Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

کنترل دامنه عامل‌های هوش مصنوعی: تأمین امنیت دسترسی به وب با AWS Network Firewall

محافظت از عامل‌های هوش مصنوعی: چرا کنترل دامنه حیاتی است

ظهور عامل‌های هوش مصنوعی که قادر به مرور وب هستند، عصر جدیدی از امکانات را به ارمغان آورده است، از خودکارسازی تحقیقات گرفته تا جمع‌آوری داده‌ها در زمان واقعی. این ابزارهای قدرتمند نوید تحول عملیات سازمانی را می‌دهند، اما توانایی آن‌ها در دسترسی به اینترنت باز نیز چالش‌های امنیتی و انطباق قابل توجهی را ایجاد می‌کند. دسترسی نامحدود به اینترنت برای یک عامل هوش مصنوعی مانند دادن یک کارت اعتباری شرکتی بدون محدودیت هزینه به یک کارمند است – پتانسیل سوء استفاده، قرار گرفتن تصادفی داده‌ها، یا بهره‌برداری مخرب بسیار زیاد است. سوالات به ناچار مطرح می‌شوند: چه می‌شود اگر عامل به وب‌سایت‌های غیرمجاز دسترسی پیدا کند؟ آیا داده‌های حساس می‌توانند به دامنه‌های خارجی منتقل شوند؟

Code Velocity در خط مقدم بررسی این مسائل حیاتی قرار دارد، و امروز ما به یک راه حل قوی ارائه شده توسط AWS می‌پردازیم تا این نگرانی‌ها را به طور مستقیم برطرف کنیم. با بهره‌گیری از Amazon Bedrock AgentCore در کنار AWS Network Firewall، سازمان‌ها می‌توانند فیلترینگ دقیق مبتنی بر دامنه را پیاده‌سازی کنند و اطمینان حاصل کنند که عامل‌های هوش مصنوعی فقط با منابع وب تأیید شده تعامل دارند. این رویکرد فقط یک رویه خوب نیست؛ بلکه یک نیاز اساسی برای استقرار مسئولانه عامل‌های هوش مصنوعی در هر محیط سازمانی است.

برطرف کردن الزامات امنیتی سازمانی با کنترل خروج عامل‌های هوش مصنوعی

برای سازمان‌ها، به ویژه آن‌هایی که در صنایع تنظیم‌شده فعالیت می‌کنند، استقرار عامل‌های هوش مصنوعی با مجموعه‌ای سخت‌گیرانه از الزامات امنیتی همراه است. ایزولاسیون شبکه و کنترل خروج به طور مداوم در بررسی‌های امنیتی مورد تأکید قرار می‌گیرند و نیاز به توضیحات مفصل در مورد نحوه مدیریت و ممیزی ترافیک عامل دارند. نیاز به اطمینان از خصوصی ماندن نقاط پایانی زمان اجرای عامل و وجود کنترل‌های امنیتی قوی مانند فایروال‌های برنامه وب، غیرقابل مذاکره است.

الزامات سازمانی کلیدی که برطرف می‌شوند:

صنایع تنظیم‌شده: مشتریان در بخش‌های مالی، بهداشت و درمان و دولتی، اثبات انطباق عملیات عامل هوش مصنوعی با مقررات سخت‌گیرانه حاکمیت داده و حریم خصوصی را طلب می‌کنند. دسترسی غیرمجاز به دامنه می‌تواند منجر به نقض‌های شدید انطباق شود.
ارائه‌دهندگان SaaS چند مستاجره: برای شرکت‌های SaaS که قابلیت‌های عامل هوش مصنوعی را می‌سازند، سیاست‌های شبکه به ازای هر مشتری ضروری است. مشتری A ممکن است به دامنه‌های خاصی نیاز داشته باشد که مشتری B به صراحت آن‌ها را مسدود می‌کند. این امر مستلزم کنترل دقیق از جمله مسدودسازی خاص اجرا، محدودیت‌های منطقه‌ای و قوانین مبتنی بر دسته‌بندی (مانند غیرفعال کردن سایت‌های قمار یا رسانه‌های اجتماعی) است.
کاهش آسیب‌پذیری‌های امنیتی: نگرانی فزاینده‌ای در مورد آسیب‌پذیری عامل‌های هوش مصنوعی در برابر حملات تزریق پرامپت وجود دارد. پرامپت‌های مخرب می‌توانند عامل‌ها را فریب دهند تا به سایت‌های ناخواسته یا مضر هدایت شوند. لیست‌های مجاز URL سفارشی به طور چشمگیری سطح حمله را کاهش می‌دهند و اطمینان می‌دهند که عامل‌ها صرف‌نظر از دستورالعمل‌های دستکاری شده، در محدوده‌های تأیید شده باقی می‌مانند. این امر مستقیماً به بحث گسترده‌تر در مورد طراحی-عامل‌ها-برای-مقاومت-در-برابر-تزریق-پرامپت مربوط می‌شود.
الزامات ممیزی انطباق: تیم‌های امنیتی به قابلیت مشاهده و ردپای ممیزی برای تمام تعاملات شبکه عامل نیاز دارند. فیلترینگ خروجی مبتنی بر دامنه، ثبت جامع و قابلیت مشاهده کنترل دسترسی را فراهم می‌کند که برای نظارت امنیتی و فرآیندهای ممیزی حیاتی است.

