Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Contrôle de domaine des agents IA : Sécuriser l'accès web avec AWS Network Firewall

Protéger les agents IA : pourquoi le contrôle de domaine est primordial

L'avènement des agents IA capables de naviguer sur le web a inauguré une nouvelle ère de possibilités, de l'automatisation de la recherche à la collecte de données en temps réel. Ces outils puissants promettent de transformer les opérations d'entreprise, mais leur capacité à accéder à l'internet ouvert introduit également des défis significatifs en matière de sécurité et de conformité. Un accès internet illimité pour un agent IA est comparable à donner à un employé une carte de crédit d'entreprise sans limites de dépenses – le potentiel d'utilisation abusive, d'exposition accidentelle de données ou d'exploitation malveillante est immense. Des questions surgissent inévitablement : et si l'agent accédait à des sites web non autorisés ? Des données sensibles pourraient-elles être exfiltrées vers des domaines externes ?

Code Velocity est à l'avant-garde de l'exploration de ces questions cruciales, et aujourd'hui, nous nous penchons sur une solution robuste offerte par AWS pour aborder ces préoccupations de front. En tirant parti d'Amazon Bedrock AgentCore conjointement avec AWS Network Firewall, les organisations peuvent mettre en œuvre un filtrage strict basé sur les domaines, garantissant que les agents IA n'interagissent qu'avec des ressources web approuvées. Cette approche n'est pas seulement une bonne pratique ; c'est une exigence fondamentale pour déployer des agents IA de manière responsable dans tout environnement d'entreprise.

Répondre aux exigences de sécurité d'entreprise avec le contrôle des flux sortants des agents IA

Pour les organisations, en particulier celles des secteurs réglementés, le déploiement d'agents IA s'accompagne d'un ensemble rigoureux d'exigences de sécurité. L'isolation réseau et le contrôle des flux sortants sont systématiquement mis en évidence lors des revues de sécurité, nécessitant des explications détaillées sur la manière dont le trafic des agents est géré et audité. La nécessité de garantir que les points de terminaison d'exécution des agents restent privés et que des contrôles de sécurité robustes tels que les pare-feu d'applications web sont en place est non négociable.

Exigences clés des entreprises abordées :

Secteurs Réglementés : Les clients des secteurs de la finance, de la santé et du gouvernement exigent des preuves que les opérations des agents IA sont conformes aux réglementations strictes en matière de gouvernance des données et de confidentialité. L'accès non autorisé à des domaines peut entraîner de graves violations de la conformité.
Fournisseurs SaaS multi-locataires : Pour les entreprises SaaS développant des capacités d'agents IA, des politiques réseau par client sont essentielles. Le client A peut nécessiter l'accès à des domaines spécifiques que le client B bloque explicitement. Cela nécessite un contrôle granulaire, y compris le blocage spécifique à l'exécution, les restrictions régionales et les règles basées sur des catégories (par exemple, la désactivation des sites de jeux de hasard ou de réseaux sociaux).
Atténuation des vulnérabilités de sécurité : Une préoccupation croissante est la susceptibilité des agents IA aux attaques par injection de prompt. Des prompts malveillants peuvent inciter les agents à naviguer vers des sites non intentionnels ou nuisibles. Les listes d'autorisation d'URL personnalisées réduisent drastiquement cette surface d'attaque, garantissant que les agents restent dans les limites approuvées, quelles que soient les instructions manipulées. Cela se rapporte directement à la discussion plus large sur la conception d'agents pour résister à l'injection de prompt.
Exigences d'audit de conformité : Les équipes de sécurité ont besoin de visibilité et de pistes d'audit pour toutes les interactions réseau des agents. Le filtrage des flux sortants basé sur les domaines offre une journalisation complète et une visibilité du contrôle d'accès, cruciales pour la surveillance de la sécurité et les processus d'audit.

Plongée dans l'architecture : Sécuriser AgentCore avec AWS Network Firewall

La solution implique le déploiement d'AgentCore Browser au sein d'un sous-réseau privé, isolé de l'accès direct à internet. Tout le trafic sortant de l'agent IA est ensuite méticuleusement acheminé via un AWS Network Firewall. Ce pare-feu agit comme le point d'inspection central, examinant les en-têtes TLS Server Name Indication (SNI) pour identifier le domaine de destination et appliquer les règles de filtrage prédéfinies. L'intégration permet également de surveiller les actions du Network Firewall via les métriques Amazon CloudWatch, fournissant des informations précieuses sur les modèles de trafic et les tentatives bloquées.

Composants de la solution :

Composant	Fonction	Avantage de sécurité
Sous-réseau privé	Héberge les instances AgentCore Browser, sans adresses IP publiques directes.	Isole les agents d'Internet public, réduisant l'exposition.
Sous-réseau public	Contient la passerelle NAT pour la connectivité sortante.	Permet l'accès sortant sans exposer directement les instances d'agents.
Sous-réseau de pare-feu	Sous-réseau dédié au point de terminaison Network Firewall.	Centralise l'inspection du trafic, applique les politiques de sécurité.
AWS Network Firewall	Inspecte les en-têtes TLS SNI, applique les règles de filtrage, journalise le trafic.	Contrôle des flux sortants basé sur les domaines, protection contre les botnets/malwares, pistes d'audit.
Tables de routage	Dirige le flux de trafic via le pare-feu.	Assure que tout le trafic sortant et de retour traverse le pare-feu.

