1. Le tre posture a colpo d’occhio
| Postura | Cosa succede al traffico | Meccanismo | Quando usarla |
|---|---|---|---|
| Observe | Tutto il traffico è consentito; le chiamate senza policy vengono loggata come gap di copertura | observe mode a livello di workspace attivo; regole del guardrail usano l’azione flag; default_verdict del firewall è audit | Discovery baseline — capire cosa fanno davvero i tuoi agent prima di scrivere una singola regola |
| Shadow | Il traffico è consentito; una policy valuta e i block potenziali vengono loggati come [shadow] would … | Flag shadow_mode per policy sul firewall | Validazione pre-produzione sicura — conferma che una policy scatta correttamente prima che tocchi il traffico |
| Enforce | I verdetti reali si applicano — deny blocca, sanitize redige, pending_approval trattiene | Shadow mode disattivo; azioni delle regole del guardrail impostate su block / mask; verdetti del firewall attivi | Applicazione in produzione dopo aver verificato la policy in shadow |
Requisito di ruolo. Qualsiasi membro del workspace può leggere policy,
impostazioni e la vista dei discovered tools; i feed Events e Runs del
firewall richiedono il ruolo Developer. Modificare impostazioni, azioni
delle policy o
shadow_mode richiede anche Developer o superiore.2. Postura Observe — misura prima di regolare
La postura observe non è un singolo switch. È una combinazione di tre meccanismi indipendenti che insieme producono “consenti tutto, registra tutto”:Observe mode del firewall (impostazione del workspace)
Quando una chiamata a tool si risolve in nessuna policy — nessun collegamento della chiave e nessun default del workspace — l’observe mode a livello di workspace del firewall determina cosa succede:- Observe mode attivo: la chiamata è consentita e loggata come gap di copertura. La vista Discovered Tools si riempie di questi eventi di gap, mostrando esattamente quali tool i tuoi agent stanno eseguendo senza che nessuna regola li copra.
- Observe mode disattivo: la chiamata è consentita silenziosamente — byte-identica a un workspace che non ha mai abilitato la feature.
Verdetto audit del firewall (default per policy)
Quando una policy si risolve ma nessuna regola corrisponde a una chiamata a
tool, si applica il default_verdict della policy. Il valore di default per
default_verdict è audit — consenti la chiamata e registrala per
revisione. Una nuova policy senza regole e senza modifiche alla configurazione
non blocca nulla e non consente silenziosamente nulla: audita tutto ciò che vede.
audit è anche un normale verdetto di regola. Una regola che corrisponde e
produce audit lascia passare la chiamata e la registra — l’analogo della
modalità audit del guardrail per il firewall.
Azione flag del guardrail (azione per regola)
Sul lato dei guardrail, l’azione flag è l’equivalente di observe: la regola
scatta, un match viene registrato nel feed Matches, e la richiesta continua
invariata. Nessun block. Nessuna redazione. Usa flag quando vuoi misurare
una regola — vedere quanto spesso scatta e su cosa — prima di impegnarti su
block o mask.
Insieme, questi tre producono la postura observe: l’observe mode cattura le chiamate a tool non coperte; i verdetti
audit coprono le chiamate a tool
sotto una policy ma non ancora sotto una regola specifica; le azioni flag
coprono i controlli del guardrail che non sei ancora pronto ad applicare.
3. Postura Shadow — valida prima di applicare
La shadow mode è un flag per policy (shadow_mode: true) su una policy del
firewall. Quando è attiva:
- La policy valuta ogni chiamata a tool esattamente come farebbe in produzione — le regole vengono matchate, i verdetti vengono calcolati, i predicati sugli argomenti vengono testati.
- Ogni verdetto applicativo (
deny,sanitize,pending_approval) viene declassato aauditprima di raggiungere il tool. - La motivazione loggata è prefissata con
[shadow] would …così puoi vedere nel feed degli eventi esattamente cosa sarebbe stato bloccato, sanitizzato o trattenuto.
I Guardrails non hanno un equivalente di
shadow_mode a livello di policy —
usa l’azione flag per regola per osservare i singoli controlli del guardrail
prima di passare a block o mask.4. Postura Enforce — verdetti reali, conseguenze reali
Nella postura enforce, nulla viene declassato:- Firewall
deny→ l’agent vede un errore di tool (MCP) o HTTP 400firewall_blocked(superficie inbound). L’errore nomina il tool e la motivazione. Marcato skip-retry. - Firewall
sanitize→ le sottostringhe corrispondenti vengono redatte dagli argomenti del tool e la chiamata ripulita viene inoltrata. - Firewall
pending_approval→ la chiamata è trattenuta; l’agent riceve HTTP 400firewall_approval_pendinge un id di approvazione su cui fare polling. - Guardrail
block→ HTTP 400guardrail_blocked, che nomina il guardrail e la regola che ha scattato. Non costa quota. - Guardrail
mask→ il match viene redatto (es.jane@acme.com→[EMAIL]) e la richiesta continua con il testo sanitizzato.
shadow_mode sulla policy del
firewall, e cambia le azioni delle regole del guardrail da flag a block o
mask come appropriato.
