Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AI ügynök tartományvezérlés: Webböngészés biztosítása AWS Network Firewall-lal

AI ügynökök védelme: Miért elsődleges a tartományvezérlés

Az interneten böngészésre képes AI ügynökök megjelenése új korszakot nyitott meg, a kutatás automatizálásától a valós idejű adatgyűjtésig. Ezek a hatékony eszközök ígéretesen átalakítják a vállalati működést, de a nyílt internethez való hozzáférésük jelentős biztonsági és megfelelőségi kihívásokat is magával von. Az AI ügynök korlátlan internet-hozzáférése ahhoz hasonlítható, mintha egy alkalmazottnak vállalati hitelkártyát adnánk költési limit nélkül – a visszaélés, a véletlen adatszivárgás vagy a rosszindulatú kihasználás lehetősége hatalmas. Elkerülhetetlenül felmerülnek a kérdések: Mi van, ha az ügynök illetéktelen webhelyekhez fér hozzá? Kiszivároghatnak-e érzékeny adatok külső tartományokba?

A Code Velocity élen jár e kritikus kérdések feltárásában, és ma egy robusztus megoldást mutatunk be, amelyet az AWS kínál ezen aggodalmak közvetlen kezelésére. Az Amazon Bedrock AgentCore és az AWS Network Firewall együttes alkalmazásával a szervezetek szigorú tartományalapú szűrést valósíthatnak meg, biztosítva, hogy az AI ügynökök csak jóváhagyott webes erőforrásokkal kommunikáljanak. Ez a megközelítés nem csupán bevált gyakorlat; alapvető követelmény az AI ügynökök felelősségteljes telepítéséhez bármely vállalati környezetben.

Vállalati biztonsági követelmények kezelése AI ügynök kimenő forgalom vezérléssel

A szervezetek, különösen a szabályozott iparágakban működők számára az AI ügynökök telepítése szigorú biztonsági követelményekkel jár. A hálózati izoláció és a kimenő forgalom vezérlése következetesen kiemelésre kerül a biztonsági ellenőrzések során, részletes magyarázatokat igényelve arról, hogy az ügynökforgalom hogyan kerül kezelésre és ellenőrzésre. Azon biztosítékok szükségessége, hogy az ügynök futásidejű végpontjai privátak maradjanak, és hogy robusztus biztonsági vezérlők, mint például a webes alkalmazástűzfalak, a helyükön legyenek, nem alku tárgya.

Kezelt kulcsfontosságú vállalati követelmények:

Szabályozott iparágak: A pénzügyi, egészségügyi és kormányzati szektorban működő ügyfelek megkövetelik annak bizonyítását, hogy az AI ügynök műveletek megfelelnek a szigorú adatirányítási és adatvédelmi előírásoknak. Az illetéktelen tartományhozzáférés súlyos megfelelőségi megsértésekhez vezethet.
Több-bérlős SaaS szolgáltatók: A SaaS vállalatok számára, amelyek AI ügynök képességeket építenek, az ügyfelenkénti hálózati szabályzatok elengedhetetlenek. Az A ügyfélnek szüksége lehet hozzáférésre bizonyos tartományokhoz, amelyeket a B ügyfél kifejezetten blokkol. Ez részletes vezérlést igényel, beleértve a végrehajtás-specifikus blokkolást, a regionális korlátozásokat és a kategóriaalapú szabályokat (pl. a szerencsejáték vagy a közösségi média oldalak letiltása).
Biztonsági sebezhetőség enyhítése: Egyre növekvő aggodalomra ad okot az AI ügynökök prompt injekciós támadásokra való érzékenysége. A rosszindulatú promptok megtéveszthetik az ügynököket, hogy nem szándékolt vagy káros webhelyekre navigáljanak. Az egyedi URL engedélyezési listák drasztikusan csökkentik ezt a támadási felületet, biztosítva, hogy az ügynökök a jóváhagyott határokon belül maradjanak, függetlenül a manipulált utasításoktól. Ez közvetlenül kapcsolódik a szélesebb körű vitához az ügynökök prompt injekcióval szembeni ellenállásának tervezéséről.
Megfelelőségi audit követelmények: A biztonsági csapatoknak láthatóságra és auditnaplókra van szükségük az összes ügynök hálózati interakciójáról. A tartományalapú kimenő forgalom szűrése átfogó naplózást és hozzáférés-vezérlési láthatóságot biztosít, ami létfontosságú a biztonsági felügyelet és az auditálási folyamatok szempontjából.

