Securing agentic AI with perimeter guardrails: What's new in VPC Service Controls

TL;DR · AI 摘要
Google Cloud 推出 VPC Service Controls 新功能,强化自主 AI 代理的安全防护,包括基于代理身份的访问控制、MCP 属性策略和与 Gemini 企业代理平台的集成。
核心要点
- VPC Service Controls 现支持基于代理身份的定向规则,提升最小权限访问控制。
- 通过 MCP 属性(如 mcp.toolName、mcp.method)实现工具级别的条件访问策略。
- Gemini 企业代理平台与 VPC Service Controls 原生集成,自动阻断公共互联网访问。
结构提纲
按章节快速跳转。
- §引言
随着企业部署自主 AI 代理,网络级安全防护变得至关重要。
Google Cloud 推出多项新功能,强化 AI 代理的安全边界。
通过 IAM 原则实现代理身份的最小权限访问控制。
支持基于 MCP 属性的条件访问规则,实现工具级控制。
VPC Service Controls 与 Gemini 企业代理平台原生集成,自动阻断公共互联网访问。
通过身份、网络和资源控制构建多层次安全架构。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- VPC Service Controls 新功能
- 基于代理身份的访问控制
- IAM 原则
- 最小权限访问
- MCP 属性策略
- mcp.toolName
- mcp.method
- mcp.tool.isReadOnly
- Gemini 企业代理平台集成
- 自动阻断公共互联网访问
金句 / Highlights
值得收藏与分享的关键句。
VPC Service Controls 现支持基于代理身份的定向规则,提升最小权限访问控制。
通过 MCP 属性(如 mcp.toolName、mcp.method)实现工具级别的条件访问策略。
Gemini 企业代理平台与 VPC Service Controls 原生集成,自动阻断公共互联网访问。
通过边界防护保障自主AI安全:VPC服务控制的新功能 | Google Cloud 博客
安全与身份
通过边界防护保障自主AI安全:VPC服务控制的新功能
2026年6月27日
##### Pratik Bhangale
Google Cloud 产品经理
##### 今天试用Gemini企业版商业版
进入职场AI的门户
立即试用
随着企业将自主AI代理扩展到生产环境,实现安全创新需要强大的架构防护措施。AI代理连接各种工具和数据集,因此建立清晰的网络级边界对于全面的数据保护至关重要。
为了帮助组织有信心地部署这些工作流程,我们建议使用VPC服务控制(VPC-SC)来建立关键的网络级、基于目的地的边界。今天,我们宣布了几项专为自主工作负载设计的新功能。
VPC服务控制的新功能
为了增强AI安全性,我们今天宣布的新功能加强了VPC-SC所执行的边界。
功能更新包括:
- 方向性规则中的代理身份:实施最小权限访问需要将代理视为一等身份。现在,您可以使用标准的身份和访问管理(IAM)主体,直接将自主身份添加到服务边界入站和出站规则中。单个主体映射到单个代理,而主体集映射到更广泛的代理集合。主体集允许管理员在整个代理舰队中应用一致且可审计的访问策略。如果某个代理被入侵,您可以立即在网络边界撤销其访问权限。
- 通过模型上下文协议(MCP)属性实现精细控制:随着MCP成为自主系统的标准集成层,能够在工具级别实施策略至关重要。VPC服务控制现在支持基于特定MCP属性的条件访问规则,包括mcp.toolName、mcp.method和mcp.tool.isReadOnly。例如,您可以授予代理对Workspace MCP服务器的只读访问权限,同时明确拒绝其发送电子邮件的能力。
- 保护Gemini企业代理平台:Gemini企业代理平台为生产级代理部署提供了全面的基础。VPC服务控制现已原生集成到代理平台中。当您将代理平台作为受保护服务包含在VPC-SC边界内时,系统会自动阻止所有对代理平台实例的公共互联网访问——在不增加配置负担的情况下强制实施安全边界。
“在Mercado Libre,VPC服务控制是我们安全架构中不可或缺的基础层。通过在我们组织的数百个Google Cloud项目中建立强大的边界执行,我们使用VPC-SC建立了强大的网络级安全控制,确保我们的所有数据在云环境中得到保护,”Mercado Libre的项目负责人Juan Pablo Boschi表示。
使用VPC-SC定义企业AI安全的分层方法
保护一个自主代理需要分层的方法。身份、网络和资源控制分别针对不同的威胁向量。
- 身份控制:IAM 和 Principal Access Boundaries (PAB) 关注的是“谁”可以访问特定资源。通过为代理身份实施严格的最小权限原则,您可以确保自主工作负载仅拥有完成其特定目标所需的权限。
- 网络控制:下一代网络防火墙和 VPC 服务控制在您的基础设施之上定义了强大的数据边界,管理信息在边界之间的流动,防止数据泄露。
- 资源控制:组织策略和其他资源级别的防护措施对资源的配置和使用设置广泛且不可更改的限制,从而默认防止高风险的配置。
虽然身份和网络控制有效地保护了“前门”,但 VPC 服务控制提供了一种关键的基于目的地的防御。在自主代理的随机世界中,VPC-SC 是关注代理网络和操作的“如何”和“在哪里”的控制手段,而不仅仅是“谁”。
防御独特的攻击向量
与传统应用程序不同,AI 代理的输入可能会无意中促使它执行未预期的命令或操作。如果代理被成功入侵——无论是由于恶意提示、工具操控还是恶意内部命令——VPC 服务控制可以作为关键的网络安全网。
为了说明这种网络边界如何防御行业标准风险(如 OWASP LLM 应用程序 Top 10 所映射的风险),以下是三个现实世界中的威胁向量,VPC 服务控制可以在这些场景中补充基于身份的控制,以防止数据泄露。
- 通过间接提示注入防止数据泄露(OWASP ASI01):恶意行为者可能试图嵌入一个隐藏提示,要求代理汇总内部数据并将其传输给未经授权的用户。如果被劫持的代理拥有 IAM 权限,IAM 无法检测到异常。然而,当代理尝试将这些数据发送到外部 Webhook 时,VPC-SC 会阻止 API 层的传输,因为目标在定义的边界之外。
- 工具误用的防护(OWASP ASI02, ASI08):提示劫持可能导致代理恶意地串联工具,例如将内部目录数据发送到外部服务。通过在敏感资产周围实施 VPC-SC 边界,您可以防止行为异常的代理在隔离的信任区域之间传输数据。
- 消除内部威胁(OWASP AS103):攻击者可以命令一个数据处理代理直接从 BigQuery 数据集复制数据到未经授权的项目。虽然网络防火墙看到的是发送到 BigQuery 的合法 HTTPS 流量,IAM 也看到的是授权的服务账户,但 VPC-SC 会评估目标资源。由于目标项目在企业边界之外,系统会立即拒绝 API 请求。
即使代理拥有有效的 IAM 凭据,VPC 服务控制也可以作为边界,阻止被入侵代理尝试的数据泄露。
自主代理世界的数据保护
随着时代从确定性应用程序和工作负载为中心的时期,到自主 AI 代理的时代,边界安全已从推荐的最佳实践演变为绝对必要。VPC-SC 提供了 IAM 无法单独解决的数据移动控制。
在当今代理将提示解释为代码的时代,VPC-SC 成为了企业数据的强制性安全网。将 IAM 的映射能力与 VPC-SC 的严格数据边界相结合,使组织能够在确保安全的前提下构建代理创新,同时对数据外泄设置绝对的防护栏。
如需了解更多,您可以在这里探索 VPC-SC 资源。
发布于
- 安全与身份
- 人工智能与机器学习