⚡ Aplicação de Estado

O núcleo do Vigo. Defina o estado pretendido em YAML, os agentes aplicam-no de forma idempotente.

69 tipos de recurso

Ficheiros, pacotes, serviços, utilizadores, cron, firewall, Docker, IIS, registo, ACLs, certificados, montagens, sysctl, dispositivos de rede e mais — 68 integrados, mais um executor personalizado fornecido pelo utilizador para a sua própria lógica. Cada tipo de recurso verifica o estado antes de agir — sem alterações desnecessárias.

7 sistemas operativos

Linux, macOS, FreeBSD, OpenBSD, NetBSD, illumos e Windows. Escreva uma configuração, o agente encaminha para o backend correto, incluindo 16 executores via SSH para dispositivos de rede Cisco, Arista e Juniper.

Lógica condicional & templates

Expressões when: com lógica booleana e builtins (os_family, has_command, arch, version_ge, is_container, has_service) condicionam qualquer recurso — o servidor avalia o que pode e passa o resto ao agente. Templates Go em content: e ficheiros source: externos renderizam .Traits e .Vars para configuração dinâmica. Sem DSL, sem plugins.

Execução ordenada por DAG

depends_on cria um grafo acíclico dirigido. Os recursos executam em ordem topológica. notify e subscribes desencadeiam reaplicação quando uma dependência muda. Dependências circulares são rejeitadas no carregamento da configuração.

Retração de configcrate

Declare state: absent num configcrate e o Vigo inverte o que aplicou na próxima verificação: ficheiros eliminados, pacotes desinstalados, serviços parados e desativados, comandos desfeitos através do seu rollback declarado. É apenas configuração — declarativa, versionada e resolvida do mais específico para o menos específico, por isso pode retrair em toda a frota e manter um único host em present. Do lado do servidor; sem reimplantação do agente. Para um recurso que não pode ser revertido automaticamente, o Vigo gera um .retract para rever e publicar.

Convergência offline

Os agentes guardam em cache pacotes de política assinados em LMDB. Quando o servidor não está acessível, a convergência continua com a última política conhecida. Os resultados ficam em fila localmente e são enviados na reconexão.

Modo de observação

Simulação controlada pelo servidor. Por nó ou em toda a frota. Os agentes reportam o que mudariam sem aplicar nada. Um caminho de migração seguro a partir da sua gestão de configuração existente.

YAML renderizado por envoy mostrando um configcrate cis-ubuntu-access com o recurso de serviço 5.1.1-cron-enabled e o recurso exec 5.1.2-crontab-permissions — exatamente o que o agente recebeu após herança de caminho e fusão

Configuração renderizada por envoy — sem dúvidas sobre o que o agente vai aplicar

Página de configuração do servidor Vigo mostrando 11 secções ativas e 29 disponíveis — server, database, auth, checkin, watcher, secrets, bootstrap, spanner, tuning, smtp, ai, backup, export, publish, rate_limit, maintenance — cada uma com controlos de ativar/desativar

Configuração do servidor — 29 secções configuráveis, recarga a quente

🔒 Conformidade & Segurança

22 frameworks regulatórios mapeados para controlos aplicáveis. Declarações honestas — o Vigo reporta o que aplica vs. o que atesta vs. o que requer validação externa.

22 frameworks de conformidade

HIPAA, SOC 2, PCI DSS v4.0, NIST 800-53, ISO 27001, CIS Benchmarks (Ubuntu, RHEL, Windows), GDPR, NERC CIP, HITRUST, IEC 62443, SOX, FINRA, MiFID II, FDA 21 CFR Part 11, Cyber Essentials Plus, CCSS, UKGC, Nevada GCB, MGA, NY DFS 23 NYCRR 500.

Acompanhamento de conformidade por envoy

Percentagem de cobertura de framework por nó. Veja em detalhe quais os controlos satisfeitos, os que estão em falta e quais os configcrates que fechariam a lacuna. Derrogações de conformidade com aprovador, motivo e validade.

Aplicação do benchmark CIS

Configcrates pré-construídos para os benchmarks CIS Ubuntu, RHEL e Windows Server. 260+ controlos de Nível 1 e Nível 2 aplicados através de recursos idempotentes, não apenas analisados.

Quantificação de risco

Avaliação de risco por nó (0–100) a partir de sete fatores ponderados: CVEs, hardening, rootkits, integridade, portas abertas, convergência e conectividade. Painel de risco da frota com sparklines de tendência de 30 dias.

Análise de impacto de CVE

Os agentes recolhem dados de CVE do Trivy, Debsecan e Windows Update — desduplicados entre scanners. Pesquise a frota a partir da CLI ou da interface web: quais os nós afetados por uma determinada CVE, distribuição de severidade e caminhos de remediação. Enriquecimento NVD opcional com pontuação CVSS.

