AgentShield
Infrastructure Security

Defense Layers: Perimetric Shielding

Antes de que una sola palabra de IA sea procesada, AgentShield despliega capas de defensa perimétrica. Protección contra accesos directos, ataques de fuerza bruta y trazabilidad total mediante middlewares de alto rendimiento.

Request Lifecycle: The Gauntlet

Public Net
Layer 1
Security Guard
Layer 2
Auth Guard
Core
API Router
Origin Secure
Brute Force Block
SIEM Sync

Layer 1: Security Guard

Ubicado en app/middleware/security.py, este middleware es la primera línea de defensa. Actúa como un escudo perimétrico antes de procesar cualquier lógica de negocio.

  • Cloaking

    Cloudflare Secret Injection: Bloquea activamente cualquier intento de acceso directo por IP que no provenga del WAF autorizado.

  • Trace

    Trace ID Governance: Inyecta X-Trace-ID en la petición para persistir la trazabilidad forense en todos los logs.

  • Hardening

    HTTP Hardening: Aplica HSTS, nosniff y Frame-Options: DENY en cada respuesta.

security.py // Perimetric Shield
# Bloqueo de acceso directo por IP
if settings.ENV == "production":
    if request.headers.get("X-AgentShield-Auth") != settings.SECRET:
        return JSONResponse(status_code=403)

Layer 2: Access Guard

Implementado en app/middleware/auth.py, se encarga de la identidad y la integridad del acceso. Gestiona la reputación de la IP en tiempo real.

  • Shield

    Anti-Brute Force: Utiliza Redis para rastrear fallos de autenticación. Al alcanzar el límite, bloquea la IP por una ventana de tiempo configurable.

  • Alert

    SIEM Integration: Publica eventos en el Event Bus ante cualquier anomalía de acceso (AUTH_FAILURE, BRUTE_FORCE_BLOCKED).

  • Context

    Tenant Identity: Inyecta el tenant_id en el estado de la petición, permitiendo que el resto del sistema opere en aislamiento total.

auth.py // IP Blocking Logic
# Protección distribuida con Redis
if await redis_client.get(f"auth_block:{ip}"):
    await event_bus.publish(event_type="AUTH_BRUTE_FORCE_BLOCKED")
    raise HTTPException(status_code=429)
Global Resilience

Observabilidad y Fail-Open

Nuestra defensa no es un punto único de fallo. Implementamos una estrategia de **Fail-Open** en componentes no críticos como Redis para garantizar que la disponibilidad del servicio prime si la infraestructura de cache falla, mientras registramos el incidente en tiempo real.

Slow Observer
Monitoriza peticiones > 2.0s para detección proactiva de latencia infra.
SIEM Sync
Cada incidente de seguridad es enviado al SOC central vía EventBus.
SOC LIVE LOGS
# Detectando anomalías...
[0.02ms] Trace trc_82f1: Origin Verified
[!] Brute Force detected from 4.12.9...
[i] SIEM Event emitted: AUTH_FAILURE
"La seguridad no se añade al final; se construye en los cimientos."