⚡ Applicazione dello stato

Il nucleo di Vigo. Definisci lo stato desiderato in YAML, gli agenti lo applicano in modo idempotente.

69 tipi di risorsa

File, pacchetti, servizi, utenti, cron, firewall, Docker, IIS, registro, ACL, certificati, mount, sysctl, dispositivi di rete e altro — 68 integrati, più un esecutore personalizzato fornito dall'utente per la logica personalizzata. Ogni tipo di risorsa verifica lo stato prima di agire — nessuna modifica non necessaria.

7 sistemi operativi

Linux, macOS, FreeBSD, OpenBSD, NetBSD, illumos e Windows. Scrivi una configurazione, l'agente dispaccerà al backend corretto, inclusi 16 esecutori SSH per dispositivi di rete Cisco, Arista e Juniper.

Logica condizionale e templating

Le espressioni when: con logica booleana e built-in (os_family, has_command, arch, version_ge, is_container, has_service) gestiscono qualsiasi risorsa — il server valuta ciò che può e passa il resto all'agente. I template Go in content: e nei file source: esterni rendono .Traits e .Vars per configurazioni dinamiche. Nessun DSL, nessun plugin.

Esecuzione ordinata per DAG

depends_on crea un grafo aciclico diretto. Le risorse vengono eseguite in ordine topologico. notify e subscribes attivano la ri-applicazione quando una dipendenza cambia. Le dipendenze circolari vengono rifiutate al momento del caricamento della configurazione.

Ritiro del configcrate

Dichiara state: absent su un configcrate e Vigo inverte quanto applicato alla verifica successiva: file eliminati, pacchetti disinstallati, servizi arrestati e disabilitati, comandi annullati tramite il rollback dichiarato. È solo configurazione — dichiarativa, versionata e risolta con priorità al più specifico, così puoi ritirare sull'intera flotta e mantenere un singolo host su present. Lato server; nessun rideploy dell'agente. Per una risorsa che non può essere invertita automaticamente, Vigo genera un .retract da rivedere e pubblicare.

Convergenza offline

Gli agenti memorizzano nella cache i bundle di policy firmati in LMDB. Quando il server non è raggiungibile, la convergenza continua usando l'ultima policy nota. I risultati si accodano localmente e si svuotano alla riconnessione.

Modalità di osservazione

Dry-run controllato dal server. Per nodo o per l'intera flotta. Gli agenti segnalano cosa cambierebbero senza applicare nulla. Un percorso di migrazione sicuro dalla tua gestione della configurazione esistente.

YAML renderizzato per envoy che mostra un configcrate cis-ubuntu-access con la risorsa service 5.1.1-cron-enabled e la risorsa exec 5.1.2-crontab-permissions — esattamente ciò che l'agente ha ricevuto dopo l'ereditarietà del percorso e la fusione

Configurazione renderizzata per envoy — nessuna supposizione su cosa applicherà l'agente

Pagina di configurazione del server Vigo che mostra 11 sezioni abilitate e 29 disponibili — server, database, auth, checkin, watcher, secrets, bootstrap, spanner, tuning, smtp, ai, backup, export, publish, rate_limit, maintenance — ciascuna con toggle abilita/disabilita

Configurazione del server — 29 sezioni attivabili, ricaricamento in tempo reale

🔒 Conformità e sicurezza

22 framework normativi mappati a controlli applicabili. Dichiarazioni oneste — Vigo riporta ciò che applica rispetto a ciò che attesta rispetto a ciò che richiede validazione esterna.

22 framework di conformità

HIPAA, SOC 2, PCI DSS v4.0, NIST 800-53, ISO 27001, CIS Benchmarks (Ubuntu, RHEL, Windows), GDPR, NERC CIP, HITRUST, IEC 62443, SOX, FINRA, MiFID II, FDA 21 CFR Part 11, Cyber Essentials Plus, CCSS, UKGC, Nevada GCB, MGA, NY DFS 23 NYCRR 500.

Monitoraggio della conformità per envoy

Percentuale di copertura del framework per nodo. Approfondisci quali controlli sono soddisfatti, quali mancano e quali configcrate colmerebbero il divario. Esenzioni di conformità con approvatore, motivo e scadenza.

Applicazione dei benchmark CIS

Configcrate preconfigurati per i benchmark CIS Ubuntu, RHEL e Windows Server. Oltre 260 controlli di livello 1 e livello 2 applicati tramite risorse idempotenti, non solo scansionati.

Quantificazione del rischio

Valutazione del rischio per nodo (0–100) da sette fattori ponderati: CVE, hardening, rootkit, integrità, porte aperte, convergenza e connettività. Dashboard del rischio a livello di flotta con sparkline di tendenza a 30 giorni.

Analisi dell'impatto CVE

Gli agenti raccolgono dati CVE da Trivy, Debsecan e Windows Update — deduplicati tra gli scanner. Cerca nella flotta dalla CLI o dall'interfaccia web: quali nodi sono interessati da un dato CVE, ripartizione della gravità e percorsi di remediation. Arricchimento NVD opzionale con punteggio CVSS.

