Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Kontrola domena AI agenata: Osiguravanje web pristupa uz AWS Network Firewall

Zaštita AI Agenata: Zašto je kontrola domena najvažnija

Dolazak AI agenata sposobnih za pretraživanje weba otvorio je novu eru mogućnosti, od automatizacije istraživanja do prikupljanja podataka u stvarnom vremenu. Ti moćni alati obećavaju transformaciju poslovnih operacija, ali njihova sposobnost pristupa otvorenom internetu također uvodi značajne sigurnosne i usklađenostne izazove. Neograničen pristup internetu za AI agenta sličan je davanju zaposleniku korporativne kreditne kartice bez ograničenja potrošnje – potencijal za zlouporabu, slučajno izlaganje podataka ili zlonamjernu eksploataciju je ogroman. Neizbježno se postavljaju pitanja: Što ako agent pristupi neautoriziranim web stranicama? Mogu li osjetljivi podaci biti eksfiltrirani na vanjske domene?

Code Velocity je na čelu istraživanja ovih kritičnih pitanja, a danas zaranjamo u robusno rješenje koje nudi AWS kako bismo se izravno pozabavili tim zabrinutostima. Korištenjem Amazon Bedrock AgentCore uz AWS Network Firewall, organizacije mogu implementirati strogo filtriranje temeljeno na domenama, osiguravajući da AI agenti komuniciraju samo s odobrenim web resursima. Ovaj pristup nije samo najbolja praksa; to je temeljni zahtjev za odgovorno implementiranje AI agenata u bilo kojem poslovnom okruženju.

Rješavanje sigurnosnih zahtjeva poduzeća s kontrolom odlaznog prometa AI agenata

Za organizacije, posebno one u reguliranim industrijama, implementacija AI agenata dolazi sa strogim skupom sigurnosnih zahtjeva. Izolacija mreže i kontrola odlaznog prometa dosljedno se ističu tijekom sigurnosnih revizija, zahtijevajući detaljna objašnjenja o tome kako se promet agenata upravlja i revidira. Potreba za jamstvima da krajnje točke izvođenja agenata ostaju privatne i da su uspostavljene robusne sigurnosne kontrole poput vatrozida web aplikacija je neupitna.

Ključni zahtjevi poduzeća koji se rješavaju:

Regulirane industrije: Klijenti u financijama, zdravstvu i državnom sektoru zahtijevaju dokaz da operacije AI agenata udovoljavaju strogim propisima o upravljanju podacima i privatnosti. Neautorizirani pristup domenama može dovesti do ozbiljnih kršenja usklađenosti.
Više-korisnički SaaS pružatelji: Za SaaS tvrtke koje grade mogućnosti AI agenata, mrežne politike po korisniku su ključne. Korisnik A možda zahtijeva pristup specifičnim domenama koje Korisnik B izričito blokira. To zahtijeva granularnu kontrolu, uključujući blokiranje specifično za izvođenje, regionalna ograničenja i pravila temeljena na kategorijama (npr. onemogućavanje stranica za kockanje ili društvene medije).
Ublažavanje sigurnosnih ranjivosti: Sve veća zabrinutost je podložnost AI agenata napadima 'prompt injection'. Zlonamjerni upiti mogu navesti agente da posjete nenamjerne ili štetne stranice. Prilagođene dopuštene liste URL-ova drastično smanjuju ovu površinu napada, osiguravajući da agenti ostanu unutar odobrenih granica, bez obzira na manipulirane upute. Ovo se izravno odnosi na širu raspravu o dizajniranju-agenata-za-otpornost-na-prompt-injection.
Zahtjevi za reviziju usklađenosti: Sigurnosni timovi trebaju vidljivost i tragove revizije za sve mrežne interakcije agenata. Filtriranje odlaznog prometa temeljeno na domenama pruža sveobuhvatno bilježenje i vidljivost kontrole pristupa, ključno za sigurnosno praćenje i procese revizije.