Le flux de trafic expliqué :

Un agent IA exécuté dans Amazon Bedrock AgentCore invoque l'outil AgentCore Browser.
L'AgentCore Browser initie une requête HTTPS depuis son sous-réseau privé.
La table de routage du sous-réseau privé dirige ce trafic vers une passerelle NAT (NAT Gateway) dans le sous-réseau public.
La passerelle NAT traduit l'adresse IP privée et transmet la requête au point de terminaison du Network Firewall.
AWS Network Firewall intercepte le trafic et inspecte l'en-tête TLS SNI pour déterminer le domaine de destination prévu.
Si le domaine correspond à une règle de 'liste d'autorisation' configurée dans le pare-feu, le trafic est transmis à la passerelle Internet (Internet Gateway).
La passerelle Internet achemine ensuite le trafic approuvé vers la destination web externe.
Le trafic de retour suit le chemin symétrique via le pare-feu, garantissant une inspection continue et l'application des politiques.

Il est crucial de noter que si le filtrage basé sur le SNI est puissant pour contrôler les domaines auxquels les agents se connectent au niveau de la couche TLS, il fait partie d'une stratégie de défense en profondeur plus large. Pour un filtrage complet au niveau DNS et une protection contre le tunneling ou l'exfiltration DNS, cette architecture peut être complétée par le Pare-feu DNS Amazon Route 53 Resolver.

Mettre en œuvre un filtrage de domaine sécurisé pour vos agents IA

La mise en place de cette posture de sécurité robuste pour vos agents IA implique quelques étapes clés, en tirant parti des services d'infrastructure complets d'AWS.

Prérequis pour l'implémentation :

Avant de commencer, assurez-vous de disposer de :

Un compte AWS actif avec les permissions pour créer des ressources VPC, Network Firewall et des rôles IAM.
AWS Command Line Interface (AWS CLI) version 2.x configurée avec les identifiants appropriés.
Un accès à Amazon Bedrock AgentCore dans votre compte AWS.
Une compréhension fondamentale des concepts de mise en réseau d'Amazon VPC.

Étape 1 : Déploiement des ressources via CloudFormation

AWS fournit un modèle CloudFormation pratique pour rationaliser le déploiement des composants VPC et Network Firewall nécessaires. Ce modèle configure les sous-réseaux privés et publics, la passerelle NAT, le sous-réseau de pare-feu et l'infrastructure de routage de base. En l'utilisant, vous pouvez rapidement établir l'environnement réseau fondamental requis pour des opérations d'agents sécurisées.

Étape 2 : Examen du rôle d'exécution IAM

Pour qu'AgentCore Browser fonctionne correctement et en toute sécurité, il nécessite un rôle IAM avec une politique de confiance spécifique. Cette politique permet au service bedrock-agentcore.amazonaws.com d'assumer le rôle, garantissant que l'agent dispose des permissions nécessaires sans lui accorder de privilèges excessifs.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Étape 3 : Configuration de la liste d'autorisation AWS Network Firewall

Le cœur de votre stratégie de contrôle de domaine réside dans la configuration d'un groupe de règles avec état au sein d'AWS Network Firewall. Ce groupe de règles définit votre liste d'autorisation – les domaines spécifiques auxquels vos agents IA sont autorisés à accéder. Il est essentiel d'inclure un point (.) de début dans vos entrées de domaine pour correspondre aux sous-domaines, assurant une couverture complète.

Par exemple, pour autoriser l'accès à Wikipedia et Stack Overflow, votre configuration de règles ressemblerait à ceci :

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Cette configuration garantit que seul le trafic destiné à ces domaines explicitement autorisés, y compris leurs sous-domaines, est autorisé à traverser le pare-feu. Tout autre trafic peut être implicitement refusé par une politique de refus par défaut.

Au-delà du SNI : une approche de défense en profondeur

Bien que le filtrage basé sur le SNI soit puissant, une véritable architecture "zéro confiance" pour les agents IA nécessite plusieurs couches de sécurité. Comme mentionné, associer AWS Network Firewall au Pare-feu DNS Amazon Route 53 Resolver ajoute un autre point de contrôle critique. Cela empêche les agents de résoudre les domaines bloqués via DNS, fermant ainsi efficacement un vecteur de contournement potentiel où un agent pourrait tenter de se connecter directement à une adresse IP si la résolution de domaine n'est pas également contrôlée.

De plus, l'intégration d'autres services de sécurité, tels qu'AWS Web Application Firewall (WAF) pour l'inspection du trafic HTTP/S (si le trafic est finalement déchiffré pour inspection à une autre couche) et les contrôles d'accès basés sur l'identité pour l'invocation d'agents, solidifie votre posture de sécurité. Cette approche multicouche s'aligne sur les meilleures pratiques pour la construction d'une architecture zéro confiance pour les usines d'IA confidentielles.

Conclusion : Faciliter le déploiement sécurisé des agents IA

La capacité de contrôler les domaines auxquels vos agents IA peuvent accéder n'est pas seulement une fonctionnalité ; c'est une exigence de sécurité fondamentale pour l'adoption de l'IA en entreprise. En mettant en œuvre AWS Network Firewall avec Amazon Bedrock AgentCore, les organisations obtiennent un contrôle granulaire sur le trafic sortant des agents, atténuent les risques de sécurité importants tels que l'exfiltration de données et l'injection de prompt, et respectent les obligations de conformité strictes.

À mesure que les agents IA deviennent plus sophistiqués et intégrés aux processus métier critiques, un cadre de sécurité robuste devient indispensable. Cette solution offre une voie claire aux entreprises pour exploiter la puissance des agents IA tout en maintenant le contrôle, la visibilité et une posture de sécurité sans compromis. L'adoption de tels modèles architecturaux est essentielle pour l'opérationnalisation de l'IA agentique partie 1 : un guide pour les parties prenantes et pour favoriser un avenir sécurisé et innovant.