Remediation redatta dall'IA

Fai clic su Ask Claude su qualsiasi CVE o risultato di hardening. L'assistente legge lo stato della tua flotta e redige una strategia di remediation — l'esatto configcrate .vgo da pubblicare, l'ordine di aggiornamento, i vincoli di versione e le note sulle dipendenze. Nessun momento di pagina bianca per il tuo team operativo.

Agente di verifica Connwaer

Agente standalone per la verifica attiva della conformità. Valida i controlli che non possono essere dimostrati solo attraverso l'applicazione: storage WORM, qualità RNG, crittografia a riposo, segmentazione di rete, ciclo di vita HSM. 18 capacità di verifica.

Pannello di dettaglio dell'impatto CVE di Vigo che raggruppa 7 pacchetti interessati per CVE, con colonne degli scanner Trivy / Debsecan / Lynis / rkhunter / ClamAV / AIDE e pulsanti Ask AI per la remediation

🖥 Accesso remoto (Scrier)

SSH e RDP da browser attraverso il tunnel mTLS esistente dell'agente. Nessuna VPN, nessun bastion, nessun port forwarding.

Terminale SSH — browser o CLI

Terminale completo nel browser via xterm.js — byte PTY raw su WebSocket, nessun Guacamole per SSH. Oppure esegui vigocli scrier ssh <envoy> dalla tua workstation sullo stesso tunnel: TTY nativo, ridimensionamento finestra, codici di uscita. In entrambi i casi, nessuna porta in ingresso sull'envoy e nessun bastion SSH da gestire.

Desktop grafico RDP

Desktop Windows o Linux completo via Guacamole. Adattamento alla finestra o scala 1:1 con barre di scorrimento. Funziona con xrdp su Linux, RDP nativo su Windows.

Credenziali temporanee

Le chiavi SSH vengono generate per sessione e non vengono mai memorizzate sul server. Mappatura del nome utente web-OS tramite CLI. Nessuna credenziale permanente nel database Vigo.

Registro di audit

Ogni sessione viene registrata nel log di audit a prova di manomissione: chi si è connesso, quando, quale protocollo, quale envoy. Le sessioni vengono monitorate e possono essere terminate dal server.

Modalità Shadow / Assist

Visualizza e controlla la sessione desktop live di un utente in tempo reale. L'helpdesk può osservare lo schermo dell'utente o prendere il controllo per assistere. Richieste di consenso dell'utente con policy configurabili (sempre, una volta, mai). Linux via x11vnc, Windows via TightVNC.

Zero infrastruttura aggiuntiva

Scrier fa tunneling attraverso la connessione gRPC esistente dell'agente. Nessun bastion SSH, nessun concentratore VPN, nessun jump box. Una superficie di attacco in meno da gestire e auditare.

🔧 Orchestrazione

Comandi ad hoc, task riutilizzabili, flussi di lavoro a più fasi ed esecuzione progressiva sull'intera flotta.

Task ad hoc

Invia comandi a qualsiasi envoy o gruppo di envoys dalla CLI o dall'interfaccia web. I risultati fluiscono in tempo reale. La validazione pre-invio blocca i comandi pericolosi a meno che non venga specificato --force.

Query in tempo reale

Interroga lo stato della flotta in tempo reale. Chiedi utilizzo disco, processi in esecuzione, versioni dei pacchetti o qualsiasi attributo su tutti gli envoys. I risultati vengono aggregati e restituiti in pochi secondi.

Workflow con nome

Orchestrazione a più fasi con branching condizionale e supporto all'interruzione. Definisci in YAML, attiva dalla CLI o dall'API. I passaggi possono attendere i risultati prima di procedere.

Esecuzione progressiva

Suddividi i target in batch con dimensione del batch configurabile e controlli di salute tra i turni. Se un batch fallisce, il rollout si ferma prima di interessare il resto della flotta.

11 integrazioni native + webhook per tutto il resto

Slack, PagerDuty, Opsgenie, Teams, ConnectWise, Autotask, ServiceNow, Splunk, Datadog, Elastic e Loki — più webhook in uscita firmati HMAC per qualsiasi altra cosa. Alert event-driven per sicurezza, conformità, convergenza e rotazione dei segreti.

Assistente IA

Fai domande sulla tua flotta in linguaggio naturale. Supportato da Claude, OpenAI o Ollama. L'assistente ha accesso agli strumenti per interrogare gli envoys, leggere le configurazioni, verificare la conformità e spiegare i risultati di convergenza.

Pagina integrazioni Vigo che mostra le integrazioni native raggruppate per categoria — Avvisi/Chat, ITSM/PSA, SIEM/Osservabilità — con controlli di abilitazione/configurazione per integrazione

💻 Infrastruttura

Ciclo di vita del bare metal, inventario del sistema e visibilità a livello di flotta.