Dubinski uvid u arhitekturu: Osiguravanje AgentCore-a s AWS Network Firewallom

Rješenje uključuje implementaciju AgentCore Browsera unutar privatne podmreže, izolirane od izravnog pristupa internetu. Sav odlazni promet od AI agenta zatim se pedantno preusmjerava kroz AWS Network Firewall. Ovaj vatrozid djeluje kao središnja točka inspekcije, pažljivo pregledavajući TLS Server Name Indication (SNI) zaglavlja kako bi identificirao odredišnu domenu i nametnuo unaprijed definirana pravila filtriranja. Integracija također omogućuje praćenje radnji Network Firewall-a putem Amazon CloudWatch metrika, pružajući vrijedne uvide u obrasce prometa i blokirane pokušaje.

Komponente rješenja:

Komponenta	Funkcija	Sigurnosna korist
Privatna podmreža	Udomaćuje instance AgentCore Browsera, bez izravnih javnih IP adresa.	Izolira agente od javnog interneta, smanjujući izloženost.
Javna podmreža	Sadrži NAT Gateway za odlaznu povezanost.	Omogućuje odlazni pristup bez izravnog izlaganja instanci agenata.
Podmreža vatrozida	Namjenska podmreža za krajnju točku Network Firewall-a.	Centralizira inspekciju prometa, nameće sigurnosne politike.
AWS Network Firewall	Pregledava TLS SNI zaglavlja, primjenjuje pravila filtriranja, bilježi promet.	Kontrola odlaznog prometa temeljena na domenama, zaštita od botneta/zlonamjernog softvera, tragovi revizije.
Tablice ruta	Usmjerava protok prometa kroz vatrozid.	Osigurava da sav odlazni i povratni promet prolazi kroz vatrozid.

Objašnjen protok prometa:

AI agent koji radi u Amazon Bedrock AgentCore poziva alat AgentCore Browser.
AgentCore Browser inicira HTTPS zahtjev iz svoje privatne podmreže.
Tablica ruta privatne podmreže usmjerava ovaj promet prema NAT Gatewayu u javnoj podmreži.
NAT Gateway prevodi privatni IP i prosljeđuje zahtjev krajnjoj točki Network Firewall-a.
AWS Network Firewall presreće promet i pregledava TLS SNI zaglavlje kako bi odredio namjeravanu odredišnu domenu.
Ako se domena podudara s pravilom 'dopuštene liste' konfiguriranim u vatrozidu, promet se prosljeđuje Internet Gatewayu.
Internet Gateway zatim usmjerava odobreni promet na vanjsko web odredište.
Povratni promet slijedi simetrični put natrag kroz vatrozid, osiguravajući kontinuiranu inspekciju i provedbu politike.

Ključno je napomenuti da iako je SNI-temeljeno filtriranje moćno za kontrolu kojim domenama se agenti povezuju na TLS sloju, ono je dio šire strategije višeslojne obrane ('defense-in-depth'). Za sveobuhvatno filtriranje na DNS razini i zaštitu od DNS tuneliranja ili eksfiltracije, ova arhitektura se može nadopuniti s Amazon Route 53 Resolver DNS Firewallom.

Implementacija sigurnog filtriranja domena za vaše AI agente

Postavljanje ove robusne sigurnosne pozicije za vaše AI agente uključuje nekoliko ključnih koraka, koristeći sveobuhvatne infrastrukturne usluge AWS-a.

Preduvjeti za implementaciju:

Prije nego što započnete, provjerite imate li:

Aktivan AWS račun s dozvolama za stvaranje VPC resursa, Network Firewall-a i IAM uloga.
AWS Command Line Interface (AWS CLI) verziju 2.x konfiguriranu s odgovarajućim vjerodajnicama.
Pristup Amazon Bedrock AgentCore-u unutar vašeg AWS računa.
Temeljno razumijevanje mrežnih koncepata Amazon VPC-a.

