Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Контрол на домейните на AI агенти: Защита на уеб достъпа с AWS Network Firewall

Защита на AI агенти: Защо контролът на домейните е от първостепенно значение

Появата на AI агенти, способни да сърфират в мрежата, постави началото на нова ера от възможности, от автоматизиране на изследвания до събиране на данни в реално време. Тези мощни инструменти обещават да трансформират корпоративните операции, но способността им да имат достъп до отворения интернет въвежда и значителни предизвикателства за сигурността и съответствието. Неограниченият достъп до интернет за AI агент е като да дадеш на служител фирмена кредитна карта без лимити – потенциалът за злоупотреба, случайно излагане на данни или злонамерена експлоатация е огромен. Въпроси неизбежно възникват: Ами ако агентът получи достъп до неоторизирани уебсайтове? Могат ли чувствителни данни да бъдат извлечени към външни домейни?

Code Velocity е начело в проучването на тези критични проблеми и днес ще се задълбочим в мощно решение, предлагано от AWS, за справяне с тези опасения. Чрез използване на Amazon Bedrock AgentCore заедно с AWS Network Firewall, организациите могат да внедрят стриктно филтриране, базирано на домейни, гарантирайки, че AI агентите взаимодействат само с одобрени уеб ресурси. Този подход не е просто най-добра практика; той е основно изискване за отговорно внедряване на AI агенти във всяка корпоративна среда.

Справяне с изискванията за корпоративна сигурност с контрол на изходящия трафик на AI агенти

За организациите, особено тези в регулирани индустрии, внедряването на AI агенти идва с строг набор от изисквания за сигурност. Мрежовата изолация и контролът на изходящия трафик постоянно се подчертават по време на проверки за сигурност, изискващи подробни обяснения за това как се управлява и одитира трафикът на агентите. Нуждата от уверения, че крайните точки на изпълнение на агентите остават частни и че са въведени стабилни контроли за сигурност като защитни стени за уеб приложения, е безкомпромисна.

Основни корпоративни изисквания, на които се отговаря:

Регулирани индустрии: Клиентите във финансите, здравеопазването и правителството изискват доказателство, че операциите на AI агентите спазват строгите разпоредби за управление на данните и поверителност. Неоторизираният достъп до домейни може да доведе до сериозни нарушения на съответствието.
Многонаемни SaaS доставчици: За SaaS компании, изграждащи възможности за AI агенти, политиките за мрежа за всеки клиент са от съществено значение. Клиент А може да изисква достъп до специфични домейни, които Клиент Б изрично блокира. Това налага детайлен контрол, включително блокиране, специфично за изпълнение, регионални ограничения и правила, базирани на категории (напр. деактивиране на сайтове за хазарт или социални медии).
Смекчаване на уязвимости в сигурността: Нарастващо безпокойство е податливостта на AI агентите към атаки за инжектиране на подкани. Злонамерени подкани могат да подведат агентите да навигират до нежелани или вредни сайтове. Персонализираните бели списъци с URL адреси драстично намаляват тази повърхност за атака, гарантирайки, че агентите остават в одобрени граници, независимо от манипулираните инструкции. Това пряко се отнася до по-широката дискусия относно проектирането на агенти, които да устоят на инжектиране на подкани.
Изисквания за одит на съответствието: Екипите по сигурността се нуждаят от видимост и одитни следи за всички мрежови взаимодействия на агентите. Филтрирането на изходящия трафик, базирано на домейни, осигурява цялостно регистриране и видимост на контрола на достъпа, което е от решаващо значение за наблюдението на сигурността и процесите на одит.

Дълбочинен преглед на архитектурата: Защита на AgentCore с AWS Network Firewall

Решението включва внедряване на AgentCore Browser в частна подмрежа, изолирана от директен достъп до интернет. Целият изходящ трафик от AI агента след това се маршрутизира щателно през AWS Network Firewall. Тази защитна стена действа като централна точка за проверка, анализирайки TLS Server Name Indication (SNI) хедъри, за да идентифицира целевия домейн и да прилага предварително дефинирани правила за филтриране. Интеграцията също така позволява наблюдение на действията на Network Firewall чрез метрики на Amazon CloudWatch, предоставяйки ценни прозрения за трафика и блокираните опити.

Компоненти на решението:

Компонент	Функция	Полза за сигурността
Частна подмрежа	Хоства инстанции на AgentCore Browser, без директни публични IP адреси.	Изолира агентите от публичния интернет, намалявайки излагането.
Публична подмрежа	Съдържа NAT Gateway за изходяща свързаност.	Позволява изходящ достъп без директно излагане на инстанциите на агентите.
Подмрежа за защитна стена	Специализирана подмрежа за крайната точка на Network Firewall.	Централизира проверката на трафика, прилага политики за сигурност.
AWS Network Firewall	Инспектира TLS SNI хедъри, прилага правила за филтриране, регистрира трафик.	Контрол на изходящия трафик, базиран на домейни, защита от ботнет/зловреден софтуер, одитни следи.
Маршрутни таблици	Насочва потока на трафик през защитната стена.	Гарантира, че целият изходящ и връщащ се трафик преминава през защитната стена.

