Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AIエージェントのドメイン制御：AWS Network Firewallによるウェブアクセスの保護

AIエージェントの保護：ドメイン制御が最も重要である理由

ウェブを閲覧できるAIエージェントの登場は、研究の自動化からリアルタイムのデータ収集に至るまで、新たな可能性の時代をもたらしました。これらの強力なツールはエンタープライズ業務を変革することを約束しますが、オープンインターネットにアクセスできる能力は、重大なセキュリティとコンプライアンスの課題も引き起こします。AIエージェントが無制限にインターネットにアクセスすることは、従業員に制限なしの会社のクレジットカードを与えるようなものです。誤用、偶発的なデータ漏洩、悪意のある悪用の可能性は計り知れません。必然的に疑問が生じます。エージェントが不正なウェブサイトにアクセスしたらどうなるでしょうか？機密データが外部ドメインに漏洩する可能性はありますか？

Code Velocityは、これらの重要な問題の探求において最前線に立っており、本日、これらの懸念に正面から取り組むためにAWSが提供する堅牢なソリューションについて詳しく説明します。Amazon Bedrock AgentCoreとAWS Network Firewallを併用することで、組織は厳格なドメインベースのフィルタリングを実装し、AIエージェントが承認されたウェブリソースとのみやり取りするようにできます。このアプローチは単なるベストプラクティスではありません。これは、あらゆるエンタープライズ設定でAIエージェントを責任を持ってデプロイするための基本的な要件です。

AIエージェントのイーグレス制御で企業のセキュリティ要件に対応

組織、特に規制産業の組織にとって、AIエージェントのデプロイは厳格なセキュリティ要件を伴います。ネットワーク分離とイーグレス制御は、セキュリティレビュー中に一貫して強調され、エージェントトラフィックがどのように管理され、監査されるかについての詳細な説明が求められます。エージェントのランタイムエンドポイントがプライベートに保たれ、ウェブアプリケーションファイアウォールなどの堅牢なセキュリティ制御が導入されていることの保証は、譲歩できない点です。

対応する主な企業要件：

規制産業： 金融、ヘルスケア、政府機関の顧客は、AIエージェントの運用が厳格なデータガバナンスおよびプライバシー規制に準拠していることの証拠を要求します。不正なドメインアクセスは、深刻なコンプライアンス違反につながる可能性があります。
マルチテナントSaaSプロバイダー： AIエージェント機能を提供するSaaS企業にとって、顧客ごとのネットワークポリシーは不可欠です。顧客Aが特定のドメインへのアクセスを要求する一方で、顧客Bはそれらを明示的にブロックする場合があります。これには、実行ごとのブロック、地域制限、カテゴリベースのルール（例：ギャンブルサイトやソーシャルメディアサイトの無効化）を含むきめ細かな制御が必要です。
セキュリティ脆弱性の軽減： AIエージェントのプロンプトインジェクション攻撃に対する脆弱性が懸念されています。悪意のあるプロンプトは、エージェントを意図しないサイトや有害なサイトに誘導する可能性があります。カスタムURL許可リストは、この攻撃対象領域を大幅に削減し、操作された指示に関係なく、エージェントが承認された境界内に留まるようにします。これは、より広範な議論であるプロンプトインジェクションに耐性のあるエージェントの設計に直接関連しています。
コンプライアンス監査要件： セキュリティチームは、すべてのエージェントネットワークインタラクションに対する可視性と監査証跡を必要とします。ドメインベースのイーグレスフィルタリングは、セキュリティ監視と監査プロセスに不可欠な包括的なロギングとアクセス制御の可視性を提供します。

アーキテクチャの詳細：AWS Network FirewallによるAgentCoreの保護

このソリューションでは、AgentCore Browserをプライベートサブネット内にデプロイし、直接インターネットアクセスから隔離します。その後、AIエージェントからのすべてのアウトバウンドトラフィックは、AWS Network Firewallを介して綿密にルーティングされます。このファイアウォールは中央の検査ポイントとして機能し、TLS Server Name Indication (SNI) ヘッダーを精査して宛先ドメインを識別し、事前定義されたフィルタリングルールを適用します。この統合により、Amazon CloudWatchメトリクスを介してNetwork Firewallのアクションを監視することもでき、トラフィックパターンとブロックされた試行に関する貴重な洞察が得られます。

ソリューションコンポーネント：

コンポーネント	機能	セキュリティ上のメリット
プライベートサブネット	AgentCore Browserインスタンスをホストし、直接のパブリックIPアドレスなし。	パブリックインターネットからエージェントを隔離し、露出を減らす。
パブリックサブネット	アウトバウンド接続用のNAT Gatewayを含む。	エージェントインスタンスを直接公開することなく、アウトバウンドアクセスを可能にする。
ファイアウォールサブネット	Network Firewallエンドポイント専用のサブネット。	トラフィック検査を集中化し、セキュリティポリシーを適用する。
AWS Network Firewall	TLS SNIヘッダーを検査し、フィルタリングルールを適用し、トラフィックをログに記録する。	ドメインベースのイーグレス制御、ボットネット/マルウェア対策、監査証跡。
ルートテーブル	ファイアウォールを介してトラフィックフローを指示する。	すべてのアウトバウンドおよび戻りトラフィックがファイアウォールを通過することを保証する。

