Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Controllo del Dominio degli Agenti AI: Proteggere l'Accesso al Web con AWS Network Firewall

Proteggere gli Agenti AI: Perché il Controllo del Dominio è Fondamentale

L'avvento degli agenti AI capaci di navigare sul web ha inaugurato una nuova era di possibilità, dall'automazione della ricerca alla raccolta di dati in tempo reale. Questi potenti strumenti promettono di trasformare le operazioni aziendali, ma la loro capacità di accedere a internet aperto introduce anche significative sfide di sicurezza e conformità. L'accesso illimitato a internet per un agente AI è come dare a un dipendente una carta di credito aziendale senza limiti di spesa – il potenziale di uso improprio, esposizione accidentale di dati o sfruttamento malevolo è immenso. Inevitabilmente sorgono domande: E se l'agente accedesse a siti web non autorizzati? I dati sensibili potrebbero essere esfiltrati verso domini esterni?

Code Velocity è in prima linea nell'esplorare queste questioni critiche, e oggi approfondiamo una soluzione robusta offerta da AWS per affrontare queste preoccupazioni. Sfruttando Amazon Bedrock AgentCore insieme ad AWS Network Firewall, le organizzazioni possono implementare un filtraggio rigoroso basato su dominio, assicurando che gli agenti AI interagiscano solo con risorse web approvate. Questo approccio non è solo una buona pratica; è un requisito fondamentale per distribuire agenti AI in modo responsabile in qualsiasi contesto aziendale.

Affrontare i Requisiti di Sicurezza Aziendale con il Controllo dell'Egress degli Agenti AI

Per le organizzazioni, in particolare quelle in settori regolamentati, la distribuzione di agenti AI comporta un rigoroso insieme di requisiti di sicurezza. L'isolamento di rete e il controllo dell'egress sono costantemente evidenziati durante le revisioni di sicurezza, richiedendo spiegazioni dettagliate su come il traffico degli agenti è gestito e controllato. L'esigenza di assicurazioni che gli endpoint di runtime degli agenti rimangano privati e che siano in atto controlli di sicurezza robusti come i web application firewall è non negoziabile.

Requisiti Aziendali Chiave Affrontati:

Settori Regolamentati: I clienti nei settori della finanza, della sanità e del governo richiedono la prova che le operazioni degli agenti AI siano conformi a rigorose normative sulla governance dei dati e sulla privacy. L'accesso non autorizzato a domini può portare a gravi violazioni della conformità.
Provider SaaS Multi-tenant: Per le aziende SaaS che sviluppano capacità di agenti AI, le politiche di rete per cliente sono essenziali. Il Cliente A potrebbe richiedere l'accesso a domini specifici che il Cliente B blocca esplicitamente. Ciò richiede un controllo granulare, incluso il blocco specifico dell'esecuzione, restrizioni regionali e regole basate su categorie (ad esempio, disabilitando siti di gioco d'azzardo o social media).
Mitigazione delle Vulnerabilità di Sicurezza: Una crescente preoccupazione è la suscettibilità degli agenti AI agli attacchi di prompt injection. Prompt malevoli possono indurre gli agenti a navigare verso siti non intenzionali o dannosi. Le 'allowlist' di URL personalizzate riducono drasticamente questa superficie di attacco, garantendo che gli agenti rimangano entro i confini approvati, indipendentemente dalle istruzioni manipolate. Questo si collega direttamente alla discussione più ampia su progettare-agenti-per-resistere-al-prompt-injection.
Requisiti di Audit per la Conformità: I team di sicurezza necessitano di visibilità e tracce di audit per tutte le interazioni di rete degli agenti. Il filtraggio di egress basato su dominio fornisce una registrazione completa e una visibilità del controllo degli accessi, cruciali per il monitoraggio della sicurezza e i processi di audit.

Approfondimento Architettonico: Proteggere AgentCore con AWS Network Firewall

La soluzione prevede la distribuzione di AgentCore Browser all'interno di una subnet privata, isolata dall'accesso diretto a internet. Tutto il traffico in uscita dall'agente AI viene quindi meticolosamente instradato attraverso un AWS Network Firewall. Questo firewall agisce come punto di ispezione centrale, esaminando le intestazioni TLS Server Name Indication (SNI) per identificare il dominio di destinazione e applicare le regole di filtraggio predefinite. L'integrazione consente anche il monitoraggio delle azioni del Network Firewall tramite le metriche di Amazon CloudWatch, fornendo preziose informazioni sui modelli di traffico e sui tentativi bloccati.

Componenti della Soluzione:

Componente	Funzione	Vantaggio di Sicurezza
Subnet Privata	Ospita istanze di AgentCore Browser, senza indirizzi IP pubblici diretti.	Isola gli agenti da internet pubblico, riducendo l'esposizione.
Subnet Pubblica	Contiene un NAT Gateway per la connettività in uscita.	Abilita l'accesso in uscita senza esporre direttamente le istanze dell'agente.
Subnet Firewall	Subnet dedicata per l'endpoint del Network Firewall.	Centralizza l'ispezione del traffico, applica le politiche di sicurezza.
AWS Network Firewall	Ispeziona le intestazioni TLS SNI, applica regole di filtraggio, registra il traffico.	Controllo di egress basato su dominio, protezione da botnet/malware, tracce di audit.
Tabelle di Routing	Dirige il flusso di traffico attraverso il firewall.	Assicura che tutto il traffico in uscita e di ritorno attraversi il firewall.

