Chuyển đến nội dung chính
Một compliance pack là một framework — SOC 2, HIPAA, GDPR, ISO 27001, OWASP LLM Top 10 — được ánh xạ sang các control gateway thỏa mãn nó. Khi bạn cài đặt một compliance pack, OrcaRouter không chỉ đánh dấu trang framework: nó hiện thực hóa các control của pack thành một Guardrail thực, có thể chỉnh sửa (mặt phẳng nội dung) và một chính sách Firewall thực (mặt phẳng cuộc gọi tool), được gắn tag với nguồn gốc của pack để mọi đường thực thi, gắn kết, và lịch sử hiện có hoạt động không thay đổi. Các lần cài đặt đáp xuống chế độ observe — guardrail flag thay vì block, firewall chạy ở shadow — nên bạn thu thập bằng chứng “would-have-blocked” trước khi bất cứ thứ gì ảnh hưởng đến traffic thực. Bạn đưa nó lên live sau, có chủ ý, từ console.
Duyệt catalog và kiểm tra readiness là miễn phí cho bất kỳ thành viên workspace nào. Cài đặt một pack là một hành động Admin workspace và yêu cầu một gói trả phí — gateway thực thi cả hai ở phía server, nên một cuộc gọi API trực tiếp không thể bỏ qua cổng.

1. “Cài đặt một compliance pack” thực sự làm gì

Một cuộc gọi cài đặt ghi ba thứ một cách nguyên tử vào workspace của bạn:
Các control tầng nội dung của pack hợp nhất vào một guardrail có tên — <Pack> (Compliance) (vd: SOC 2 (Compliance)). Ở chế độ observe mọi hành động (và mọi hành động theo từng thực thể) bị ép thành flag, nên nó chú thích các match mà không block hoặc mask traffic thực.
Các control cuộc gọi tool của pack hợp nhất vào một chính sách firewall có tên — <Pack> (Compliance — tools) (vd: SOC 2 (Compliance — tools)) — được tạo với shadow_mode bật, nên nó đánh giá và ghi log mọi cuộc gọi được bao phủ dưới dạng [shadow] would … nhưng không bao giờ deny.
Một hàng compliance-pack của workspace liên kết hai chính sách đã hiện thực hóa, ghim phiên bản catalog, ghi lại những control nào bạn đã chọn, và đóng dấu ai đã cài đặt nó — cộng một mục audit-log.
Vì lần cài đặt tạo ra các đối tượng guardrail và firewall tiêu chuẩn, sau đó bạn có thể mở chúng trong console, đọc mọi quy tắc, tinh chỉnh chúng, và gắn chính sách firewall vào một key qua firewall_policy_id — y như bất kỳ chính sách nào bạn tự soạn bằng tay.

2. Cài đặt một compliance pack từ console

Cấu hình compliance dùng session console của bạn (UserAuth), không phải một relay key. Hãy làm nó trong console:
1

Mở catalog compliance

Vào Compliance trong console workspace. Duyệt catalog và mở framework bạn cần — ví dụ SOC 2 (soc2) hoặc OWASP LLM Top-10 (owasp_llm). Mỗi pack liệt kê các control của nó, control nào đáp xuống mặt phẳng nào, và tham chiếu chính thức.
2

Chọn control (hoặc lấy tất cả)

Cài đặt toàn bộ framework, hoặc chọn một tập con các control. Một lựa chọn rỗng cài đặt mọi control trong pack.
3

Cài đặt

Với tư cách Admin workspace trên một gói trả phí, nhấp Install. Pack hiện thực hóa ở chế độ observe ngay lập tức. Cài đặt lại một pack đã cài là idempotent — nó trả về bản ghi hiện có, không phải một bản trùng.
4

Theo dõi bằng chứng, rồi go-live

Để guardrail và firewall shadow tích lũy các match would-have-blocked. Khi tư thế trông đúng, đưa pack lên live để lật các hành động đã khai báo và (tùy chọn) thăng cấp các chính sách lên làm mặc định workspace của bạn. Xem Observe vs enforce.
Cài đặt pack OWASP LLM Top-10 trước nếu bạn không chắc bắt đầu từ đâu — nó ánh xạ trực tiếp lên các mối đe dọa mà phần tài liệu này bao quát (injection, xử lý output không an toàn, tiết lộ thông tin nhạy cảm, rò rỉ system prompt, và sự tự chủ quá mức) và cho bạn một tư thế cụ thể để quan sát.

3. Cuộc gọi nền tảng

Console điều khiển một endpoint. Nó được tài liệu hóa ở đây để bạn có thể thấy hình dạng, audit nó, hoặc script một luồng cấp phát nội bộ — nhưng gateway yêu cầu một session token Admin workspace và một gói trả phí để tiếp cận nó: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
Một thân rỗng cài đặt tất cả các control trong pack: 
POST /api/compliance/packs/owasp_llm/install
Phản hồi là bản ghi cài đặt — pack key, phiên bản đã ghim, mode: observe, và các id của guardrail_idfirewall_policy_id đã hiện thực hóa để bạn có thể mở chúng ngay lập tức.
Một thân dị dạng (không rỗng nhưng không parse được) bị từ chối, không được âm thầm xử lý như “cài đặt mọi thứ” — nên một bug serialize của client không bao giờ có thể âm thầm mở rộng một lần cài đặt một phần thành toàn bộ framework. Hãy gửi JSON hợp lệ, hoặc không gửi gì cả.

4. Sau khi cài đặt

Sau đóỞ đâu
Xem trong pack có gìNội dung pack
Đưa nó lên liveObserve vs enforce
Sinh bằng chứng có chữ kýBáo cáo có chữ ký
Cài đặt là nước đi đầu tiên rẻ, đảo ngược được: nó không tốn traffic thực, nó idempotent, và gỡ cài đặt loại bỏ cả hai mặt phẳng đã hiện thực hóa một cách sạch sẽ. Bước có chủ ý là go-live — đó là nơi các hành động block/mask/deny đã khai báo bật lên.
Vì sao cần một gói trả phí để cài đặt chứ không chỉ để thực thi? Hiện thực hóa một framework thành chính sách có thể chỉnh sửa trực tiếp là khoảnh khắc giá trị — gateway kiểm soát nó ở lúc cài đặt và lại ở lúc go-live để ranh giới nâng cấp là tường minh, không bao giờ là một 403 bất ngờ giữa lúc triển khai.

5. Liên quan

Phân tầng theo gói

Chính xác những hành động compliance nào miễn phí, và những cái nào cần một gói trả phí.

Observe vs enforce

Cách chế độ observe thu thập bằng chứng và những gì thay đổi ở go-live.

Ma trận control

Cách mỗi control framework ánh xạ lên các guardrail gateway và quy tắc firewall.

OWASP LLM Top 10

Pack ánh xạ lên các mối đe dọa bảo mật agent trong phần này.

Tham chiếu Guardrails

Mặt phẳng nội dung mà một lần cài đặt hiện thực hóa — quy tắc, PII, hành động.

Tham chiếu Agent Firewall

Mặt phẳng cuộc gọi tool mà một lần cài đặt hiện thực hóa — verdict và bề mặt.
Về bức tranh lớn hơn của bên nào của ranh giới bạn sở hữu so với gateway, xem Trách nhiệm chia sẻ; về catalog framework, xem Frameworks.