Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AI-agent domænekontrol: Sikring af webtilgængelighed med AWS Network Firewall

Beskyttelse af AI-agenter: Hvorfor domænekontrol er afgørende

Fremkomsten af AI-agenter, der er i stand til at browse internettet, har indvarslet en ny æra af muligheder, fra automatisering af forskning til dataindsamling i realtid. Disse kraftfulde værktøjer lover at transformere virksomhedsoperationer, men deres evne til at få adgang til det åbne internet introducerer også betydelige sikkerheds- og overholdelsesudfordringer. Ubegrænset internetadgang for en AI-agent svarer til at give en medarbejder et firmakreditkort uden forbrugsgrænser – potentialet for misbrug, utilsigtet dataeksponering eller ondsindet udnyttelse er enormt. Spørgsmål opstår uundgåeligt: Hvad hvis agenten får adgang til uautoriserede websteder? Kunne følsomme data eksfiltreres til eksterne domæner?

Code Velocity er i front med at udforske disse kritiske problemstillinger, og i dag dykker vi ned i en robust løsning, der tilbydes af AWS, for at imødegå disse bekymringer direkte. Ved at udnytte Amazon Bedrock AgentCore sammen med AWS Network Firewall kan organisationer implementere strenge domænebaserede filtreringsregler, der sikrer, at AI-agenter kun interagerer med godkendte webressourcer. Denne tilgang er ikke blot en bedste praksis; det er et fundamentalt krav for ansvarlig implementering af AI-agenter i enhver virksomhedsindstilling.

Håndtering af virksomhedens sikkerhedskrav med udgående kontrol for AI-agenter

For organisationer, især dem i regulerede brancher, kommer implementeringen af AI-agenter med et stringent sæt sikkerhedskrav. Netværksisolation og udgående kontrol fremhæves konsekvent under sikkerhedsrevisioner, hvilket kræver detaljerede forklaringer på, hvordan agenttrafik styres og revideres. Behovet for forsikringer om, at agentens runtime-slutpunkter forbliver private, og at robuste sikkerhedskontroller som webapplikationsfirewalls er på plads, er ikke til at forhandle om.

Centrale virksomhedskrav, der adresseres:

Regulerede brancher: Kunder inden for finans, sundhed og offentlig sektor kræver bevis for, at AI-agentoperationer overholder strenge datastyrings- og fortrolighedsbestemmelser. Uautoriseret domæneadgang kan føre til alvorlige brud på overholdelsen.
Multi-tenant SaaS-udbydere: For SaaS-virksomheder, der bygger AI-agentfunktioner, er kundespecifikke netværkspolitikker afgørende. Kunde A har måske brug for adgang til specifikke domæner, som Kunde B udtrykkeligt blokerer. Dette kræver detaljeret kontrol, herunder udførelsesspecifik blokering, regionale begrænsninger og kategoribaseret regler (f.eks. deaktivering af spil- eller sociale mediewebsteder).
Afbødning af sikkerhedssårbarheder: En voksende bekymring er AI-agenters sårbarhed over for prompt-injektionsangreb. Ondsindede prompter kan narre agenter til at navigere til utilsigtede eller skadelige websteder. Brugerdefinerede URL-tilladelseslister reducerer drastisk denne angrebsflade og sikrer, at agenter forbliver inden for godkendte grænser, uanset manipulerede instruktioner. Dette relaterer sig direkte til den bredere diskussion om designing-agents-to-resist-prompt-injection.
Krav til compliance-revision: Sikkerhedsteams har brug for synlighed og revisionsspor for alle agentnetværksinteraktioner. Domænebaseret udgående filtrering giver omfattende logning og adgangskontrolsynlighed, hvilket er afgørende for sikkerhedsovervågning og revisionsprocesser.

Arkitekturdybde: Sikring af AgentCore med AWS Network Firewall

Løsningen involverer implementering af AgentCore Browser i et privat subnet, isoleret fra direkte internetadgang. Al udgående trafik fra AI-agenten routes derefter omhyggeligt gennem en AWS Network Firewall. Denne firewall fungerer som det centrale inspektionspunkt, der gennemgår TLS Server Name Indication (SNI) headers for at identificere destinationsdomænet og håndhæve foruddefinerede filtreringsregler. Integrationen muliggør også overvågning af Network Firewall-handlinger via Amazon CloudWatch-målinger, hvilket giver værdifuld indsigt i trafikmønstre og blokerede forsøg.

Løsningskomponenter:

Komponent	Funktion	Sikkerhedsfordel
Private Subnet	Hoster AgentCore Browser-instanser, ingen direkte offentlige IP-adresser.	Isolerer agenter fra offentligt internet, reducerer eksponering.
Public Subnet	Indeholder NAT Gateway til udgående forbindelse.	Muliggør udgående adgang uden at eksponere agentinstanser direkte.
Firewall Subnet	Dedikeret subnet til Network Firewall-slutpunktet.	Centraliserer trafikinspektion, håndhæver sikkerhedspolitikker.
AWS Network Firewall	Inspicerer TLS SNI-headers, anvender filtreringsregler, logger trafik.	Domænebaseret udgående kontrol, botnet/malware-beskyttelse, revisionsspor.
Route Tables	Dirigerer trafikstrøm gennem firewalld'en.	Sikrer, at al udgående og retur-trafik passerer firewalld'en.

