Aislamiento
Ejecuta sesiones de agente en un espacio de nombres aislado de la red.
Activa una política por empresa para ejecutar sesiones de agente dentro de su propio espacio de nombres de red (netns). En modo netns, la salida se deniega por defecto, de modo que un agente no pueda exfiltrar tus datos por la red. Es opcional: el valor por defecto es desactivado.
Agent session · netns
- Own network namespace
- Loopback + control socket only
- Egress denied by default
- No raw outbound to the internet
Outside world
- Public internet · blocked
- Other tenants · unreachable
- Internal services · allow-list (roadmap)
- Policy is per-company · default off
Cómo funciona
1
Configura la política
Elige un modo de sandbox por empresa: desactivado (por defecto) o netns para sesiones aisladas de la red.
2
La sesión arranca en netns
En modo netns, cada sesión de agente se ejecuta dentro de su propio espacio de nombres de red de Linux.
3
Salida denegada por defecto
El tráfico de red saliente de una sesión en sandbox se bloquea, así que no puede llegar a la internet pública.
4
El trabajo queda contenido
El agente puede hacer su trabajo dentro del espacio de nombres sin una vía abierta para exfiltrar por la red.
Análisis a fondo
Confinamiento por espacio de nombres de red
El modo netns coloca cada sesión de agente en su propio espacio de nombres de red de Linux. Es un confinamiento de la salida a nivel de red, no un sandbox completo de seccomp/llamadas al sistema.
Salida denegada por defecto
Dentro de una sesión en modo netns, el acceso de red saliente se deniega por defecto, eliminando la vía fácil para que un agente envíe datos fuera de la máquina.
Por empresa, opcional
El modo de sandbox es una configuración a nivel de empresa y viene desactivado por defecto. Actívalo para las empresas que necesiten aislamiento de red; déjalo desactivado en las demás.
Activa el aislamiento de salida
shell · per-company egress policy
# Opt in: run agent sessions in a network namespace
$ synaptyx company set-sandbox --mode netns
✓ sandbox_mode = netns · applies to new sessions
# Inside a sandboxed session, outbound is denied by default
$ curl https://example.com
curl: (7) Couldn't connect — network is unreachable
# Default stays off until you flip it
$ synaptyx company get-sandbox
sandbox_mode: off # off | netns
Aislamiento de red honesto sobre su alcance.
Esto es un confinamiento de salida basado en netns: el acceso de red saliente se deniega por defecto dentro de una sesión en sandbox. No es un sandbox completo de llamadas al sistema: describimos exactamente lo que hace y nada más.
Comparativa
| Synaptyx | Sin aislamiento | Solo contenedor | |
|---|---|---|---|
| Espacio de nombres de red por sesión | modo netns | no | compartido por defecto |
| Salida denegada por defecto | sí | no | no |
| Política por empresa | desactivado | netns | no | a nivel de imagen |
| Postura por defecto | desactivado · opcional | abierto | abierto |
| Lista de permitidos interna | hoja de ruta | no | no |
Preguntas frecuentes
No, y no afirmaremos que lo sea. Hoy es un confinamiento de salida por espacio de nombres de red: las sesiones se ejecutan en su propio netns donde el acceso de red saliente se deniega por defecto. No es sandbox de seccomp/llamadas al sistema.
No. El modo de sandbox está desactivado por defecto y se configura por empresa. Te suscribes cambiando la política a netns; hasta entonces las sesiones se ejecutan como hasta ahora.
En modo netns la salida se deniega por defecto. Una lista de permitidos interna acotada para destinos aprobados está en la hoja de ruta; hoy lo seguro es asumir que no hay tráfico saliente desde una sesión en sandbox.
No, los complementa. El aislamiento de salida limita lo que un agente puede alcanzar por la red; el registro de auditoría anota lo que hizo y los presupuestos acotan lo que gasta. Úsalos juntos.
¿Listo para aislar tus sesiones de agente?
Solicita acceso en minutos, o habla con nosotros sobre tus requisitos de aislamiento.