Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AI 에이전트 도메인 제어: AWS Network Firewall로 웹 액세스 보안 강화

AI 에이전트 보호: 도메인 제어가 가장 중요한 이유

웹 탐색이 가능한 AI 에이전트의 등장은 연구 자동화부터 실시간 데이터 수집에 이르기까지 새로운 가능성의 시대를 열었습니다. 이 강력한 도구들은 기업 운영을 변화시킬 것을 약속하지만, 개방형 인터넷에 접근할 수 있다는 점은 심각한 보안 및 규정 준수 문제를 야기합니다. AI 에이전트에 대한 무제한 인터넷 액세스는 직원에게 지출 한도 없는 회사 신용카드를 주는 것과 같습니다. 오용, 우발적인 데이터 노출, 악의적인 악용의 가능성이 엄청납니다. 필연적으로 다음과 같은 질문이 제기됩니다. 에이전트가 승인되지 않은 웹사이트에 액세스하면 어떻게 될까요? 민감한 데이터가 외부 도메인으로 유출될 수 있을까요?

Code Velocity는 이러한 중요한 문제를 탐구하는 데 앞장서고 있으며, 오늘 우리는 AWS가 이러한 우려를 정면으로 해결하기 위해 제공하는 강력한 솔루션을 깊이 탐구합니다. Amazon Bedrock AgentCore와 AWS Network Firewall을 함께 활용함으로써, 조직은 엄격한 도메인 기반 필터링을 구현하여 AI 에이전트가 승인된 웹 리소스하고만 상호작용하도록 보장할 수 있습니다. 이러한 접근 방식은 단순한 모범 사례를 넘어, 모든 엔터프라이즈 환경에서 AI 에이전트를 책임감 있게 배포하기 위한 근본적인 요구 사항입니다.

AI 에이전트 이그레스 제어로 엔터프라이즈 보안 요구 사항 해결

조직, 특히 규제 산업에 속한 조직의 경우, AI 에이전트 배포는 엄격한 보안 요구 사항을 수반합니다. 네트워크 격리 및 이그레스 제어는 보안 검토 중에 지속적으로 강조되며, 에이전트 트래픽이 어떻게 관리되고 감사되는지에 대한 상세한 설명이 필요합니다. 에이전트 런타임 엔드포인트가 비공개로 유지되고 웹 애플리케이션 방화벽과 같은 강력한 보안 제어가 마련되어 있다는 보장은 협상 불가능한 사항입니다.

해결되는 주요 엔터프라이즈 요구 사항:

규제 산업: 금융, 의료, 정부 분야의 고객들은 AI 에이전트 운영이 엄격한 데이터 거버넌스 및 개인 정보 보호 규정을 준수한다는 증거를 요구합니다. 무단 도메인 액세스는 심각한 규정 위반으로 이어질 수 있습니다.
다중 테넌트 SaaS 제공업체: AI 에이전트 기능을 구축하는 SaaS 기업의 경우, 고객별 네트워크 정책이 필수적입니다. 고객 A는 고객 B가 명시적으로 차단하는 특정 도메인에 대한 액세스를 요구할 수 있습니다. 이는 실행별 차단, 지역 제한, 카테고리 기반 규칙(예: 도박 또는 소셜 미디어 사이트 비활성화)을 포함하는 세분화된 제어를 필요로 합니다.
보안 취약점 완화: AI 에이전트가 프롬프트 주입 공격에 취약하다는 우려가 커지고 있습니다. 악성 프롬프트는 에이전트가 의도치 않거나 유해한 사이트로 이동하도록 속일 수 있습니다. 사용자 지정 URL 허용 목록은 이러한 공격 표면을 극적으로 줄여, 조작된 지시와 관계없이 에이전트가 승인된 경계 내에 머물도록 보장합니다. 이는 프롬프트 주입에 저항하도록 에이전트 설계에 대한 광범위한 논의와 직접적으로 관련됩니다.
규정 준수 감사 요구 사항: 보안 팀은 모든 에이전트 네트워크 상호작용에 대한 가시성과 감사 추적(audit trails)이 필요합니다. 도메인 기반 이그레스 필터링은 포괄적인 로깅 및 액세스 제어 가시성을 제공하여 보안 모니터링 및 감사 프로세스에 필수적입니다.

