosa applica il gateway rispetto a ciò che resta una tua decisione.
Observe è dove apprendi quanto ti costerà enforce. Sui piani Firewall e Guardrails puoi osservare gratis; sul piano dei compliance-pack, install e go-live sono i passi a pagamento, da Admin — leggi prima i numeri di would-block, poi portalo live alle tue condizioni.