Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'Agente SRE di Azure utilizza la sicurezza di difesa in profondità in quattro aree: isolamento dell'esecuzione, credenziali senza necessità di segreti, collocazione dei dati e separazione per singolo cliente. Ogni livello opera in modo indipendente in modo che un compromesso in un'area non si ripercuota su altri.
Per informazioni dettagliate sulle autorizzazioni e sull'identità, vedere Autorizzazioni dell'agente e identità dell'agente.
Isolamento dell'esecuzione
Il motore di ragionamento e l'esecuzione degli strumenti dell'agente vengono eseguiti in limiti di calcolo separati.
Architettura sandbox
Ogni agente ottiene un proprio gruppo sandbox, una micro vm isolata basata su Azure calcolo dedicato (ADC), separata dal ciclo di ragionamento.
| Componente | Viene eseguito in | Ruolo |
|---|---|---|
| Ragionamento dell'agente | Runtime principale | Elabora i messaggi, seleziona gli strumenti, compila le risposte |
| Esecuzione degli strumenti | ADC sandbox (micro VM) | Esegue operazioni su file, comandi bash, analisi del codice, strumenti MCP |
| Sidecar identità | Servizio separato | Gestisce credenziali e token, isolati dal ragionamento e dall'esecuzione |
| Proxy di rete | Servizio separato | Convalida e indirizza tutte le richieste in uscita |
L'agente comunica con la sandbox esclusivamente tramite chiamate API strutturate e non attraverso l'accesso diretto al file system o al processo.
Ciclo di vita del processo degli strumenti
Ogni chiamata di strumento avvia un nuovo processo all'interno della sandbox:
- Un nuovo processo inizia con il proprio ambiente.
- Il proxy della rete reindirizza i flussi di input e i flussi di output tramite il WebSocket.
- Una volta completato, l'intero albero del processo termina.
Il sistema non usa pool di processi permanenti. Le variabili di ambiente e le credenziali sono limitate a ciascuna connessione, quindi una chiamata a uno strumento non può accedere all'ambiente di un'altra chiamata a uno strumento.
Esecuzione del codice
Python e i comandi della shell vengono eseguiti all'interno della sandbox ADC tramite l'interprete del codice:
- L'esecuzione è isolata dalle risorse e dal motore di ragionamento dell'agente.
- L'ambiente include più di 700 pacchetti di Python preinstallati, ma non supporta l'installazione arbitraria dei pacchetti.
- Un proxy in uscita controlla l'accesso alla rete e lo limita ai domini di servizio noti.
Gestione delle credenziali senza segreto
L'ambiente di esecuzione non contiene mai le credenziali direttamente. Un sidecar di identità isolato gestisce invece tutti i token e li fornisce su richiesta ai singoli processi degli strumenti.
Modalità di flusso delle credenziali
- L'agente determina che è necessaria una chiamata allo strumento.
- La richiesta viene instradata alla sandbox.
- Il sidecar di identità rilascia un token di breve durata al processo dello strumento.
- Lo strumento effettua la chiamata autenticata tramite il proxy di rete.
- I risultati vengono restituiti all'agente. Le credenziali non entrano mai nel contesto di ragionamento.
Tre proprietà rendono il furto di credenziali strutturalmente impossibile:
- Isolamento sidecar di identità: un servizio separato gestisce tutte le credenziali al di fuori dell'ambiente di esecuzione dell'agente.
- Ambito per singola chiamata: i token hanno come ambito le chiamate agli strumenti singoli, non condivise nella sandbox.
- Nessuna ereditarietà delle variabili di ambiente: solo le variabili dichiarate in modo esplicito vengono inoltrate ai processi degli strumenti.
Durata delle credenziali
| Type | Durata della vita | Aggiornamento |
|---|---|---|
| Token di identità gestita | ~1 ora (standard della piattaforma Azure) | Automatico tramite Azure SDK |
| token OAuth (GitHub, ADO) | Varia in base al provider | Aggiornamento di 20 minuti prima della scadenza |
| Token di azione (per chiamata dello strumento) | Uso singolo | Nuova emissione per chiamata |
| Token SAS di archiviazione BLOB | 1 ora | Aggiornamento di 15 minuti prima della scadenza |
Residenza dei dati
Quando l'agente esamina un problema, effettua interrogazioni su Kusto, Monitoraggio di Azure, ARM e altre fonti dati. L'agente memorizza i risultati di query non elaborati solo in memoria durante la conversazione e li scarta quando la conversazione termina o quando la finestra di contesto viene ridotta. L'agente non scrive mai i risultati grezzi delle query nella memoria persistente.
