Vaihe 3: AWS Network Firewallin sallittujen listan määrittäminen
Verkkotunnushallintastrategian ydin on tilallisen sääntöryhmän määrittäminen AWS Network Firewallissa. Tämä sääntöryhmä määrittää sallittujen listan – tietyt verkkotunnukset, joita tekoälyagenttisi saavat käyttää. On olennaista sisällyttää verkkotunnuskirjauksiin etuliite (.) aliverkkotunnusten vastaavuuden varmistamiseksi, mikä takaa kattavan kattavuuden.
Esimerkiksi pääsyn sallimiseksi Wikipediaan ja Stack Overflow'hun sääntömäärityksesi näyttäisi suunnilleen tältä:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
Tämä konfiguraatio varmistaa, että vain näille nimenomaisesti sallituille verkkotunnuksille, mukaan lukien niiden aliverkkotunnukset, tarkoitettu liikenne sallitaan palomuurin läpi. Kaikki muu liikenne voidaan implisiittisesti estää oletusarvoisella estokäytännöllä.
SNI:n lisäksi: Syvällinen puolustuslähestymistapa
Vaikka SNI-pohjainen suodatus on tehokas, todellinen nollaluottamuksen arkkitehtuuri tekoälyagenteille vaatii useita tietoturvakerroksia. Kuten mainittiin, AWS Network Firewallin yhdistäminen Amazon Route 53 Resolver DNS Firewalliin lisää toisen kriittisen hallintapisteen. Tämä estää agentteja ratkaisemasta estettyjä verkkotunnuksia DNS:n kautta, sulkien tehokkaasti potentiaalisen ohitustien, jossa agentti voisi yrittää muodostaa yhteyden suoraan IP-osoitteeseen, jos verkkotunnuksen ratkaisua ei myöskään hallita.
Lisäksi muiden tietoturvapalveluiden, kuten AWS Web Application Firewallin (WAF) HTTP/S-liikenteen tarkastukseen (jos liikenne lopulta puretaan salauksesta tarkastusta varten toisessa kerroksessa) ja agenttien kutsumisen identiteettipohjaisten pääsynhallintojen integrointi lujittaa tietoturvaasi. Tämä monikerroksinen lähestymistapa noudattaa parhaita käytäntöjä nollaluottamuksen arkkitehtuurin rakentamisessa luottamuksellisille tekoälytehtaille.
Johtopäätös: Turvallisten tekoälyagenttien käyttöönoton mahdollistaminen
Kyky hallita, mihin verkkotunnuksiin tekoälyagenttisi pääsevät, ei ole vain ominaisuus; se on perustavanlaatuinen tietoturvavaatimus yritysten tekoälyn käyttöönotolle. Ottamalla käyttöön AWS Network Firewallin yhdessä Amazon Bedrock AgentCoren kanssa organisaatiot saavat hienojakoisen hallinnan agenttien lähtevään liikenteeseen, vähentävät merkittäviä tietoturvariskejä, kuten tietojen vuotamista ja kehoteinjektiota, ja täyttävät tiukat vaatimustenmukaisuusvelvoitteet.
Kun tekoälyagenteista tulee kehittyneempiä ja ne integroituvat kriittisiin liiketoimintaprosesseihin, vankasta tietoturvakehyksestä tulee välttämätön. Tämä ratkaisu tarjoaa selkeän polun yrityksille hyödyntää tekoälyagenttien voimaa säilyttäen samalla hallinnan, näkyvyyden ja tinkimättömän tietoturvan. Tällaisten arkkitehtonisten mallien omaksuminen on avain agenttitekoälyn operatiiviseen käyttöön osa 1: sidosryhmäopas ja turvallisen, innovatiivisen tulevaisuuden edistämiseen.
Alkuperäinen lähde
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/Usein kysytyt kysymykset
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
Pysy ajan tasalla
Saa uusimmat tekoälyuutiset sähköpostiisi.