Krok 3: Konfigurace seznamu povolených AWS Network Firewall
Jádro vaší strategie kontroly domén spočívá v konfiguraci stavové skupiny pravidel v rámci AWS Network Firewall. Tato skupina pravidel definuje váš seznam povolených – specifické domény, ke kterým mají agenti AI povolen přístup. Je nezbytné zahrnout úvodní tečku (.) do záznamů domén pro shodu subdomén, čímž zajistíte komplexní pokrytí.
Například pro povolení přístupu k Wikipedii a Stack Overflow by vaše konfigurace pravidel vypadala takto:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
Tato konfigurace zajišťuje, že firewall povolí pouze provoz určený pro tyto explicitně povolené domény, včetně jejich subdomén. Veškerý ostatní provoz může být implicitně zamítnut zásadou výchozího zamítnutí.
Nad rámec SNI: Přístup obrany do hloubky
Zatímco filtrování na základě SNI je výkonné, skutečná architektura nulové důvěry pro agenty AI vyžaduje více vrstev zabezpečení. Jak již bylo zmíněno, spárování AWS Network Firewall s Amazon Route 53 Resolver DNS Firewall přidává další kritický kontrolní bod. To brání agentům v řešení blokovaných domén prostřednictvím DNS, čímž účinně uzavírá potenciální vektor obejití, kde by se agent mohl pokusit připojit přímo k IP adrese, pokud není řízeno i řešení domén.
Dále, integrace dalších bezpečnostních služeb, jako je AWS Web Application Firewall (WAF) pro inspekci provozu HTTP/S (pokud je provoz nakonec dešifrován pro inspekci na jiné vrstvě) a kontroly přístupu založené na identitě pro vyvolání agentů, upevňuje vaši bezpečnostní pozici. Tento vícevrstvý přístup je v souladu s osvědčenými postupy pro vytvoření architektury nulové důvěry pro důvěrné továrny AI.
Závěr: Umožnění bezpečného nasazení agentů AI
Schopnost kontrolovat, ke kterým doménám mají vaši agenti AI přístup, není jen funkcí; je to základní bezpečnostní požadavek pro přijetí podnikové AI. Implementací AWS Network Firewall s Amazon Bedrock AgentCore získávají organizace granulární kontrolu nad odchozím provozem agentů, zmírňují významná bezpečnostní rizika, jako je exfiltrace dat a injekce výzev, a splňují přísné požadavky na shodu.
Vzhledem k tomu, že se agenti AI stávají sofistikovanějšími a integrují se do kritických obchodních procesů, robustní bezpečnostní rámec se stává nepostradatelným. Toto řešení poskytuje jasnou cestu pro podniky, jak využít sílu agentů AI a zároveň si udržet kontrolu, viditelnost a nekompromisní bezpečnostní postavení. Přijetí takových architektonických vzorců je klíčem k zprovoznění agentní AI část 1: průvodce pro zúčastněné strany a podpoře bezpečné a inovativní budoucnosti.
Původní zdroj
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/Často kladené dotazy
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
Buďte v obraze
Dostávejte nejnovější AI zprávy do schránky.