단일 제어점으로 수백 대의 Agent Fleet 보안 및 정책을 통합 관리하는 Workspace 설계

Context

개별 Agent 계정마다 제한 사항과 스팸 설정을 수동으로 구성하는 기존 방식의 운영 오버헤드 발생. 계정 생성 시 설정 누락으로 인한 보안 취약점 및 대규모 계정 업데이트 시 발생하는 Fan-out 스크립트 실행의 비효율성이 주요 병목 지점임.

Technical Solution

• 계정 개별 설정 방식에서 Workspace 기반의 Inheritance Chain 구조로 전환하여 단일 제어점 확보
• Policies, Rules, Lists라는 세 가지 추상화된 리소스를 Workspace에 바인딩하여 정책 재사용성 극대화
• Default Workspace 개념을 도입하여 설정 누락 계정에 대해 Baseline Policy를 강제 적용하는 Safety Net 구축
• auto_group: true 설정을 통한 도메인 기반 자동 계정 할당 로직으로 프로비저닝 자동화 구현
• Rule Evaluation 시 Fail-closed 전략을 채택하여 인프라 오류 발생 시 메시지를 차단하는 보안 우선 설계 적용
• Inbound와 Outbound 필터링 경로를 물리적으로 격리하여 평가 시점의 효율성과 보안성 확보