Remediação redigida por IA

Clique em Ask Claude em qualquer CVE ou resultado de hardening. O assistente lê o estado da sua frota e elabora uma estratégia de remediação — o configcrate .vgo exato a publicar, ordem de atualização, restrições de versão e notas de dependências. Sem momentos em branco para a sua equipa de operações.

Agente de verificação Connwaer

Agente autónomo para verificação ativa de conformidade. Valida controlos que não podem ser provados apenas através da aplicação: armazenamento WORM, qualidade de RNG, encriptação em repouso, segmentação de rede, ciclo de vida HSM. 18 capacidades de verificação.

Painel de detalhes de impacto de CVE do Vigo agrupando 7 pacotes afetados por CVE, com colunas de scanners Trivy / Debsecan / Lynis / rkhunter / ClamAV / AIDE e botões de remediação com IA

🖥 Acesso Remoto (Scrier)

SSH e RDP via browser através do túnel mTLS existente do agente. Sem VPN, sem bastion, sem reencaminhamento de portas.

Terminal SSH — browser ou CLI

Terminal completo no browser via xterm.js — bytes PTY brutos via WebSocket, sem Guacamole para SSH. Ou execute vigocli scrier ssh <envoy> a partir da sua estação de trabalho pelo mesmo túnel: TTY nativo, redimensionamento de janela, códigos de saída. De qualquer forma, sem porta de entrada no envoy e sem bastion SSH a gerir.

Ambiente de trabalho gráfico RDP

Ambiente de trabalho Windows ou Linux completo via Guacamole. Ajuste à janela ou escala 1:1 com barras de deslocamento. Funciona com xrdp no Linux, RDP nativo no Windows.

Credenciais efémeras

As chaves SSH são geradas por sessão e nunca armazenadas no servidor. Mapeamento de nome de utilizador web-para-SO via CLI. Sem credenciais permanentes na base de dados do Vigo.

Trilha de auditoria

Cada sessão é registada no log de auditoria à prova de adulteração: quem se ligou, quando, qual o protocolo, qual o envoy. As sessões são rastreadas e podem ser terminadas a partir do servidor.

Modo Sombra / Assistência

Veja e controle a sessão de ambiente de trabalho em direto de um utilizador em tempo real. O help desk pode observar o ecrã do utilizador ou tomar o controlo para ajudar. Pedidos de consentimento do utilizador com políticas configuráveis (sempre, uma vez, nunca). Linux via x11vnc, Windows via TightVNC.

Zero infraestrutura adicional

O Scrier cria um túnel através da ligação gRPC existente do agente. Sem bastion SSH, sem concentrador VPN, sem jump box. Uma superfície de ataque a menos para gerir e auditar.

🔧 Orquestração

Comandos ad-hoc, tarefas reutilizáveis, fluxos de trabalho de múltiplos passos e execução progressiva em toda a sua frota.

Tarefas ad-hoc

Distribua comandos para qualquer envoy ou grupo de envoys a partir da CLI ou da interface web. Os resultados fluem em tempo real. A validação pré-distribuição bloqueia comandos perigosos a menos que --force seja especificado.

Consultas ao vivo

Consulte o estado da frota em tempo real. Peça utilização de disco, processos em execução, versões de pacotes ou qualquer trait em todos os envoys. Resultados agregados e devolvidos em segundos.

Fluxos de trabalho nomeados

Orquestração de múltiplos passos com ramificação condicional e suporte a interrupção. Defina em YAML, acione a partir da CLI ou API. Os passos podem aguardar resultados antes de prosseguir.

Execução progressiva

Divida os alvos em lotes com tamanho de lote configurável e verificações de saúde entre rondas. Se um lote falhar, o rollout para antes de afetar o resto da frota.

11 integrações nativas + webhooks para qualquer coisa

Slack, PagerDuty, Opsgenie, Teams, ConnectWise, Autotask, ServiceNow, Splunk, Datadog, Elastic e Loki — mais webhooks de saída assinados com HMAC para qualquer outra coisa. Alertas orientados a eventos para segurança, conformidade, convergência e rotação de segredos.

Assistente de IA

Faça perguntas sobre a sua frota em linguagem natural. Suportado por Claude, OpenAI ou Ollama. O assistente tem acesso a ferramentas para consultar envoys, ler configurações, verificar conformidade e explicar resultados de convergência.

Página de integrações do Vigo com integrações nativas agrupadas por categoria — Alertas/Chat, ITSM/PSA, SIEM/Observabilidade — com controlos de ativação/configuração por integração

💻 Infraestrutura

Ciclo de vida de bare metal, inventário de sistemas e visibilidade em toda a frota.

Funciona atrás de qualquer firewall

Os agentes ligam-se em sentido de saída ao servidor — o servidor nunca se liga em sentido de entrada. Portáteis atrás de routers domésticos, VMs atrás de grupos de segurança, dispositivos móveis em redes móveis — tudo funciona sem VPNs, reencaminhamento de portas ou regras de firewall. Apenas dois portas de saída necessárias.

