Saltar al contenido
Synaptyx
Aislamiento

Ejecuta sesiones de agente en un espacio de nombres aislado de la red.

Activa una política por empresa para ejecutar sesiones de agente dentro de su propio espacio de nombres de red (netns). En modo netns, la salida se deniega por defecto, de modo que un agente no pueda exfiltrar tus datos por la red. Es opcional: el valor por defecto es desactivado.

Agent session · netns

  • Own network namespace
  • Loopback + control socket only
  • Egress denied by default
  • No raw outbound to the internet

Outside world

  • Public internet · blocked
  • Other tenants · unreachable
  • Internal services · allow-list (roadmap)
  • Policy is per-company · default off

Cómo funciona

1
Configura la política
Elige un modo de sandbox por empresa: desactivado (por defecto) o netns para sesiones aisladas de la red.
2
La sesión arranca en netns
En modo netns, cada sesión de agente se ejecuta dentro de su propio espacio de nombres de red de Linux.
3
Salida denegada por defecto
El tráfico de red saliente de una sesión en sandbox se bloquea, así que no puede llegar a la internet pública.
4
El trabajo queda contenido
El agente puede hacer su trabajo dentro del espacio de nombres sin una vía abierta para exfiltrar por la red.

Análisis a fondo

Confinamiento por espacio de nombres de red
El modo netns coloca cada sesión de agente en su propio espacio de nombres de red de Linux. Es un confinamiento de la salida a nivel de red, no un sandbox completo de seccomp/llamadas al sistema.
Salida denegada por defecto
Dentro de una sesión en modo netns, el acceso de red saliente se deniega por defecto, eliminando la vía fácil para que un agente envíe datos fuera de la máquina.
Por empresa, opcional
El modo de sandbox es una configuración a nivel de empresa y viene desactivado por defecto. Actívalo para las empresas que necesiten aislamiento de red; déjalo desactivado en las demás.

Activa el aislamiento de salida

shell · per-company egress policy
# Opt in: run agent sessions in a network namespace $ synaptyx company set-sandbox --mode netns ✓ sandbox_mode = netns · applies to new sessions # Inside a sandboxed session, outbound is denied by default $ curl https://example.com curl: (7) Couldn't connect — network is unreachable # Default stays off until you flip it $ synaptyx company get-sandbox sandbox_mode: off # off | netns

Aislamiento de red honesto sobre su alcance.

Esto es un confinamiento de salida basado en netns: el acceso de red saliente se deniega por defecto dentro de una sesión en sandbox. No es un sandbox completo de llamadas al sistema: describimos exactamente lo que hace y nada más.

Comparativa

SynaptyxSin aislamientoSolo contenedor
Espacio de nombres de red por sesiónmodo netnsnocompartido por defecto
Salida denegada por defectonono
Política por empresadesactivado | netnsnoa nivel de imagen
Postura por defectodesactivado · opcionalabiertoabierto
Lista de permitidos internahoja de rutanono

Preguntas frecuentes

No, y no afirmaremos que lo sea. Hoy es un confinamiento de salida por espacio de nombres de red: las sesiones se ejecutan en su propio netns donde el acceso de red saliente se deniega por defecto. No es sandbox de seccomp/llamadas al sistema.
No. El modo de sandbox está desactivado por defecto y se configura por empresa. Te suscribes cambiando la política a netns; hasta entonces las sesiones se ejecutan como hasta ahora.
En modo netns la salida se deniega por defecto. Una lista de permitidos interna acotada para destinos aprobados está en la hoja de ruta; hoy lo seguro es asumir que no hay tráfico saliente desde una sesión en sandbox.
No, los complementa. El aislamiento de salida limita lo que un agente puede alcanzar por la red; el registro de auditoría anota lo que hizo y los presupuestos acotan lo que gasta. Úsalos juntos.

¿Listo para aislar tus sesiones de agente?

Solicita acceso en minutos, o habla con nosotros sobre tus requisitos de aislamiento.

Comenzar