שלב 3: הגדרת רשימת ההיתרים של AWS Network Firewall
ליבת אסטרטגיית בקרת הדומיינים שלך טמונה בהגדרת קבוצת כללים stateful בתוך AWS Network Firewall. קבוצת כללים זו מגדירה את רשימת ההיתרים שלך – הדומיינים הספציפיים שסוכני ה-AI שלך רשאים לגשת אליהם. חיוני לכלול נקודה מובילה (.) בערכי הדומיין שלך כדי להתאים לתת-דומיינים, ובכך להבטיח כיסוי מקיף.
לדוגמה, כדי לאפשר גישה לוויקיפדיה ו-Stack Overflow, תצורת הכללים שלך תיראה בערך כך:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
תצורה זו מבטיחה שרק תעבורה המיועדת לדומיינים אלו, המותרים במפורש, כולל תת-הדומיינים שלהם, מורשית לעבור דרך חומת האש. כל תעבורה אחרת יכולה להידחות באופן מרומז על ידי מדיניות 'מנע כברירת מחדל'.
מעבר ל-SNI: גישת הגנה רב-שכבתית
בעוד שסינון מבוסס SNI חזק, ארכיטקטורת אמון אפס אמיתית עבור סוכני AI דורשת מספר שכבות אבטחה. כפי שצוין, שילוב AWS Network Firewall עם Amazon Route 53 Resolver DNS Firewall מוסיף נקודת בקרה קריטית נוספת. זה מונע מסוכנים לפתור דומיינים חסומים באמצעות DNS, ובכך סוגר למעשה וקטור עקיפה פוטנציאלי שבו סוכן עשוי לנסות להתחבר ישירות לכתובת IP אם גם רזולוציית הדומיין אינה נשלטת.
יתר על כן, שילוב שירותי אבטחה אחרים, כגון AWS Web Application Firewall (WAF) לבדיקת תעבורת HTTP/S (אם התעבורה אינה מוצפנת בסופו של דבר לבדיקה בשכבה אחרת) ובקרות גישה מבוססות זהות להפעלת סוכנים, מחזק את עמדת האבטחה שלך. גישה רב-שכבתית זו מתאימה לשיטות עבודה מומלצות עבור בניית-ארכיטקטורת-אמון-אפס-למפעלי-AI-סודיים.
מסקנה: העצמת פריסת סוכני AI מאובטחת
היכולת לשלוט אילו דומיינים סוכני ה-AI שלך יכולים לגשת אליהם אינה רק תכונה; זו דרישת אבטחה יסודית לאימוץ AI ארגוני. על ידי יישום AWS Network Firewall עם Amazon Bedrock AgentCore, ארגונים מקבלים שליטה גרנולרית על תעבורת היציאה של הסוכנים, מפחיתים סיכוני אבטחה משמעותיים כמו דליפת נתונים והזרקת פרומפטים, ועומדים בדרישות ציות מחמירות.
ככל שסוכני AI הופכים מתוחכמים ומשולבים בתהליכים עסקיים קריטיים, מסגרת אבטחה חזקה הופכת הכרחית. פתרון זה מספק נתיב ברור לעסקים לרתום את כוחם של סוכני AI תוך שמירה על שליטה, נראות ועמדת אבטחה בלתי מתפשרת. אימוץ דפוסי ארכיטקטורה כאלה הוא המפתח להפיכת-AI-סוכני-AI-למבצעיים-חלק-1-מדריך-לבעלי-עניין ולקידום עתיד מאובטח וחדשני.
מקור מקורי
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/שאלות נפוצות
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
הישארו מעודכנים
קבלו את חדשות ה-AI האחרונות לתיבת הדוא״ל.