1. Разделение на два столбца
В таблице ниже ответственность организована по областям. Каждая строка слева — гарантия, наблюдаемая клиентом — то, что вы можете проверить по логам, отчётам о комплаенсе или консоли. Каждая строка справа — решение, которое можете принять только вы, потому что оно зависит от ваших данных, вашей инфраструктуры и ваших политик.| Область | OrcaRouter обрабатывает | Вы обрабатываете |
|---|---|---|
| Идентификация | Выпускает и валидирует API-ключи; применяет область модели, IP и spend-cap, привязанную к каждому ключу; RBAC рабочего пространства (read / Developer / Admin). | Создаёт ключи с соответствующими областями; управляет членством в рабочем пространстве и назначением ролей; ротирует собственные upstream или провайдерские секреты по своему расписанию. |
| Содержимое | Проверяет текст промпта и ответа через Guardrails — блокирует, маскирует или флагирует PII, секреты, шаблоны инъекций и небезопасный вывод для каждого запроса, пересекающего шлюз. | Создаёт и настраивает политики guardrail (шлюз применяет то, что вы настроили, а не мнение по умолчанию); классифицирует чувствительность собственных данных для выбора покрываемых PII-сущностей и шаблонов. |
| Действия | Оценивает каждый вызов инструмента, диспетч MCP и исходящий адрес назначения, пересекающий шлюз, против вашей политики Firewall — allow, deny, sanitize, hold for approval или cap cost. | Настраивает политики firewall; маршрутизирует инструменты, опосредованные моделью, и MCP-серверы через шлюз, чтобы firewall мог их видеть; рассматривает удержанные подтверждения. |
| Сеть | Применяет правила egress к исходящим адресам назначения, сообщаемым инструментами через шлюз; блокирует SSRF и адреса назначения эксфильтрации данных, когда это указывает ваша политика. | Защищает собственную инфраструктуру и сетевой периметр вне пути шлюза; обрабатывает инструменты, которые совершают собственные сетевые вызовы целиком внутри процесса без сообщения egress шлюзу. |
| Учётные данные | Хранит учётные данные подключённых сервисов в зашифрованном виде; маскирует их при чтении; никогда не раскрывает открытый текст в логах или консоли. | Предоставляет учётные данные и решает, какие интеграции подключать; ротирует их, когда требуют upstream-провайдеры. |
| Аудит | Производит журнал аудита каждого совпадения политики, вердикта firewall и решения о подтверждении, скоррелированный с прогоном агента, который его вызвал; отчёты о комплаенсе подписаны Ed25519 и публично верифицируемы. | Просматривает журнал аудита и действует по нему; устанавливает собственное расписание хранения и проверки. |
| Комплаенс | Доказательства комплаенса с региональным штампом — подписанные отчёты хранятся и предоставляются под вашим заявленным регионом (us / eu / uk / ap / cn / global); 30-дневное окно удаления с последующей очисткой PII. | Объявляет регион резидентства комплаенса; инициирует удаления, когда это требуют ваши обязательства по комплаенсу. |
2. Самая важная граница
Firewall применяется только к вызовам, пересекающим шлюз. Инструмент, который
ваш агент выполняет целиком внутри собственного процесса — тот, который никогда
не вызывает
https://api.orcarouter.ai и никогда не сообщает egress-адрес
назначения — находится вне поля зрения шлюза. Это не пробел в применении; это
точное утверждение об области: шлюз — аудируемый путь, а не перехватчик syscall
уровня ядра.Практическое следствие: маршрутизируйте важные вызовы через шлюз. Диспетч MCP
через MCP gateway Firewall и вызовы инструментов,
оцениваемые через
хук evaluate,
оба управляются. Shell-скрипт, который ваш агент запускает напрямую, не касаясь
шлюза, остаётся за вами для защиты на уровне инфраструктуры.3. Как максимизировать, что шлюз может сделать для вас
Четыре вещи больше всего переносят покрытие из столбца «ваше» в столбец «шлюз обрабатывает»:-
Маршрутизируйте MCP-серверы и инструменты, опосредованные моделью, через
шлюз.
Зарегистрируйте ваши MCP-серверы в Firewall → MCP servers
и направьте ваш агент на
https://api.orcarouter.ai/api/v1/firewall/mcp. Каждыйtools/call, который выпускает модель, тогда пересекает шлюз и подчиняется вашей политике firewall. Инструменты, которые ваш агент запускает внутри процесса без пересечения шлюза, остаются вне применения — маршрутизируйте их или добавьте собственные контроли. - Дайте каждому агенту ограниченный ключ. Выпускайте по одному API-ключу на идентификацию агента, привязанному к законно используемым моделям, IP, с которых он запускается, лимиту расходов и явной политике firewall. Общий ключ для нескольких агентов делает аудит неоднозначным и исключает принцип минимальных полномочий.
-
Начните с базового уровня Secure Agents. Сначала примените уровень
автономии
balanced— он аудирует рискованные действия и флагирует PII за один шаг с отменой в один клик. Наблюдайте за лентами событий Firewall и совпадений Guardrails в течение недели, чтобы видеть, что реально делают ваши агенты, затем ужесточайте доtightдля поверхностей, которые имеют значение. См. Защита ИИ-агентов. - Объявите регион резидентства комплаенса. Подписанные отчёты о комплаенсе имеют штамп и хранятся по региону, и отчёт предоставляется только под совпадающим заявленным регионом. Установите его в настройках комплаенса, чтобы соответствовать вашим обязательствам.
4. Дальнейшие шаги
Как OrcaRouter инспектирует запросы
Путь применения подробно — что видит шлюз, когда и в каком порядке.
Agent Firewall
Справочник уровня действий — политики, правила, вердикты и MCP gateway.
Guardrails
Справочник уровня содержимого — PII, секреты, инъекции и внешние вендоры.
Стек управления
Все четыре слоя — ключи, guardrails, firewall и аудит — в одной диаграмме.