Langkah 3: Mengonfigurasi Daftar Izin (Allowlist) AWS Network Firewall
Inti dari strategi kontrol domain Anda terletak pada konfigurasi grup aturan stateful di dalam AWS Network Firewall. Grup aturan ini mendefinisikan daftar izin (allowlist) Anda – domain spesifik yang diizinkan untuk diakses oleh agen AI Anda. Penting untuk menyertakan titik awal (.) dalam entri domain Anda untuk mencocokkan subdomain, memastikan cakupan yang komprehensif.
Misalnya, untuk mengizinkan akses ke Wikipedia dan Stack Overflow, konfigurasi aturan Anda akan terlihat seperti ini:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
Konfigurasi ini memastikan bahwa hanya lalu lintas yang ditujukan untuk domain yang secara eksplisit diizinkan ini, termasuk subdomainnya, yang diizinkan melalui firewall. Semua lalu lintas lainnya dapat secara implisit ditolak oleh kebijakan penolakan default.
Melampaui SNI: Pendekatan Pertahanan Berlapis
Meskipun pemfilteran berbasis SNI sangat kuat, arsitektur zero-trust yang sebenarnya untuk agen AI membutuhkan beberapa lapisan keamanan. Seperti yang disebutkan, memasangkan AWS Network Firewall dengan Amazon Route 53 Resolver DNS Firewall menambahkan titik kontrol kritis lainnya. Ini mencegah agen menyelesaikan domain yang diblokir melalui DNS, secara efektif menutup vektor bypass potensial di mana agen mungkin mencoba terhubung langsung ke alamat IP jika resolusi domain juga tidak dikontrol.
Selain itu, mengintegrasikan layanan keamanan lain, seperti AWS Web Application Firewall (WAF) untuk inspeksi lalu lintas HTTP/S (jika lalu lintas akhirnya tidak terenkripsi untuk inspeksi di lapisan lain) dan kontrol akses berbasis identitas untuk pemanggilan agen, memperkuat postur keamanan Anda. Pendekatan multi-lapis ini selaras dengan praktik terbaik untuk membangun-arsitektur-zero-trust-untuk-pabrik-ai-rahasia.
Kesimpulan: Memberdayakan Penerapan Agen AI yang Aman
Kemampuan untuk mengontrol domain mana yang dapat diakses oleh agen AI Anda bukan hanya fitur; ini adalah persyaratan keamanan dasar untuk adopsi AI perusahaan. Dengan menerapkan AWS Network Firewall dengan Amazon Bedrock AgentCore, organisasi memperoleh kontrol granular atas lalu lintas keluar agen, mengurangi risiko keamanan signifikan seperti eksfiltrasi data dan injeksi prompt, serta memenuhi kewajiban kepatuhan yang ketat.
Karena agen AI menjadi lebih canggih dan terintegrasi ke dalam proses bisnis yang kritis, kerangka kerja keamanan yang kuat menjadi sangat diperlukan. Solusi ini menyediakan jalur yang jelas bagi bisnis untuk memanfaatkan kekuatan agen AI sambil mempertahankan kontrol, visibilitas, dan postur keamanan yang tidak terkompromikan. Merangkul pola arsitektur seperti ini adalah kunci untuk mengoperasionalkan-ai-agen-bagian-1-panduan-pemangku-kepentingan dan menumbuhkan masa depan yang aman dan inovatif.
Sumber asli
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/Pertanyaan yang Sering Diajukan
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
Tetap Update
Dapatkan berita AI terbaru di inbox Anda.