50 coletores de traits

SO, hardware, rede, disco, CPU, GPU, firmware, resultados de análise de segurança, contagens de pacotes, TPM, drivers NIC e mais. Coletores de traits personalizados para inventário específico do local. Todos os traits disponíveis em templates e expressões when:.

Rastreio de configuração

Um comando mostra a cadeia de resolução completa para qualquer nó: herança de caminho, resolução de configcrate, substituições de variáveis, DAG de dependências, etiquetas de conformidade, derrogações e expressões condicionais — tudo rastreado até ao ficheiro de origem exato.

Métricas Prometheus

80+ métricas expostas em /metrics: detalhe de convergência, postura de segurança (CVEs por severidade, hardening, rootkit/malware/integridade), distribuição de risco e contadores da frota. Cinco dashboards Grafana pré-construídos.

Federação hub-spoke (Spanner)

Quando um servidor não chega, distribua a inscrição, consultas e tarefas pelos servidores spoke. Cada spoke gere a sua própria frota. O hub agrega. Sem base de dados partilhada.

Trilha de auditoria à prova de adulteração

Cada ação administrativa — inscrição, revogação, distribuição de tarefas, acesso a segredos, publicação de configuração, sessão Scrier — registada num log de auditoria encadeado por hash. Exportação para evidências de conformidade.

Página de inventário do Vigo com contagens da frota (envoys, famílias de SO, versões de SO) e uma pesquisa interativa de traits explorando blockdevices.nvme0n1.readonly com resultados por nome de host

Inventário da frota — pesquisa interativa de traits

Página por envoy do Vigo para girlslaptop com estado Convergido, data de inscrição, abas Historial de Desvios / Execuções Recentes / Traits / Ver Configuração / Rastreio de Configuração / Conformidade com Normas / Superfície de Ataque / Sessões, e botões de ação SSH / RDP / Sombra

Detalhe por envoy — histórico de desvios, traits, rastreio de configuração, acesso remoto

🕸 Peer-to-Peer (Swarm)

Uma rede peer-to-peer exclusiva de envoys — distribuição de conteúdo, sincronização de ficheiros, git privado, artefactos e um log ordenado, servidos diretamente entre as suas próprias máquinas sem o servidor no caminho dos dados.

Swarm — o substrato P2P

Blobs endereçados por conteúdo fragmentados por SHA256 e servidos peer-to-peer via mTLS, com agendamento por mais raro, limitação de largura de banda adaptativa e descoberta de pares multicast em LAN. Sem servidor no caminho dos dados — tudo o que se segue corre sobre o Swarm.

Filecast — distribuição de ficheiros iniciada pelo administrador

Distribua payloads arbitrários do operador para a frota. Semeie um ficheiro com vigocli swarm filecast distribute (ou a partir da interface de administração) e cada envoy alvo obtém-no peer-to-peer via Swarm. Acompanhamento do progresso em tempo real por envoy com visualização da fonte de fragmento.

Longdrawer — sincronização de ficheiros em LAN por utilizador

Coloque um ficheiro em ~/longdrawer/ e aparece em todas as outras máquinas onde tem uma conta. Elimine-o e desaparece em todo o lado. Apenas em LAN, totalmente peer-to-peer, sem envolvimento do servidor, sem configuração, sem comandos.

Lockbox — sincronização de ficheiros encriptados por utilizador

Como o Longdrawer mas texto cifrado em repouso em cada envoy. Coloque um ficheiro em texto simples no principal, o lockbox encripta-o com a chave pública de cada par e distribui o texto cifrado. Desbloqueie com vigo swarm puddle unlock para desencriptar. Escolha este para tudo o que queira que permaneça ilegível numa máquina roubada.

Gitback — o seu código fonte fica na sua rede

Se preferir não enviar código proprietário para um anfitrião git de terceiros, o Gitback espelha os seus repositórios pelos envoys que já gere. Execute vigo swarm gitback project init em qualquer repositório; cada push é distribuído como um bundle para os seus outros envoys via mTLS. Se a sua estação de trabalho avariar, git clone gitback://<o-seu-nome>/<repo> a partir de outra máquina recupera o histórico completo. Sem serviço git externo, sem webhooks, sem código a sair da sua rede.

Curator — registo de artefactos endereçado por conteúdo

Um registo peer-to-peer para binários e imagens de contentor, enraizado na identidade puddle por utilizador. Os artefactos são endereçados por conteúdo e servidos entre envoys via Swarm — sem registo externo, sem servidor no caminho dos dados.

Poolq — log de frota de adição sequencial ordenada

Um log e fila de adição sequencial ordenada partilhada pela frota, enraizado na identidade puddle por utilizador. Os produtores acrescentam, os consumidores leem em ordem — tudo peer-to-peer via Swarm.

Funcionalidades