トラフィックフローの説明：

Amazon Bedrock AgentCoreで実行されているAIエージェントがAgentCore Browserツールを呼び出します。
AgentCore Browserは、そのプライベートサブネットからHTTPSリクエストを開始します。
プライベートサブネットのルートテーブルは、このトラフィックをパブリックサブネット内のNAT Gatewayに転送します。
NAT GatewayはプライベートIPを変換し、リクエストをNetwork Firewallエンドポイントに転送します。
AWS Network Firewallはトラフィックを傍受し、TLS SNIヘッダーを検査して意図された宛先ドメインを特定します。
ドメインがファイアウォールで設定された「許可リスト」ルールに一致する場合、トラフィックはInternet Gatewayに転送されます。
Internet Gatewayは、承認されたトラフィックを外部のウェブ宛先にルーティングします。
戻りトラフィックはファイアウォールを介して対称パスをたどり、継続的な検査とポリシー適用を保証します。

SNIベースのフィルタリングは、TLS層でエージェントが「どのドメイン」に接続するかを制御するのに強力ですが、より広範な多層防御戦略の一部であることに注意することが重要です。包括的なDNSレベルのフィルタリングとDNSトンネリングや漏洩に対する保護のためには、このアーキテクチャをAmazon Route 53 Resolver DNS Firewallで補完することができます。

AIエージェントに安全なドメインフィルタリングを実装する

AIエージェントにこの堅牢なセキュリティ体制を構築するには、AWSの包括的なインフラストラクチャサービスを活用して、いくつかの主要な手順を実行します。

実装の前提条件：

始める前に、以下の準備をしてください。

VPCリソース、Network Firewall、IAMロールを作成する権限を持つアクティブなAWSアカウント。
適切な認証情報で設定されたAWS Command Line Interface (AWS CLI) バージョン2.x。
AWSアカウント内のAmazon Bedrock AgentCoreへのアクセス。
Amazon VPCのネットワーク概念に関する基本的な理解。

ステップ1：CloudFormationによるリソースのデプロイ

AWSは、必要なVPCおよびNetwork Firewallコンポーネントのデプロイを効率化するための便利なCloudFormationテンプレートを提供しています。このテンプレートは、プライベートサブネットとパブリックサブネット、NAT Gateway、ファイアウォールサブネット、および安全なエージェント運用に必要なコアルーティングインフラストラクチャを設定します。これを利用することで、セキュアなネットワーク環境の基盤を迅速に確立できます。

ステップ2：IAM実行ロールの確認

AgentCore Browserが正しく安全に機能するためには、特定の信頼ポリシーを持つIAMロールが必要です。このポリシーは、bedrock-agentcore.amazonaws.comサービスがロールを引き受けることを許可し、エージェントが過剰な権限を持たずに必要な権限を持つことを保証します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

ステップ3：AWS Network Firewallの許可リストの設定

ドメイン制御戦略の核となるのは、AWS Network Firewall内でステートフルルールグループを設定することです。このルールグループは、AIエージェントがアクセスを許可されている特定のドメインを定義する許可リストを定義します。サブドメインを一致させるためにドメインエントリに先行ドット (.) を含めることが不可欠であり、包括的なカバレッジを確保します。

たとえば、WikipediaとStack Overflowへのアクセスを許可するには、ルール構成は次のようになります。

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

この構成により、明示的に許可されたこれらのドメイン（サブドメインを含む）宛てのトラフィックのみがファイアウォールを通過することを保証します。その他のすべてのトラフィックは、デフォルト拒否ポリシーによって暗黙的に拒否できます。

SNIを超えて：多層防御アプローチ

SNIベースのフィルタリングは強力ですが、AIエージェントの真のゼロトラストアーキテクチャには複数のセキュリティ層が必要です。前述のように、AWS Network FirewallとAmazon Route 53 Resolver DNS Firewallを組み合わせることで、もう1つの重要な制御ポイントが追加されます。これにより、エージェントがDNSを介してブロックされたドメインを解決するのを防ぎ、ドメイン解決も制御されていない場合にエージェントがIPアドレスに直接接続しようとする可能性のあるバイパス経路を効果的に閉鎖します。

さらに、AWS Web Application Firewall (WAF) などの他のセキュリティサービス（トラフィックが最終的に別の層で検査のために暗号化解除される場合）によるHTTP/Sトラフィック検査や、エージェント呼び出しのためのIDベースのアクセス制御を統合することで、セキュリティ体制が強化されます。この多層アプローチは、機密AIファクトリーのためのゼロトラストアーキテクチャの構築のベストプラクティスに合致しています。

結論：安全なAIエージェントデプロイを可能にする

AIエージェントがアクセスできるドメインを制御する能力は、単なる機能ではありません。それはエンタープライズAI採用にとって基礎的なセキュリティ要件です。AWS Network FirewallとAmazon Bedrock AgentCoreを実装することで、組織はエージェントのイーグレストラフィックをきめ細かく制御し、データ漏洩やプロンプトインジェクションなどの重大なセキュリティリスクを軽減し、厳格なコンプライアンス義務を満たすことができます。

AIエージェントがより洗練され、重要なビジネスプロセスに統合されるにつれて、堅牢なセキュリティフレームワークは不可欠になります。このソリューションは、ビジネスがAIエージェントの力を活用しながら、制御、可視性、および妥協のないセキュリティ体制を維持するための明確な道筋を提供します。このようなアーキテクチャパターンを採用することは、エージェントAIの運用化パート1：ステークホルダーガイドと、安全で革新的な未来を育むための鍵となります。