5. Rollout consigliato
Observe — scopri cosa fanno i tuoi agent
Attiva l’observe mode del workspace (
PUT /api/workspace/firewall/settings, firewall_observe_mode: true). Lascia
il firewall senza policy (o con una policy il cui default_verdict è
audit). Aggiungi azioni flag a tutte le regole del guardrail che vuoi
misurare.Guarda la vista Discovered Tools riempirsi con ogni chiamata a tool
che i tuoi agent fanno, marcata covered o gap. Usa questo come
input per scrivere le tue prime regole di policy — stai scrivendo regole
per traffico reale, non traffico ipotetico.Lascialo girare finché la vista Discovered Tools non si stabilizza e hai
abbastanza dati per scrivere regole intenzionali.Shadow — valida prima dell'applicazione
Scrivi una policy del firewall con
shadow_mode: true. Collegala alle
chiavi che vuoi governare (o impostala come default del workspace). Per i
guardrail, mantieni le azioni delle regole come flag in questa fase.La policy ora valuta ogni chiamata a tool reale e logga cosa farebbe. Apri
le viste Events e Runs e filtra per il prefisso [shadow]. Conferma:- Scatta sui tool e sui pattern di argomenti che intendevi.
- Non scatta su nulla che vuoi consentire (falsi positivi).
Enforce — gira lo switch
Imposta
shadow_mode: false sulla policy. Per tutte le regole del guardrail
che stavi osservando con flag, cambia l’azione in block o mask come
appropriato.Monitora il feed Events per block inattesi nella prima ora. L’azione
Undo sul log di audit dell’autonomia ti permette di ripristinare lo
stato precedente in un clic se hai bisogno di fare rollback.6. Livelli di autonomia — imposta tutto in una volta
Ottimizzare le policy regola per regola è il percorso preciso. I livelli di autonomia sono quello rapido — un singolo controllo che imposta atomicamente la postura del Firewall e dei Guardrails del tuo workspace in una transazione, con undo a un clic:| Livello | Postura prodotta |
|---|---|
permissive | Postura observe: nessuna policy applicativa, nessun guardrail, observe mode del workspace attivo — vedi tutto, niente è bloccato. Si mappa sul passaggio Observe sopra. |
balanced | Verdetto default audit, ma la shell distruttiva è negata; PII Shield gira in modalità solo-audit (segnala PII); observe mode disattivo. La postura di partenza consigliata una volta che conosci la forma del tuo traffico. |
tight | Applicazione completa: default-deny, con shell distruttiva ed egress SSRF negati; guardrails PII Shield + Secrets Blocker applicati (filtrano le richieste per PII e segreti); observe mode disattivo. |
POST /api/workspace/firewall/autonomy (Developer+). L’endpoint
Simulate (GET /api/workspace/firewall/simulate?level=) mostra in anteprima
cosa farebbe una modifica di livello prima che tu la applichi.
I livelli di autonomia sono un layer di convenienza sopra gli stessi meccanismi
descritti sopra — impostano
default_verdict, l’observe mode, le regole del
firewall e le azioni delle regole del guardrail. Non attivano/disattivano
shadow_mode; quello rimane un controllo manuale per policy. Puoi sempre
sovrascrivere le singole impostazioni dopo aver applicato un livello.7. Mappa dei meccanismi — quale impostazione fa cosa
Questa tabella è il riferimento autorevole. I quattro termini sono distinti — non confonderli:| Termine | Tipo | Cosa controlla |
|---|---|---|
| Observe mode | Impostazione del workspace | Comportamento quando una chiamata a tool si risolve in nessuna policy. Attivo → logga come gap (Discovered Tools). Disattivo → consenti silenziosamente. |
Verdetto audit | Verdetto di policy / regola | Comportamento per una chiamata a tool sotto una policy che corrisponde (o ricade sul default). Consenti + registra. Il default_verdict predefinito. |
Azione flag | Azione della regola del guardrail | Il controllo del guardrail consente il traffico e registra un match. L’azione observe-senza-enforce per i guardrail. |
shadow_mode | Flag per-policy-del-firewall | Declassa tutti i verdetti applicativi (deny/sanitize/pending_approval) a audit e prefissa la motivazione con [shadow] would …. |
Baseline Secure Agents
La postura di partenza consigliata e la configurazione in cinque minuti
per la sicurezza zero-trust degli agent.
Agent Firewall
Riferimento completo per policy, regole, verdetti, shadow mode e il
gateway MCP.