بررسی عمیق معماری: ایمن‌سازی AgentCore با AWS Network Firewall

این راه حل شامل استقرار AgentCore Browser در یک ساب‌نت خصوصی است که از دسترسی مستقیم به اینترنت ایزوله شده است. سپس تمام ترافیک خروجی از عامل هوش مصنوعی به دقت از طریق یک AWS Network Firewall مسیریابی می‌شود. این فایروال به عنوان نقطه بازرسی مرکزی عمل می‌کند و هدرهای TLS Server Name Indication (SNI) را برای شناسایی دامنه مقصد و اعمال قوانین فیلترینگ از پیش تعریف شده بررسی می‌کند. این یکپارچه‌سازی همچنین امکان نظارت بر اقدامات Network Firewall را از طریق معیارهای Amazon CloudWatch فراهم می‌کند و بینش‌های ارزشمندی را در مورد الگوهای ترافیک و تلاش‌های مسدود شده ارائه می‌دهد.

اجزای راه حل:

جزء	عملکرد	مزیت امنیتی
ساب‌نت خصوصی	میزبان نمونه‌های AgentCore Browser، بدون آدرس‌های IP عمومی مستقیم.	عامل‌ها را از اینترنت عمومی ایزوله می‌کند و در معرض قرار گرفتن آن‌ها را کاهش می‌دهد.
ساب‌نت عمومی	شامل NAT Gateway برای اتصال خروجی.	امکان دسترسی خروجی را بدون در معرض قرار دادن مستقیم نمونه‌های عامل فراهم می‌کند.
ساب‌نت فایروال	ساب‌نت اختصاصی برای نقطه پایانی Network Firewall.	بازرسی ترافیک را متمرکز می‌کند، سیاست‌های امنیتی را اعمال می‌کند.
AWS Network Firewall	هدرهای TLS SNI را بازرسی می‌کند، قوانین فیلترینگ را اعمال می‌کند، ترافیک را ثبت می‌کند.	کنترل خروج مبتنی بر دامنه، محافظت در برابر بات‌نت/بدافزار، ردپای ممیزی.
جداول مسیریابی	جریان ترافیک را از طریق فایروال هدایت می‌کند.	اطمینان حاصل می‌کند که تمام ترافیک خروجی و برگشتی از فایروال عبور می‌کند.

جریان ترافیک توضیح داده شده:

یک عامل هوش مصنوعی که در Amazon Bedrock AgentCore اجرا می‌شود، ابزار AgentCore Browser را فراخوانی می‌کند.
AgentCore Browser یک درخواست HTTPS را از ساب‌نت خصوصی خود آغاز می‌کند.
جدول مسیریابی ساب‌نت خصوصی این ترافیک را به سمت یک NAT Gateway در ساب‌نت عمومی هدایت می‌کند.
NAT Gateway IP خصوصی را ترجمه می‌کند و درخواست را به نقطه پایانی Network Firewall ارسال می‌کند.
AWS Network Firewall ترافیک را رهگیری می‌کند و هدر TLS SNI را برای تعیین دامنه مقصد مورد نظر بازرسی می‌کند.
اگر دامنه با یک قانون 'لیست مجاز' (allowlist) که در فایروال پیکربندی شده است مطابقت داشته باشد، ترافیک به Internet Gateway ارسال می‌شود.
سپس Internet Gateway ترافیک تأیید شده را به مقصد وب خارجی مسیریابی می‌کند.
ترافیک بازگشتی مسیر متقارن را از طریق فایروال دنبال می‌کند و بازرسی مداوم و اجرای سیاست را تضمین می‌کند.

نکته مهم این است که در حالی که فیلترینگ مبتنی بر SNI برای کنترل اینکه عامل‌ها به کدام دامنه‌ها متصل می‌شوند در لایه TLS قدرتمند است، اما بخشی از یک استراتژی دفاع در عمق گسترده‌تر است. برای فیلترینگ جامع در سطح DNS و محافظت در برابر تونل‌سازی DNS یا سرقت اطلاعات، این معماری می‌تواند با Amazon Route 53 Resolver DNS Firewall تکمیل شود.

پیاده‌سازی فیلترینگ دامنه امن برای عامل‌های هوش مصنوعی شما

راه‌اندازی این وضعیت امنیتی قوی برای عامل‌های هوش مصنوعی شما شامل چند مرحله کلیدی است که از خدمات جامع زیرساخت AWS بهره می‌برد.

پیش‌نیازهای پیاده‌سازی:

قبل از شروع، مطمئن شوید که موارد زیر را دارید:

یک حساب AWS فعال با مجوزهای لازم برای ایجاد منابع VPC، Network Firewall و نقش‌های IAM.
AWS Command Line Interface (AWS CLI) نسخه 2.x که با اعتبارنامه‌های مناسب پیکربندی شده است.
دسترسی به Amazon Bedrock AgentCore در حساب AWS خود.
درک اولیه از مفاهیم شبکه Amazon VPC.