Обяснение на потока на трафика:

AI агент, работещ в Amazon Bedrock AgentCore, извиква инструмента AgentCore Browser.
AgentCore Browser инициира HTTPS заявка от своята частна подмрежа.
Маршрутната таблица на частната подмрежа насочва този трафик към NAT Gateway в публичната подмрежа.
NAT Gateway превежда частния IP адрес и препраща заявката към крайната точка на Network Firewall.
AWS Network Firewall прихваща трафика и инспектира TLS SNI хедъра, за да определи предвидения домейн на местоназначение.
Ако домейнът съответства на правило за 'бял списък', конфигурирано в защитната стена, трафикът се препраща към Internet Gateway.
Internet Gateway след това маршрутизира одобрения трафик до външната уеб дестинация.
Връщащият се трафик следва симетричен път обратно през защитната стена, осигурявайки непрекъсната проверка и прилагане на политиките.

Критично е да се отбележи, че докато SNI-базираното филтриране е мощно за контролиране на кои домейни агентите се свързват на TLS ниво, то е част от по-широка стратегия за задълбочена защита. За цялостно филтриране на DNS ниво и защита срещу DNS тунелиране или екстракция, тази архитектура може да бъде допълнена с Amazon Route 53 Resolver DNS Firewall.

Внедряване на сигурно филтриране на домейни за вашите AI агенти

Настройването на тази стабилна позиция за сигурност за вашите AI агенти включва няколко ключови стъпки, използвайки цялостните инфраструктурни услуги на AWS.

Предварителни условия за внедряване:

Преди да започнете, уверете се, че имате:

Активен AWS акаунт с разрешения за създаване на VPC ресурси, Network Firewall и IAM роли.
AWS Command Line Interface (AWS CLI) версия 2.x, конфигурирана с подходящи идентификационни данни.
Достъп до Amazon Bedrock AgentCore във вашия AWS акаунт.
Основно разбиране на концепциите за мрежова свързаност на Amazon VPC.

Стъпка 1: Внедряване на ресурси чрез CloudFormation

AWS предоставя удобен CloudFormation шаблон за рационализиране на внедряването на необходимите VPC и Network Firewall компоненти. Този шаблон настройва частните и публичните подмрежи, NAT Gateway, подмрежата на защитната стена и основната маршрутна инфраструктура. Чрез използването му можете бързо да установите основната мрежова среда, необходима за сигурни операции на агентите.

Стъпка 2: Преглед на ролята за изпълнение на IAM

За да функционира правилно и сигурно AgentCore Browser, той изисква IAM роля със специфична политика на доверие. Тази политика разрешава на услугата bedrock-agentcore.amazonaws.com да поема ролята, гарантирайки, че агентът има необходимите разрешения, без да го прекомерно привилегирова.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Стъпка 3: Конфигуриране на белия списък на AWS Network Firewall

Ядрото на вашата стратегия за контрол на домейните се крие в конфигурирането на група от правила със състояние в AWS Network Firewall. Тази група от правила дефинира вашия бял списък – специфичните домейни, до които вашите AI агенти имат разрешение за достъп. От съществено значение е да включите водеща точка (.) във вашите записи на домейни, за да съответствате на поддомейни, осигурявайки цялостно покритие.

Например, за да разрешите достъп до Wikipedia и Stack Overflow, конфигурацията на вашето правило би изглеждала така:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Тази конфигурация гарантира, че само трафик, предназначен за тези изрично разрешени домейни, включително техните поддомейни, е разрешен през защитната стена. Целият друг трафик може да бъде имплицитно отказан от политика за отказ по подразбиране.

Отвъд SNI: Подход за задълбочена защита

Докато SNI-базираното филтриране е мощно, истинска архитектура с нулево доверие за AI агенти изисква множество слоеве на сигурност. Както споменахме, сдвояването на AWS Network Firewall с Amazon Route 53 Resolver DNS Firewall добавя още една критична контролна точка. Това предотвратява разрешаването на блокирани домейни от агентите чрез DNS, ефективно затваряйки потенциален вектор за заобикаляне, при който агент може да се опита да се свърже директно с IP адрес, ако разрешаването на домейна също не е контролирано.

Освен това, интегрирането на други услуги за сигурност, като AWS Web Application Firewall (WAF) за проверка на HTTP/S трафик (ако трафикът в крайна сметка е декриптиран за проверка на друго ниво) и контроли за достъп, базирани на идентичност за извикване на агенти, укрепва вашата позиция за сигурност. Този многослоен подход е в съответствие с най-добрите практики за изграждане на архитектура с нулево доверие за поверителни AI фабрики.

Заключение: Овластяване на сигурно внедряване на AI агенти

Възможността да контролирате до кои домейни имат достъп вашите AI агенти не е просто функция; това е основно изискване за сигурност за приемането на корпоративен AI. Чрез внедряване на AWS Network Firewall с Amazon Bedrock AgentCore, организациите получават детайлен контрол върху изходящия трафик на агентите, смекчават значителни рискове за сигурността като екстракция на данни и инжектиране на подкани и изпълняват строги задължения за съответствие.

Тъй като AI агентите стават все по-сложни и интегрирани в критични бизнес процеси, стабилната рамка за сигурност става незаменима. Това решение предоставя ясен път за бизнеса да използва силата на AI агентите, като същевременно поддържа контрол, видимост и безкомпромисна позиция за сигурност. Приемането на такива архитектурни модели е ключ към операционализирането на агентичен AI част 1: ръководство за заинтересовани страни и насърчаване на сигурно, иновативно бъдеще.