1. Les trois postures en un coup d’œil
| Posture | Ce qui arrive au trafic | Mécanisme | Quand l’utiliser |
|---|---|---|---|
| Observe | Tout le trafic est autorisé ; les appels sans politique sont journalisés comme des écarts de couverture | Mode observe activé au niveau de l’espace de travail ; règles guardrail utilisant l’action flag ; default_verdict firewall est audit | Découverte de base — comprendre ce que vos agents font réellement avant d’écrire une seule règle |
| Shadow | Le trafic est autorisé ; une politique évalue et les blocks potentiels sont journalisés comme [shadow] would … | Flag shadow_mode par politique sur la politique firewall | Validation pré-production sûre — confirmez qu’une politique se déclenche correctement avant qu’elle ne touche le trafic |
| Enforce | Les vrais verdicts s’appliquent — deny bloque, sanitize redacte, pending_approval met en attente | Shadow mode désactivé ; actions guardrail définies sur block / mask ; verdicts firewall sont actifs | Application en production après avoir vérifié la politique en shadow |
Exigence de rôle. Tout membre de l’espace de travail peut lire les
politiques, les réglages et la vue des outils découverts ; les flux Events
et Runs du firewall nécessitent le rôle Developer. Modifier les
réglages, les actions de politique ou
shadow_mode nécessite également
Developer ou supérieur.2. Posture Observe — mesurez avant de régler
La posture observe n’est pas un interrupteur unique. C’est une combinaison de trois mécanismes indépendants qui produisent ensemble « autoriser tout, enregistrer tout » :Mode observe du Firewall (réglage de l’espace de travail)
Quand un appel d’outil se résout à aucune politique du tout — pas d’attachement de clé et pas de défaut d’espace de travail — le mode observe au niveau de l’espace de travail du firewall détermine ce qui se passe :- Mode observe activé : l’appel est autorisé et journalisé comme un écart de couverture. La vue Discovered Tools se remplit de ces événements d’écart, montrant exactement quels outils vos agents exécutent sans aucune règle les couvrant.
- Mode observe désactivé : l’appel est autorisé silencieusement — byte-identique à un espace de travail qui n’a jamais activé la fonctionnalité.
Verdict audit du Firewall (défaut par politique)
Quand une politique se résout mais qu’aucune règle ne correspond à un appel
d’outil, le default_verdict de la politique s’applique. La valeur par défaut
de default_verdict est audit — autorise l’appel et l’enregistre pour
revue. Une nouvelle politique sans règles et sans changement de configuration
ne bloque rien et n’autorise rien silencieusement : elle audite tout ce qu’elle
voit.
audit est aussi un verdict de règle normal. Une règle qui correspond et
produit audit laisse passer l’appel et l’enregistre — l’analogue du mode
audit des guardrails pour le firewall.
Action flag des Guardrails (action de règle par règle)
Côté guardrails, l’action flag est l’équivalent d’observe : la règle se
déclenche, une correspondance est enregistrée dans le flux Matches, et la
requête continue sans modification. Pas de block. Pas de redaction. Utilisez
flag quand vous voulez mesurer une règle — voir à quelle fréquence elle se
déclenche et sur quoi — avant de vous engager sur block ou mask.
Ensemble, ces trois mécanismes produisent la posture observe : le mode observe intercepte les appels d’outils non couverts ; les verdicts
audit couvrent
les appels d’outils sous une politique mais pas encore sous une règle
spécifique ; les actions flag couvrent les vérifications guardrail que
vous n’êtes pas encore prêt à appliquer.
3. Posture Shadow — validez avant d’appliquer
Le mode shadow est un flag par politique (shadow_mode: true) sur une
politique firewall. Quand il est activé :
- La politique évalue chaque appel d’outil exactement comme elle le ferait en production — les règles sont comparées, les verdicts calculés, les prédicats d’arguments testés.
- Chaque verdict appliquant (
deny,sanitize,pending_approval) est rétrogradé enauditavant d’atteindre l’outil. - La raison journalisée est préfixée
[shadow] would …afin que vous puissiez voir dans le flux d’événements exactement ce qui aurait été bloqué, assaini ou mis en attente.
Les Guardrails n’ont pas d’équivalent
shadow_mode au niveau de la politique
— utilisez l’action flag par règle pour observer des vérifications guardrail
individuelles avant de passer à block ou mask.4. Posture Enforce — vrais verdicts, vraies conséquences
Dans la posture enforce, rien n’est rétrogradé :- Firewall
deny→ l’agent voit une erreur d’outil (MCP) ou HTTP 400firewall_blocked(surface inbound). L’erreur nomme l’outil et la raison. Marqué skip-retry. - Firewall
sanitize→ les sous-chaînes correspondantes sont redactées des arguments de l’outil et l’appel nettoyé est transféré. - Firewall
pending_approval→ l’appel est mis en attente ; l’agent reçoit HTTP 400firewall_approval_pendinget un id d’approbation à interroger. - Guardrail
block→ HTTP 400guardrail_blocked, nommant le guardrail et la règle qui s’est déclenchée. Ne coûte aucun quota. - Guardrail
mask→ la correspondance est redactée (ex.jane@acme.com→[EMAIL]) et la requête continue avec le texte assaini.
shadow_mode sur la politique
firewall, et changez les actions des règles guardrail de flag en block ou
mask selon le cas.