مرحله 1: استقرار منابع از طریق CloudFormation

AWS یک قالب CloudFormation مناسب برای ساده‌سازی استقرار اجزای لازم VPC و Network Firewall فراهم می‌کند. این قالب ساب‌نت‌های خصوصی و عمومی، NAT Gateway، ساب‌نت فایروال و زیرساخت مسیریابی اصلی را تنظیم می‌کند. با استفاده از این، می‌توانید به سرعت محیط شبکه بنیادی مورد نیاز برای عملیات امن عامل را ایجاد کنید.

مرحله 2: بررسی نقش اجرای IAM

برای اینکه AgentCore Browser به درستی و ایمن عمل کند، به یک نقش IAM با یک سیاست اعتماد خاص نیاز دارد. این سیاست به سرویس bedrock-agentcore.amazonaws.com اجازه می‌دهد تا این نقش را بر عهده بگیرد و اطمینان حاصل می‌کند که عامل بدون داشتن امتیازات بیش از حد، مجوزهای لازم را دارد.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

مرحله 3: پیکربندی لیست مجاز AWS Network Firewall

هسته استراتژی کنترل دامنه شما در پیکربندی یک گروه قوانین با وضعیت (stateful rule group) در AWS Network Firewall نهفته است. این گروه قوانین، لیست مجاز شما را تعریف می‌کند – دامنه‌های خاصی که عامل‌های هوش مصنوعی شما مجاز به دسترسی به آن‌ها هستند. ضروری است که یک نقطه پیشرو (.) در ورودی‌های دامنه خود قرار دهید تا زیردامنه‌ها را مطابقت دهد و پوشش جامع را تضمین کند.

به عنوان مثال، برای اجازه دسترسی به Wikipedia و Stack Overflow، پیکربندی قانون شما چیزی شبیه به این خواهد بود:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

این پیکربندی تضمین می‌کند که فقط ترافیکی که برای این دامنه‌های صراحتاً مجاز، از جمله زیردامنه‌های آن‌ها، در نظر گرفته شده است، از فایروال عبور کند. تمام ترافیک دیگر می‌تواند به طور ضمنی توسط یک سیاست رد کردن پیش‌فرض (default-deny policy) رد شود.

فراتر از SNI: رویکرد دفاع در عمق

در حالی که فیلترینگ مبتنی بر SNI قدرتمند است، یک معماری واقعی "اعتماد صفر" (zero-trust) برای عامل‌های هوش مصنوعی به لایه‌های متعدد امنیتی نیاز دارد. همانطور که ذکر شد، جفت کردن AWS Network Firewall با Amazon Route 53 Resolver DNS Firewall یک نقطه کنترل حیاتی دیگر اضافه می‌کند. این کار از حل شدن دامنه‌های مسدود شده توسط عامل‌ها از طریق DNS جلوگیری می‌کند و به طور موثری یک بردار دور زدن احتمالی را می‌بندد که در آن یک عامل ممکن است سعی کند مستقیماً به یک آدرس IP متصل شود اگر حل دامنه نیز کنترل نشود.

علاوه بر این، ادغام سایر خدمات امنیتی، مانند AWS Web Application Firewall (WAF) برای بازرسی ترافیک HTTP/S (اگر ترافیک در نهایت برای بازرسی در لایه دیگری رمزگشایی شود) و کنترل‌های دسترسی مبتنی بر هویت برای فراخوانی عامل، وضعیت امنیتی شما را تقویت می‌کند. این رویکرد چند لایه با بهترین شیوه‌ها برای ساخت-یک-معماری-اعتماد-صفر-برای-کارخانه‌های-هوش-مصنوعی-محرمانه همسو است.

نتیجه‌گیری: توانمندسازی استقرار امن عامل‌های هوش مصنوعی

توانایی کنترل اینکه عامل‌های هوش مصنوعی شما به کدام دامنه‌ها دسترسی پیدا کنند، فقط یک ویژگی نیست؛ بلکه یک نیاز امنیتی اساسی برای پذیرش هوش مصنوعی سازمانی است. با پیاده‌سازی AWS Network Firewall با Amazon Bedrock AgentCore، سازمان‌ها کنترل دقیقی بر ترافیک خروجی عامل به دست می‌آورند، خطرات امنیتی قابل توجهی مانند سرقت داده و تزریق پرامپت را کاهش می‌دهند و الزامات انطباق سخت‌گیرانه را برآورده می‌کنند، در حالی که کنترل، قابلیت مشاهده و یک وضعیت امنیتی بی‌نظیر را حفظ می‌کنند. پذیرش چنین الگوهای معماری برای عملیاتی-کردن-هوش-مصنوعی-عاملیت-محور-بخش-1-راهنمای-ذینفعان و پرورش آینده‌ای امن و نوآورانه کلیدی است.