Korak 1: Implementacija resursa putem CloudFormation-a

AWS pruža praktičan CloudFormation predložak za pojednostavljenje implementacije potrebnih VPC i Network Firewall komponenti. Ovaj predložak postavlja privatne i javne podmreže, NAT Gateway, podmrežu vatrozida i temeljnu infrastrukturu usmjeravanja. Korištenjem ovoga, možete brzo uspostaviti temeljno mrežno okruženje potrebno za sigurne operacije agenata.

Korak 2: Pregled IAM izvršne uloge

Da bi AgentCore Browser ispravno i sigurno funkcionirao, potrebna mu je IAM uloga s posebnom politikom povjerenja. Ova politika dopušta usluzi bedrock-agentcore.amazonaws.com da preuzme ulogu, osiguravajući da agent ima potrebne dozvole bez prevelikog privilegiranja.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Korak 3: Konfiguriranje dopuštene liste AWS Network Firewall-a

Srž vaše strategije kontrole domena leži u konfiguriranju grupe pravila s očuvanjem stanja unutar AWS Network Firewall-a. Ova grupa pravila definira vašu dopuštenu listu ('allowlist') – specifične domene kojima vaši AI agenti smiju pristupiti. Ključno je uključiti vodeću točku (.) u unose domena kako bi se podudarali s poddomenama, osiguravajući sveobuhvatnu pokrivenost.

Na primjer, da biste dopustili pristup Wikipediji i Stack Overflowu, vaša konfiguracija pravila izgledala bi otprilike ovako:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Ova konfiguracija osigurava da je samo promet namijenjen ovim izričito dopuštenim domenama, uključujući njihove poddomene, dopušten kroz vatrozid. Sav ostali promet može biti implicitno odbijen politikom 'default-deny'.

Iznad SNI-a: Pristup višeslojne obrane

Iako je SNI-temeljeno filtriranje moćno, istinska arhitektura "nula povjerenja" ('zero-trust') za AI agente zahtijeva više slojeva sigurnosti. Kao što je spomenuto, uparivanje AWS Network Firewall-a s Amazon Route 53 Resolver DNS Firewallom dodaje još jednu kritičnu kontrolnu točku. To sprječava agente da razriješe blokirane domene putem DNS-a, učinkovito zatvarajući potencijalni vektor zaobilaženja gdje bi agent mogao pokušati izravno se povezati na IP adresu ako razlučivanje domene također nije kontrolirano.

Nadalje, integriranje drugih sigurnosnih usluga, kao što je AWS Web Application Firewall (WAF) za inspekciju HTTP/S prometa (ako se promet na kraju dešifrira za inspekciju na drugom sloju) i kontrole pristupa temeljene na identitetu za pozivanje agenata, učvršćuje vašu sigurnosnu poziciju. Ovaj višeslojni pristup usklađen je s najboljim praksama za izgradnju-arhitekture-nula-povjerenja-za-povjerljive-ai-tvornice.

Zaključak: Omogućavanje sigurne implementacije AI agenata

Sposobnost kontrole kojim domenama vaši AI agenti mogu pristupiti nije samo značajka; to je temeljni sigurnosni zahtjev za usvajanje poslovne umjetne inteligencije. Implementacijom AWS Network Firewall-a s Amazon Bedrock AgentCore-om, organizacije stječu granularnu kontrolu nad odlaznim prometom agenata, ublažavaju značajne sigurnosne rizike poput eksfiltracije podataka i 'prompt injection' napada te ispunjavaju stroge obveze usklađenosti.

Kako AI agenti postaju sofisticiraniji i integriraniji u kritične poslovne procese, robustan sigurnosni okvir postaje neophodan. Ovo rješenje pruža jasan put tvrtkama da iskoriste snagu AI agenata, istovremeno održavajući kontrolu, vidljivost i beskompromisnu sigurnosnu poziciju. Prihvaćanje takvih arhitektonskih obrazaca ključno je za operacionalizaciju-agenticne-ai-dio-1-vodic-za-dionike i poticanje sigurne, inovativne budućnosti.