Architektúra mélyreható elemzése: AgentCore biztosítása AWS Network Firewall-lal

A megoldás magában foglalja az AgentCore Browser telepítését egy privát alhálózaton belül, elszigetelve a közvetlen internet-hozzáféréstől. Az AI ügynök összes kimenő forgalma ezután gondosan egy AWS Network Firewall-on keresztül irányul. Ez a tűzfal központi ellenőrzőpontként működik, átvizsgálva a TLS Server Name Indication (SNI) fejléceket a cél tartomány azonosításához és az előre meghatározott szűrési szabályok érvényesítéséhez. Az integráció lehetővé teszi a Network Firewall műveletek figyelését az Amazon CloudWatch metrikákon keresztül is, értékes betekintést nyújtva a forgalmi mintákba és a blokkolt kísérletekbe.

Megoldáskomponensek:

Komponens	Funkció	Biztonsági előny
Privát alhálózat	AgentCore Browser példányokat tárol, nincs közvetlen nyilvános IP-cím.	Elszigeteli az ügynököket a nyilvános internettől, csökkentve a kitettséget.
Nyilvános alhálózat	NAT Gateway-t tartalmaz a kimenő kapcsolódáshoz.	Lehetővé teszi a kimenő hozzáférést anélkül, hogy közvetlenül kiteszítse az ügynök példányokat.
Tűzfal alhálózat	Dedikált alhálózat a Network Firewall végpont számára.	Centralizálja a forgalom ellenőrzését, érvényesíti a biztonsági szabályzatokat.
AWS Network Firewall	Ellenőrzi a TLS SNI fejléceket, alkalmazza a szűrési szabályokat, naplózza a forgalmat.	Tartományalapú kimenő forgalom vezérlés, botnet/malware védelem, auditnaplók.
Útvonaltáblák	Irányítja a forgalom áramlását a tűzfalon keresztül.	Biztosítja, hogy az összes kimenő és visszatérő forgalom áthaladjon a tűzfalon.

A forgalom áramlása magyarázat:

Egy AI ügynök, amely az Amazon Bedrock AgentCore rendszerben fut, meghívja az AgentCore Browser eszközt.
Az AgentCore Browser HTTPS kérést kezdeményez a privát alhálózatából.
A privát alhálózat útvonaltáblája ezt a forgalmat egy NAT Gateway felé irányítja a nyilvános alhálózaton.
A NAT Gateway lefordítja a privát IP-t, és továbbítja a kérést a Network Firewall végpontnak.
Az AWS Network Firewall elfogja a forgalmat, és ellenőrzi a TLS SNI fejlécet a szándékolt cél tartomány meghatározásához.
Ha a tartomány megegyezik a tűzfalon konfigurált 'engedélyezési lista' szabályával, a forgalom továbbítódik az Internet Gateway-hez.
Az Internet Gateway ezután az engedélyezett forgalmat a külső webes célállomásra irányítja.
A visszatérő forgalom szimmetrikus útvonalon halad vissza a tűzfalon keresztül, biztosítva a folyamatos ellenőrzést és a szabályzat érvényesítését.

Fontos megjegyezni, hogy bár az SNI-alapú szűrés hatékony annak szabályozásában, hogy mely tartományokhoz csatlakoznak az ügynökök a TLS rétegen, ez egy szélesebb körű, mélységi védelmi stratégia része. Az átfogó DNS-szintű szűrés és a DNS tunneling vagy exfiltráció elleni védelem érdekében ez az architektúra kiegészíthető az Amazon Route 53 Resolver DNS Firewall-lal.

Biztonságos tartományszűrés megvalósítása AI ügynökei számára

Az AI ügynökei számára e robusztus biztonsági helyzet kialakítása néhány kulcsfontosságú lépést foglal magában, az AWS átfogó infrastruktúra-szolgáltatásait kihasználva.

Megvalósítás előfeltételei:

Mielőtt belevágna, győződjön meg róla, hogy rendelkezik:

Aktív AWS-fiók jogosultságokkal VPC erőforrások, Network Firewall és IAM szerepkörök létrehozásához.
AWS Command Line Interface (AWS CLI) 2.x verzió, megfelelő hitelesítő adatokkal konfigurálva.
Hozzáféréssel az Amazon Bedrock AgentCore-hoz az AWS-fiókjában.
Alapvető ismeretekkel az Amazon VPC hálózati koncepciókról.

