Hakbang 3: Pagko-configure ng AWS Network Firewall Allowlist
Ang sentro ng iyong diskarte sa kontrol ng domain ay nakasalalay sa pagko-configure ng isang stateful rule group sa loob ng AWS Network Firewall. Ang rule group na ito ang tumutukoy sa iyong allowlist – ang mga partikular na domain na pinahihintulutan ng iyong mga AI agent na i-access. Mahalagang isama ang isang leading dot (.) sa iyong mga entry ng domain upang tumugma sa mga subdomain, tinitiyak ang komprehensibong coverage.
Halimbawa, upang payagan ang access sa Wikipedia at Stack Overflow, ang iyong rule configuration ay magmumukhang ganito:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
Tinitiyak ng configuration na ito na tanging ang traffic na nakalaan para sa mga tahasang pinahintulutang domain na ito, kasama ang kanilang mga subdomain, ang pinapayagan na dumaan sa firewall. Lahat ng iba pang traffic ay maaaring tahasang tanggihan ng isang default-deny policy.
Higit pa sa SNI: Isang Defense-in-Depth na Pamamaraan
Bagama't makapangyarihan ang SNI-based filtering, nangangailangan ang isang tunay na zero-trust na arkitektura para sa mga AI agent ng maraming layer ng seguridad. Gaya ng nabanggit, ang pagpapares ng AWS Network Firewall sa Amazon Route 53 Resolver DNS Firewall ay nagdaragdag ng isa pang kritikal na control point. Pinipigilan nito ang mga agent na i-resolve ang mga naka-block na domain sa pamamagitan ng DNS, na epektibong nagsasara ng potensyal na bypass vector kung saan maaaring subukang kumonekta nang direkta ang isang agent sa isang IP address kung ang resolusyon ng domain ay hindi rin kinokontrol.
Bukod pa rito, ang pagsasama-sama ng iba pang serbisyo ng seguridad, tulad ng AWS Web Application Firewall (WAF) para sa HTTP/S traffic inspection (kung ang traffic ay sa huli ay hindi na-encrypt para sa inspeksyon sa ibang layer) at identity-based access controls para sa pagtawag ng agent, ay nagpapatibay sa iyong security posture. Ang multi-layered na pamamaraang ito ay naaayon sa mga best practice para sa pagbuo ng zero-trust architecture para sa mga confidential AI factory.
Konklusyon: Pagpapalakas ng Secure na Deployment ng AI Agent
Ang kakayahang kontrolin kung aling mga domain ang maaaring i-access ng iyong mga AI agent ay hindi lamang isang feature; ito ay isang foundational na kinakailangan sa seguridad para sa pag-ampon ng enterprise AI. Sa pamamagitan ng pagpapatupad ng AWS Network Firewall kasama ng Amazon Bedrock AgentCore, nagkakaroon ang mga organisasyon ng granular control sa agent egress traffic, binabawasan ang malalaking panganib sa seguridad tulad ng data exfiltration at prompt injection, at natutugunan ang mahigpit na obligasyon sa compliance.
Habang nagiging mas sopistikado at isinasama ang mga AI agent sa mga kritikal na proseso ng negosyo, nagiging mahalaga ang isang matatag na security framework. Nagbibigay ang solusyon na ito ng malinaw na landas para sa mga negosyo upang magamit ang kapangyarihan ng mga AI agent habang pinapanatili ang kontrol, visibility, at isang walang kompromisong security posture. Ang pagyakap sa mga ganitong architectural pattern ay susi sa pagpapatupad ng agentic AI bahagi 1: isang gabay para sa mga stakeholder at pagpapatatag ng isang ligtas, makabagong hinaharap.
Orihinal na pinagmulan
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/Mga Karaniwang Tanong
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
Manatiling Updated
Kunin ang pinakabagong AI news sa iyong inbox.