3. samm: AWS Network Firewalli lubatud loendi konfigureerimine
Teie domeenikontrolli strateegia tuum seisneb olekuhoidva reegligrupi konfigureerimises AWS Network Firewallis. See reegligrupp määrab teie lubatud loendi – konkreetsed domeenid, millele teie AI agendid on lubatud ligi pääseda. Oluline on lisada domeenikirjetesse juhtiv punkt (.), et sobitada alamdomeene, tagades tervikliku katvuse.
Näiteks, et lubada juurdepääs Wikipediale ja Stack Overflow'le, näeks teie reeglite konfiguratsioon välja umbes selline:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
See konfiguratsioon tagab, et ainult nendele selgesõnaliselt lubatud domeenidele, sealhulgas nende alamdomeenidele, mõeldud liiklus on lubatud läbi tulemüüri. Kogu muu liikluse saab vaikimisi keelata vaikimisi keelamise poliitikaga.
Lisaks SNI-le: sügavuti kaitse lähenemine
Kuigi SNI-põhine filtreerimine on võimas, nõuab AI agentide tõeline nullusaldusarhitektuur mitut turvakihti. Nagu mainitud, lisab AWS Network Firewalli sidumine Amazon Route 53 Resolver DNS Firewalliga veel ühe kriitilise kontrollpunkti. See takistab agentidel blokeeritud domeenide lahendamist DNS-i kaudu, sulgedes tõhusalt potentsiaalse möödahiilimisvektori, kus agent võiks proovida otse IP-aadressiga ühendust luua, kui domeenilahendus pole samuti kontrollitud.
Lisaks tugevdab teie turvalisust teiste turvateenuste, näiteks AWS Web Application Firewalli (WAF) integreerimine HTTP/S-liikluse kontrollimiseks (kui liiklus on teises kihis kontrollimiseks lõpuks dekrüpteeritud) ja identiteedipõhised juurdepääsukontrollid agentide esilekutsumiseks. See mitmekihiline lähenemine on kooskõlas parimate tavadega nullusaldusarhitektuuri loomiseks konfidentsiaalsetele AI tehastele.
Kokkuvõte: Turvalise AI agentide juurutamise võimaldamine
Võimalus kontrollida, millistele domeenidele teie AI agendid pääsevad, ei ole lihtsalt funktsioon; see on ettevõtte AI kasutuselevõtu põhiline turvanõue. Rakendades AWS Network Firewalli koos Amazon Bedrock AgentCore'iga, saavad organisatsioonid detailse kontrolli agentide väljamineva liikluse üle, leevendavad olulisi turvariske, nagu andmete välja filtreerimine ja käsu süstimine, ning täidavad rangeid vastavuskohustusi.
Kuna AI agendid muutuvad üha keerukamaks ja integreeritumaks kriitilistesse äriprotsessidesse, muutub tugev turvaraamistik hädavajalikuks. See lahendus pakub ettevõtetele selget teed AI agentide võimsuse ärakasutamiseks, säilitades samal ajal kontrolli, nähtavuse ja kompromissitu turvalisuse. Selliste arhitektuurimustrite omaksvõtmine on võtmetähtsusega agentuurilise AI operatiivseks muutmisel 1. osa: sidusrühmade juhend ja turvalise, uuendusliku tuleviku edendamisel.
Algallikas
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/Korduma kippuvad küsimused
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
Püsige kursis
Saage värskeimad AI uudised oma postkasti.