1. lépés: Erőforrások telepítése CloudFormation segítségével

Az AWS kényelmes CloudFormation sablont biztosít a szükséges VPC és Network Firewall komponensek telepítésének egyszerűsítéséhez. Ez a sablon beállítja a privát és nyilvános alhálózatokat, a NAT Gateway-t, a tűzfal alhálózatot és az alapvető útválasztási infrastruktúrát. Ennek használatával gyorsan létrehozhatja a biztonságos ügynök műveletekhez szükséges alapvető hálózati környezetet.

2. lépés: Az IAM végrehajtási szerepkör áttekintése

Az AgentCore Browser megfelelő és biztonságos működéséhez egy IAM szerepkörre van szükség, specifikus bizalmi házirenddel. Ez a házirend lehetővé teszi a bedrock-agentcore.amazonaws.com szolgáltatás számára a szerepkör felvételét, biztosítva, hogy az ügynök rendelkezzen a szükséges jogosultságokkal anélélkül, hogy túlzott jogosultságokat kapna.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

3. lépés: Az AWS Network Firewall engedélyezési lista konfigurálása

A tartományvezérlési stratégia lényege egy állapotfüggő szabálycsoport konfigurálásában rejlik az AWS Network Firewall-on belül. Ez a szabálycsoport definiálja az engedélyezési listáját – azokat a specifikus tartományokat, amelyekhez az AI ügynökei hozzáférhetnek. Fontos, hogy a tartománybejegyzésekben szerepeljen egy vezető pont (.) az aldomének egyezéséhez, biztosítva az átfogó lefedettséget.

Például, a Wikipedia és a Stack Overflow hozzáférésének engedélyezéséhez a szabálykonfigurációja valahogy így nézne ki:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Ez a konfiguráció biztosítja, hogy csak az ezekhez az expliciten engedélyezett tartományokhoz, beleértve azok aldoménjeit is, irányuló forgalom haladjon át a tűzfalon. Minden más forgalmat implicit módon megtagadhat egy alapértelmezett elutasító szabályzat.

SNI-n túl: Mélységi védelmi megközelítés

Bár az SNI-alapú szűrés hatékony, az AI ügynökök számára egy valódi zéró bizalom architektúra több biztonsági réteget igényel. Mint említettük, az AWS Network Firewall párosítása az Amazon Route 53 Resolver DNS Firewall-lal egy másik kritikus ellenőrzési pontot ad hozzá. Ez megakadályozza, hogy az ügynökök DNS-en keresztül feloldják a blokkolt tartományokat, hatékonyan lezárva egy potenciális kikerülő utat, ahol egy ügynök megpróbálhat közvetlenül egy IP-címhez csatlakozni, ha a tartományfeloldás sincs szabályozva.

Továbbá, más biztonsági szolgáltatások integrálása, mint például az AWS Web Application Firewall (WAF) a HTTP/S forgalom ellenőrzésére (ha a forgalom végül feloldásra kerül egy másik rétegen történő ellenőrzés céljából) és az identitásalapú hozzáférés-vezérlés az ügynök meghívásához, megerősíti a biztonsági helyzetét. Ez a többrétegű megközelítés összhangban van a zéró bizalom architektúra építésének bevált gyakorlatával bizalmas AI gyárak számára.

Következtetés: Biztonságos AI ügynök telepítés lehetővé tétele

Az AI ügynökök hozzáférési tartományainak szabályozási képessége nem csupán egy funkció; ez egy alapvető biztonsági követelmény a vállalati AI bevezetéséhez. Az AWS Network Firewall implementálásával az Amazon Bedrock AgentCore-ral a szervezetek részletes ellenőrzést szereznek az ügynök kimenő forgalma felett, enyhítik a jelentős biztonsági kockázatokat, mint az adatszivárgás és a prompt injekció, és megfelelnek a szigorú megfelelőségi kötelezettségeknek.

Ahogy az AI ügynökök egyre kifinomultabbá válnak és egyre inkább integrálódnak a kritikus üzleti folyamatokba, egy robusztus biztonsági keretrendszer nélkülözhetetlenné válik. Ez a megoldás egyértelmű utat biztosít a vállalkozások számára az AI ügynökök erejének kihasználásához, miközben fenntartják az ellenőrzést, a láthatóságot és a kompromisszumok nélküli biztonsági helyzetet. Az ilyen építészeti minták elfogadása kulcsfontosságú az ügynöki AI üzemeltetéséhez 1. rész: érdekelt felek útmutatója és egy biztonságos, innovatív jövő elősegítéséhez.