Funziona dietro qualsiasi firewall

Gli agenti si connettono in uscita al server — il server non si connette mai in ingresso. Laptop dietro router domestici, VM dietro security group, dispositivi mobili su rete cellulare — tutto funziona senza VPN, port forwarding o regole del firewall. Sono richieste solo due porte in uscita.

50 collector di attributi

OS, hardware, rete, disco, CPU, GPU, firmware, risultati della scansione di sicurezza, conteggio pacchetti, TPM, driver NIC e altro ancora. Collector di attributi personalizzati per inventario specifico del sito. Tutti gli attributi disponibili in template ed espressioni when:.

Traccia della configurazione

Un comando mostra la catena di risoluzione completa per qualsiasi nodo: ereditarietà del percorso, risoluzione del configcrate, override delle variabili, DAG delle dipendenze, tag di conformità, esenzioni ed espressioni condizionali — tutto tracciato fino al file sorgente esatto.

Metriche Prometheus

Oltre 80 metriche esposte su /metrics: ripartizione della convergenza, postura di sicurezza (CVE per gravità, hardening, rootkit/malware/integrità), distribuzione del rischio e contatori della flotta. Cinque dashboard Grafana preconfigurati.

Federazione hub-spoke (Spanner)

Quando un server non è sufficiente, distribuisci registrazione, query e task su server spoke. Ogni spoke gestisce la propria flotta. L'hub aggrega. Nessun database condiviso.

Registro di audit a prova di manomissione

Ogni azione amministrativa — registrazione, revoca, invio di task, accesso ai segreti, pubblicazione della configurazione, sessione Scrier — registrata in un log di audit con hash concatenato. Esporta come prova di conformità.

Pagina inventario Vigo con conteggi della flotta (envoys, famiglie OS, versioni OS) e una ricerca di attributi interattiva che esplora blockdevices.nvme0n1.readonly con risultati per hostname

Inventario della flotta — ricerca di attributi interattiva

Pagina per envoy Vigo per girlslaptop con stato Converged, data di registrazione, schede Drift History / Recent Runs / Traits / View Config / Config Trace / Standards Compliance / Attack Surface / Sessions e pulsanti di azione SSH / RDP / Shadow

Dettaglio per envoy — cronologia deriva, attributi, traccia configurazione, accesso remoto

🕸 Peer-to-Peer (Swarm)

Una rete peer-to-peer esclusiva degli envoys — distribuzione dei contenuti, sincronizzazione file, git privato, artefatti e un log ordinato, serviti direttamente tra le tue macchine senza server nel percorso dei dati.

Swarm — il substrato P2P

Blob con indirizzamento per contenuto suddivisi in chunk per SHA256 e serviti peer-to-peer tramite mTLS, con schedulazione rarest-first, throttling adattivo della larghezza di banda e scoperta multicast dei peer sulla LAN. Nessun server nel percorso dei dati — tutto ciò che segue si appoggia su Swarm.

Filecast — distribuzione di file gestita dall'amministratore

Invia payload arbitrari dall'operatore alla flotta. Semina un file con vigocli swarm filecast distribute (o dall'interfaccia di amministrazione), e ogni envoy di destinazione lo recupera peer-to-peer su Swarm. Monitoraggio dei progressi in tempo reale per envoy con visualizzazione della fonte per chunk.

Longdrawer — sincronizzazione file LAN per utente

Metti un file in ~/longdrawer/ e appare su ogni altra macchina dove hai un account. Eliminalo e scomparirà ovunque. Solo LAN, completamente peer-to-peer, nessun coinvolgimento del server, nessuna configurazione, nessun comando.

Lockbox — sincronizzazione file crittografata per utente

Come Longdrawer ma testo cifrato a riposo su ogni envoy. Metti un file in chiaro sul primario, lockbox lo cripta con la chiave pubblica di ogni peer e distribuisce il testo cifrato. Sblocca con vigo swarm puddle unlock per decifrare. Scegli questo per tutto ciò che vuoi che rimanga illeggibile su una macchina rubata.

Gitback — il tuo codice sorgente rimane nella tua rete

Se preferisci non inviare codice proprietario a un host git di terze parti, Gitback crea mirror dei tuoi repository sugli envoys che già gestisci. Esegui vigo swarm gitback project init in qualsiasi repository; ogni push si propaga come bundle agli altri tuoi envoys tramite mTLS. Se la tua workstation si guasta, git clone gitback://<your-name>/<repo> da un'altra macchina recupera tutta la cronologia. Nessun servizio git esterno, nessun webhook, nessun codice che lascia la tua rete.

Curator — registro di artefatti con indirizzamento per contenuto

Un registro peer-to-peer per binari e immagini container, radicato nell'identità puddle per utente. Gli artefatti sono indirizzati per contenuto e serviti tra gli envoys su Swarm — nessun registro esterno, nessun server nel percorso dei dati.

Poolq — log di flotta append-only ordinato

Un log e una coda append-only ordinati condivisi tra la flotta, radicati nell'identità puddle per utente. I produttori aggiungono, i consumatori leggono in ordine — tutto peer-to-peer su Swarm.

Funzionalità