5. Déploiement recommandé
Observe — découvrez ce que vos agents font
Activez le mode observe de l’espace de travail (
PUT /api/workspace/firewall/settings, firewall_observe_mode: true). Laissez
le firewall sans politique (ou avec une politique dont le default_verdict
est audit). Ajoutez des actions flag à toutes les règles guardrail que
vous voulez mesurer.Regardez la vue Discovered Tools se remplir avec chaque appel d’outil
que vos agents effectuent, marqué covered ou gap. Utilisez cela
comme entrée pour rédiger vos premières règles de politique — vous rédigez
des règles pour du trafic réel, pas hypothétique.Laissez tourner jusqu’à ce que la vue Discovered Tools se stabilise et que
vous ayez suffisamment de données pour rédiger des règles intentionnelles.Shadow — validez avant l'application
Rédigez une politique firewall avec
shadow_mode: true. Attachez-la aux
clés que vous voulez gouverner (ou définissez-la comme défaut de l’espace
de travail). Pour les guardrails, gardez les actions des règles en flag
à cette étape.La politique évalue maintenant chaque appel d’outil réel et journalise
ce qu’elle ferait. Ouvrez les vues Events et Runs et filtrez par
préfixe [shadow]. Confirmez :- Elle se déclenche sur les outils et les patterns d’arguments que vous avez voulu.
- Elle ne se déclenche pas sur ce que vous voulez autoriser (faux positifs).
Enforce — basculez l'interrupteur
Définissez
shadow_mode: false sur la politique. Pour toutes les règles
guardrail que vous observiez avec flag, changez l’action en block ou
mask selon le cas.Surveillez le flux Events pour des blocks inattendus dans la première
heure. L’action Undo sur le journal d’audit d’autonomie vous permet de
restaurer l’état précédent en un clic si vous devez faire marche arrière.6. Niveaux d’autonomie — définissez tout d’un coup
Ajuster les politiques règle par règle est le chemin précis. Les niveaux d’autonomie sont le chemin rapide — un seul contrôle qui définit atomiquement la posture Firewall et Guardrails de votre espace de travail en une transaction, avec annulation en un clic :| Niveau | Posture produite |
|---|---|
permissive | Posture observe : pas de politique appliquante, pas de guardrails, mode observe de l’espace de travail activé — vous voyez tout, rien n’est bloqué. Correspond à l’étape Observe ci-dessus. |
balanced | Verdict par défaut audit, mais le shell destructeur est refusé ; PII Shield s’exécute en mode audit uniquement (signale la PII) ; mode observe désactivé. La posture de départ recommandée une fois que vous connaissez la forme de votre trafic. |
tight | Application complète : refus par défaut, avec shell destructeur et egress SSRF refusés ; guardrails PII Shield + Secrets Blocker appliqués (filtrent vos requêtes pour la PII et les secrets) ; mode observe désactivé. |
POST /api/workspace/firewall/autonomy (Developer+). L’endpoint
Simulate (GET /api/workspace/firewall/simulate?level=) prévisualise ce
qu’un changement de niveau ferait avant que vous ne l’appliquiez.
Les niveaux d’autonomie sont une couche de commodité sur les mêmes mécanismes
décrits ci-dessus — ils définissent
default_verdict, le mode observe, les
règles firewall et les actions des règles guardrail. Ils ne basculent pas
shadow_mode ; celui-ci reste un contrôle manuel par politique. Vous pouvez
toujours remplacer des réglages individuels après avoir appliqué un niveau.7. Carte des mécanismes — quel réglage fait quoi
Ce tableau est la référence authoritative. Les quatre termes sont distincts — ne les confondez pas :| Terme | Type | Ce qu’il contrôle |
|---|---|---|
| Mode observe | Réglage de l’espace de travail | Comportement quand un appel d’outil se résout à aucune politique. Activé → journaliser comme écart (Discovered Tools). Désactivé → autorisation silencieuse. |
Verdict audit | Verdict de politique / règle | Comportement pour un appel d’outil sous une politique qui correspond (ou tombe sur le défaut). Autoriser + enregistrer. Le default_verdict par défaut. |
Action flag | Action de règle guardrail | La vérification guardrail autorise le trafic et enregistre une correspondance. L’action observe-sans-appliquer pour les guardrails. |
shadow_mode | Flag par politique-firewall | Rétrograde tous les verdicts appliquants (deny/sanitize/pending_approval) en audit et préfixe la raison avec [shadow] would …. |
Référentiel Secure Agents
La posture de départ recommandée et la configuration en cinq minutes pour
la sécurité des agents zero trust.
Agent Firewall
Référence complète des politiques, règles, verdicts, mode shadow, et la
passerelle MCP.