Trafikstrømmen forklaret:

En AI-agent, der kører i Amazon Bedrock AgentCore, påkalder AgentCore Browser-værktøjet.
AgentCore Browser initierer en HTTPS-anmodning fra sit private subnet.
Det private subnets routetabel dirigerer denne trafik mod en NAT Gateway i det offentlige subnet.
NAT Gateway oversætter den private IP og videresender anmodningen til Network Firewall-slutpunktet.
AWS Network Firewall opfanger trafikken og inspicerer TLS SNI-headeren for at bestemme det tilsigtede destinationsdomæne.
Hvis domænet matcher en 'tilladelsesliste'-regel konfigureret i firewalld'en, videresendes trafikken til Internet Gateway.
Internet Gateway router derefter den godkendte trafik til den eksterne webdestination.
Returtrafikken følger den symmetriske sti tilbage gennem firewalld'en, hvilket sikrer kontinuerlig inspektion og politikimplementering.

Det er afgørende at bemærke, at selvom SNI-baseret filtrering er kraftfuld til at kontrollere hvilke domæner agenter forbinder til på TLS-laget, er det en del af en bredere dybdeforsvarsstrategi. For omfattende DNS-niveaufiltrering og beskyttelse mod DNS-tunneling eller eksfiltrering kan denne arkitektur suppleres med Amazon Route 53 Resolver DNS Firewall.

Implementering af sikker domænefiltrering for dine AI-agenter

Opsætning af denne robuste sikkerhedsposition for dine AI-agenter involverer et par nøgletrin, der udnytter AWS's omfattende infrastrukturtjenester.

Forudsætninger for implementering:

Før du dykker ned, skal du sikre dig, at du har:

En aktiv AWS-konto med tilladelser til at oprette VPC-ressourcer, Network Firewall og IAM-roller.
AWS Command Line Interface (AWS CLI) version 2.x konfigureret med passende legitimationsoplysninger.
Adgang til Amazon Bedrock AgentCore inden for din AWS-konto.
En grundlæggende forståelse af Amazon VPC-netværkskoncepter.

Trin 1: Implementering af ressourcer via CloudFormation

AWS leverer en praktisk CloudFormation-skabelon til at strømline implementeringen af de nødvendige VPC- og Network Firewall-komponenter. Denne skabelon opsætter de private og offentlige subnets, NAT Gateway, firewall subnet og den grundlæggende routinginfrastruktur. Ved at bruge denne kan du hurtigt etablere det fundamentale netværksmiljø, der kræves for sikre agentoperationer.

Trin 2: Gennemgang af IAM-udførelsesrollen

For at AgentCore Browser kan fungere korrekt og sikkert, kræver den en IAM-rolle med en specifik tillidspolitik. Denne politik tillader bedrock-agentcore.amazonaws.com-tjenesten at antage rollen, hvilket sikrer, at agenten har de nødvendige tilladelser uden at overprivilegere den.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Trin 3: Konfiguration af AWS Network Firewall Tilladelseslisten

Kernen i din domænekontrolstrategi ligger i at konfigurere en stateful regelgruppe inden for AWS Network Firewall. Denne regelgruppe definerer din tilladelsesliste – de specifikke domæner, dine AI-agenter har tilladelse til at få adgang til. Det er vigtigt at inkludere et ledende punkt (.) i dine domæneindtastninger for at matche subdomæner, hvilket sikrer omfattende dækning.

For eksempel, for at tillade adgang til Wikipedia og Stack Overflow, vil din regelkonfiguration se nogenlunde sådan ud:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Denne konfiguration sikrer, at kun trafik bestemt for disse udtrykkeligt tilladte domæner, inklusive deres subdomæner, tillades gennem firewalld'en. Al anden trafik kan implicit afvises af en standard-afvisningspolitik.

Ud over SNI: En dybdeforsvarsstrategi

Selvom SNI-baseret filtrering er kraftfuld, kræver en ægte zero-trust-arkitektur for AI-agenter flere sikkerhedslag. Som nævnt tilføjer parring af AWS Network Firewall med Amazon Route 53 Resolver DNS Firewall endnu et kritisk kontrolpunkt. Dette forhindrer agenter i at løse blokerede domæner via DNS, hvilket effektivt lukker en potentiel omgåelsesvektor, hvor en agent kan forsøge at oprette forbindelse direkte til en IP-adresse, hvis domæneopløsningen ikke også er kontrolleret.

Desuden styrker integration af andre sikkerhedstjenester, såsom AWS Web Application Firewall (WAF) til HTTP/S-trafikinspektion (hvis trafikken i sidste ende afkrypteres til inspektion på et andet lag) og identitetsbaseret adgangskontrol for agentpåkaldelse, din sikkerhedsposition. Denne flerlagede tilgang stemmer overens med bedste praksis for building a zero-trust architecture for confidential AI factories.

Konklusion: Muliggørelse af sikker implementering af AI-agenter

Evnen til at kontrollere, hvilke domæner dine AI-agenter kan få adgang til, er ikke blot en funktion; det er et grundlæggende sikkerhedskrav for virksomheders AI-adoption. Ved at implementere AWS Network Firewall med Amazon Bedrock AgentCore opnår organisationer detaljeret kontrol over agenters udgående trafik, mindsker betydelige sikkerhedsrisici som dataeksfiltrering og prompt-injektion og opfylder strenge compliance-forpligtelser.

Efterhånden som AI-agenter bliver mere sofistikerede og integrerede i kritiske forretningsprocesser, bliver et robust sikkerhedsrammeværk uundværligt. Denne løsning giver en klar vej for virksomheder til at udnytte kraften i AI-agenter og samtidig opretholde kontrol, synlighed og en kompromisløs sikkerhedsposition. At omfavne sådanne arkitektoniske mønstre er nøglen til [operationalizing agentic AI part 1: a stakeholders guide](/da/operationalizing-agentic-ai-part-1: a stakeholders guide) og fremme en sikker, innovativ fremtid.