I dati seguenti sono persistenti:
| Dati | Storage | Retention | Purpose |
|---|---|---|---|
| Thread di conversazione | Cosmos DB (per cliente) | Fino all'eliminazione manuale | Cronologia chat, registrazioni d'indagine |
| Informazioni dettagliate sulla sessione | Cosmos DB e archiviazione BLOB dell'agente | Persistente | Apprendimento sintetizzato, ad esempio sintomi, passaggi di risoluzione e cause radice |
| File di memoria | Archiviazione BLOB dell'agente (memories/) |
Persistente tra le sessioni | Conoscenza sintetizzata, contesto del team, istruzioni per il repository |
| File di thread | Archiviazione BLOB dell'agente (threadfiles/) |
Associato alla durata del thread | Caricamenti utente, report generati |
Le informazioni dettagliate sulla sessione sono riepiloghi sintetizzati, non copie di dati non elaborate. L'agente estrae modelli (quali sintomi sono apparsi, quale risoluzione ha funzionato e cosa evitare) e li archivia come conoscenza. L'agente non mantiene mai i risultati delle query non elaborate da Kusto o Monitoraggio di Azure.
Isolamento per ogni cliente
| Livello | Modello di isolamento |
|---|---|
| Calcolo | Gruppo sandbox ADC dedicato per agente |
| Banca dati | Separare Cosmos DB per cliente |
| Archiviazione BLOB | Account di archiviazione per agente |
| Network | Istanza proxy per agente per tutte le richieste in uscita |
| Credentials | Identità gestita per agente con controllo degli accessi in base al ruolo nell'ambito di gruppi di risorse selezionati dal cliente |
Nessun dato, calcolo o credenziali viene condiviso tra agenti o clienti.
Registrazione e osservabilità
L'agente invia dati di telemetria operativi all'istanza di Application Insights configurata durante l'installazione, offrendo visibilità completa sulle operazioni dell'agente.
| Telemetria | dettagli |
|---|---|
| Tracce di conversazione | Correlato dall'ID di traccia e dall'ID dello span per il tracciamento end-to-end delle richieste |
| Dipendenze delle chiamate degli strumenti | Metodo, URL, durata e codice di stato per ogni chiamata in uscita |
| Errori ed eccezioni | Dettagli completi dell'eccezione |
| Eventi personalizzati | Eventi di incidente, attivazioni degli hook e altre operazioni specifiche dell'agente |
I dati di telemetria dall'esecuzione dello strumento sandbox passano attraverso la stessa pipeline.
Encryption
| Livello | Protezione |
|---|---|
| A riposo | Cosmos DB e l'archiviazione BLOB usano la crittografia gestita da Azure |
| In transito | HTTPS per tutte le comunicazioni esterne; HTTP/2 all'interno del limite di attendibilità sandbox |
Proxy di rete e politiche
Tutto l'accesso alla rete in uscita dall'ambiente di esecuzione passa attraverso un livello proxy che applica i criteri seguenti:
- Convalida delle richieste: ogni connessione in uscita viene convalidata prima di raggiungere un servizio esterno.
- Inserimento delle credenziali: il proxy collega i token limitati dal sidecar di identità; il codice dello strumento non gestisce mai direttamente i token.
- Ambito dell'ambiente: solo le variabili di ambiente dichiarate in modo esplicito vengono inoltrate ai processi degli strumenti.
- Ciclo di vita del processo: i processi degli strumenti vengono terminati al completamento o al timeout.
Per conto del fallback
Quando l'identità gestita dell'agente non dispone delle autorizzazioni per un'operazione, il sistema torna a agire per conto dell'utente:
- L'agente tenta l'operazione con la sua identità gestita.
- Le autorizzazioni non sono sufficienti e viene visualizzata una richiesta di azione Approva con i dettagli dell'operazione.
- Approvi e l'operazione viene eseguita con le tue credenziali.
- Le credenziali non vengono memorizzate nella cache dopo il completamento.
Le modalità di esecuzione controllano questo comportamento: la modalità di revisione richiede l'approvazione per le operazioni di scrittura, mentre la modalità autonoma usa direttamente l'identità gestita. Per altre informazioni, vedere Autorizzazioni dell'agente.
Accesso alla rete privata
Azure calcolo dedicato supporta le configurazioni di distribuzione per i requisiti di rete privata:
- Isolamento su base regionale: il posizionamento delle sandbox rispetta i limiti regionali (ad esempio, le sandbox di East US 2 rimangono all'interno di Central US, North Central US o Canada Central).
- Esecuzione integrata della rete virtuale (VNET): i gruppi sandbox con provisioning ARM consentono l'esecuzione all'interno della rete virtuale.
- Accesso alle credenziali basato su volume: i montaggi di volumi MSI forniscono l'accesso alle credenziali senza attraversamento della rete.