الخطوة 3: تكوين قائمة السماح لجدار حماية الشبكة من AWS
يكمن جوهر استراتيجية التحكم في النطاق لديك في تكوين مجموعة قواعد حالة في جدار حماية الشبكة من AWS. تحدد مجموعة القواعد هذه قائمة السماح الخاصة بك – النطاقات المحددة التي يُسمح لوكلاء الذكاء الاصطناعي بالوصول إليها. من الضروري تضمين نقطة بادئة (.) في إدخالات النطاق لمطابقة النطاقات الفرعية، مما يضمن تغطية شاملة.
على سبيل المثال، للسماح بالوصول إلى Wikipedia وStack Overflow، سيبدو تكوين القاعدة الخاص بك كما يلي:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
يضمن هذا التكوين أن حركة المرور الموجهة فقط إلى هذه النطاقات المسموح بها صراحةً، بما في ذلك نطاقاتها الفرعية، مسموح بها عبر جدار الحماية. يمكن رفض جميع حركة المرور الأخرى ضمنيًا بواسطة سياسة الرفض الافتراضية.
ما وراء SNI: نهج الدفاع في العمق
بينما تعد تصفية SNI قوية، فإن بنية الثقة المعدومة الحقيقية لوكلاء الذكاء الاصطناعي تتطلب طبقات متعددة من الأمان. كما ذكرنا، فإن الجمع بين جدار حماية الشبكة من AWS وجدار حماية DNS الخاص بـ Amazon Route 53 Resolver يضيف نقطة تحكم حاسمة أخرى. يمنع هذا الوكلاء من حل النطاقات المحظورة عبر DNS، مما يسد بشكل فعال ناقل التجاوز المحتمل حيث قد يحاول الوكيل الاتصال مباشرة بعنوان IP إذا لم يتم التحكم في حل النطاق أيضًا.
علاوة على ذلك، فإن دمج خدمات أمنية أخرى، مثل جدار حماية تطبيقات الويب من AWS (WAF) لفحص حركة مرور HTTP/S (إذا تم فك تشفير حركة المرور في النهاية للفحص عند طبقة أخرى) وضوابط الوصول القائمة على الهوية لاستدعاء الوكيل، يعزز وضعك الأمني. يتماشى هذا النهج متعدد الطبقات مع أفضل الممارسات لبناء بنية الثقة المعدومة لمصانع الذكاء الاصطناعي السرية.
الخلاصة: تمكين النشر الآمن لوكلاء الذكاء الاصطناعي
إن القدرة على التحكم في النطاقات التي يمكن لوكلاء الذكاء الاصطناعي الوصول إليها ليست مجرد ميزة؛ إنها متطلب أمني أساسي لاعتماد الذكاء الاصطناعي في المؤسسات. من خلال تطبيق جدار حماية الشبكة من AWS مع Amazon Bedrock AgentCore، تحصل المؤسسات على تحكم دقيق في حركة خروج الوكيل، وتخفف من المخاطر الأمنية الكبيرة مثل تسرب البيانات وحقن الأوامر، وتلبي التزامات الامتثال الصارمة.
مع تزايد تعقيد وتكامل وكلاء الذكاء الاصطناعي في عمليات الأعمال الحيوية، يصبح إطار العمل الأمني القوي لا غنى عنه. يوفر هذا الحل مسارًا واضحًا للشركات لتسخير قوة وكلاء الذكاء الاصطناعي مع الحفاظ على التحكم والرؤية والوضع الأمني غير المخترق. إن تبني مثل هذه الأنماط المعمارية هو المفتاح لتشغيل الذكاء الاصطناعي الوكيلي الجزء الأول: دليل لأصحاب المصلحة وتعزيز مستقبل آمن ومبتكر.
المصدر الأصلي
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/الأسئلة الشائعة
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
ابقَ على اطلاع
احصل على آخر أخبار الذكاء الاصطناعي في بريدك.