Il Flusso di Traffico Spiegato:

Un agente AI in esecuzione in Amazon Bedrock AgentCore invoca lo strumento AgentCore Browser.
L'AgentCore Browser avvia una richiesta HTTPS dalla sua subnet privata.
La tabella di routing della subnet privata dirige questo traffico verso un NAT Gateway nella subnet pubblica.
Il NAT Gateway traduce l'IP privato e inoltra la richiesta all'endpoint del Network Firewall.
AWS Network Firewall intercetta il traffico e ispeziona l'intestazione TLS SNI per determinare il dominio di destinazione previsto.
Se il dominio corrisponde a una regola di 'allowlist' configurata nel firewall, il traffico viene inoltrato all'Internet Gateway.
L'Internet Gateway instrada quindi il traffico approvato alla destinazione web esterna.
Il traffico di ritorno segue il percorso simmetrico attraverso il firewall, garantendo ispezioni continue e l'applicazione delle politiche.

È cruciale notare che, sebbene il filtraggio basato su SNI sia potente per controllare quali domini gli agenti si connettono a livello TLS, fa parte di una più ampia strategia di difesa in profondità. Per un filtraggio completo a livello DNS e la protezione contro il DNS tunneling o l'esfiltrazione, questa architettura può essere completata con Amazon Route 53 Resolver DNS Firewall.

Implementare il Filtraggio Sicuro del Dominio per i Tuoi Agenti AI

L'impostazione di questa robusta postura di sicurezza per i tuoi agenti AI comporta alcuni passaggi chiave, sfruttando i servizi di infrastruttura completi di AWS.

Prerequisiti per l'Implementazione:

Prima di iniziare, assicurati di avere:

Un account AWS attivo con permessi per creare risorse VPC, Network Firewall e ruoli IAM.
AWS Command Line Interface (AWS CLI) versione 2.x configurata con credenziali appropriate.
Accesso ad Amazon Bedrock AgentCore all'interno del tuo account AWS.
Una comprensione fondamentale dei concetti di networking di Amazon VPC.

Passo 1: Distribuzione delle Risorse tramite CloudFormation

AWS fornisce un pratico template CloudFormation per semplificare la distribuzione dei componenti VPC e Network Firewall necessari. Questo template configura le subnet private e pubbliche, il NAT Gateway, la subnet del firewall e l'infrastruttura di routing principale. Utilizzandolo, puoi stabilire rapidamente l'ambiente di rete fondamentale richiesto per operazioni sicure degli agenti.

Passo 2: Revisione del Ruolo di Esecuzione IAM

Affinché AgentCore Browser funzioni correttamente e in sicurezza, richiede un ruolo IAM con una specifica politica di attendibilità. Questa politica consente al servizio bedrock-agentcore.amazonaws.com di assumere il ruolo, garantendo che l'agente abbia le autorizzazioni necessarie senza eccessivi privilegi.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Passo 3: Configurazione della Allowlist di AWS Network Firewall

Il cuore della tua strategia di controllo del dominio risiede nella configurazione di un gruppo di regole stateful all'interno di AWS Network Firewall. Questo gruppo di regole definisce la tua 'allowlist' – i domini specifici a cui i tuoi agenti AI sono autorizzati ad accedere. È essenziale includere un punto iniziale (.) nelle voci del dominio per corrispondere ai sottodomini, garantendo una copertura completa.

Ad esempio, per consentire l'accesso a Wikipedia e Stack Overflow, la configurazione della tua regola sarebbe simile a questa:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Oltre SNI: Un Approccio di Difesa in Profondità

Sebbene il filtraggio basato su SNI sia potente, una vera architettura "zero-trust" per gli agenti AI richiede più strati di sicurezza. Come accennato, l'abbinamento di AWS Network Firewall con Amazon Route 53 Resolver DNS Firewall aggiunge un altro punto di controllo critico. Questo impedisce agli agenti di risolvere domini bloccati tramite DNS, chiudendo efficacemente un potenziale vettore di bypass dove un agente potrebbe tentare di connettersi direttamente a un indirizzo IP se la risoluzione del dominio non è anch'essa controllata.

Inoltre, l'integrazione di altri servizi di sicurezza, come AWS Web Application Firewall (WAF) per l'ispezione del traffico HTTP/S (se il traffico è eventualmente non crittografato per l'ispezione a un altro livello) e controlli di accesso basati sull'identità per l'invocazione degli agenti, rafforza la tua postura di sicurezza. Questo approccio a più livelli si allinea con le migliori pratiche per costruire-un-architettura-zero-trust-per-fabbriche-AI-confidenziali.

Conclusione: Potenziare la Distribuzione Sicura degli Agenti AI

La capacità di controllare a quali domini i tuoi agenti AI possono accedere non è solo una funzionalità; è un requisito di sicurezza fondamentale per l'adozione dell'AI aziendale. Implementando AWS Network Firewall con Amazon Bedrock AgentCore, le organizzazioni ottengono un controllo granulare sul traffico di egress degli agenti, mitigano significativi rischi di sicurezza come l'esfiltrazione di dati e il prompt injection, e soddisfano rigorosi obblighi di conformità.

Man mano che gli agenti AI diventano più sofisticati e integrati nei processi aziendali critici, un robusto framework di sicurezza diventa indispensabile. Questa soluzione fornisce un chiaro percorso per le aziende per sfruttare la potenza degli agenti AI mantenendo controllo, visibilità e una postura di sicurezza incompromessa. Adottare tali modelli architetturali è fondamentale per operazionalizzare-l-AI-agentica-parte-1-una-guida-per-gli-stakeholder e promuovere un futuro sicuro e innovativo.