아키텍처 심층 분석: AWS Network Firewall로 AgentCore 보안 강화

이 솔루션은 직접적인 인터넷 액세스로부터 격리된 프라이빗 서브넷 내에 AgentCore Browser를 배포하는 것을 포함합니다. AI 에이전트의 모든 아웃바운드 트래픽은 AWS Network Firewall을 통해 정밀하게 라우팅됩니다. 이 방화벽은 TLS SNI(Server Name Indication) 헤더를 정밀하게 검사하여 대상 도메인을 식별하고 미리 정의된 필터링 규칙을 적용하는 중앙 검사 지점 역할을 합니다. 또한 이 통합을 통해 Amazon CloudWatch 지표를 통해 Network Firewall 작업을 모니터링하여 트래픽 패턴 및 차단 시도에 대한 유용한 통찰력을 얻을 수 있습니다.

솔루션 구성 요소:

구성 요소	기능	보안 이점
프라이빗 서브넷	AgentCore Browser 인스턴스 호스팅, 직접적인 퍼블릭 IP 주소 없음.	에이전트를 공용 인터넷으로부터 격리하여 노출을 줄임.
퍼블릭 서브넷	아웃바운드 연결을 위한 NAT Gateway 포함.	에이전트 인스턴스를 직접 노출하지 않고 아웃바운드 액세스를 가능하게 함.
방화벽 서브넷	Network Firewall 엔드포인트 전용 서브넷.	트래픽 검사를 중앙 집중화하고 보안 정책을 적용.
AWS Network Firewall	TLS SNI 헤더 검사, 필터링 규칙 적용, 트래픽 로깅.	도메인 기반 이그레스 제어, 봇넷/악성코드 방지, 감사 추적.
경로 테이블	방화벽을 통한 트래픽 흐름 지시.	모든 아웃바운드 및 반환 트래픽이 방화벽을 통과하도록 보장.

트래픽 흐름 설명:

Amazon Bedrock AgentCore에서 실행되는 AI 에이전트가 AgentCore Browser 도구를 호출합니다.
AgentCore Browser는 자체 프라이빗 서브넷에서 HTTPS 요청을 시작합니다.
프라이빗 서브넷의 경로 테이블은 이 트래픽을 퍼블릭 서브넷의 NAT Gateway로 보냅니다.
NAT Gateway는 프라이빗 IP를 변환하고 요청을 Network Firewall 엔드포인트로 전달합니다.
AWS Network Firewall은 트래픽을 가로채고 TLS SNI 헤더를 검사하여 의도된 대상 도메인을 확인합니다.
도메인이 방화벽에 구성된 '허용 목록' 규칙과 일치하면 트래픽은 인터넷 게이트웨이로 전달됩니다.
인터넷 게이트웨이는 승인된 트래픽을 외부 웹 대상으로 라우팅합니다.
반환 트래픽은 방화벽을 통해 대칭 경로로 돌아오며, 지속적인 검사 및 보안 정책 준수를 보장합니다.

SNI 기반 필터링이 TLS 계층에서 에이전트가 어떤 도메인에 연결하는지 제어하는 데 강력하지만, 이는 광범위한 심층 방어(defense-in-depth) 전략의 일부라는 점을 유의하는 것이 중요합니다. 포괄적인 DNS 수준 필터링 및 DNS 터널링 또는 유출 방지를 위해 이 아키텍처는 Amazon Route 53 Resolver DNS Firewall로 보완될 수 있습니다.

AI 에이전트를 위한 안전한 도메인 필터링 구현

AI 에이전트를 위한 이 강력한 보안 태세를 설정하는 데는 AWS의 포괄적인 인프라 서비스를 활용하는 몇 가지 주요 단계가 포함됩니다.

구현 전제 조건:

시작하기 전에 다음을 확인하세요.

VPC 리소스, Network Firewall 및 IAM 역할을 생성할 수 있는 권한이 있는 활성 AWS 계정.
적절한 자격 증명으로 구성된 AWS 명령줄 인터페이스(AWS CLI) 버전 2.x.
AWS 계정 내 Amazon Bedrock AgentCore 액세스 권한.
Amazon VPC 네트워킹 개념에 대한 기본적인 이해.

단계 1: CloudFormation을 통한 리소스 배포

AWS는 필요한 VPC 및 Network Firewall 구성 요소를 간소화된 방식으로 배포할 수 있는 편리한 CloudFormation 템플릿을 제공합니다. 이 템플릿은 프라이빗 및 퍼블릭 서브넷, NAT Gateway, 방화벽 서브넷, 그리고 핵심 라우팅 인프라를 설정합니다. 이를 활용하여 안전한 에이전트 운영에 필요한 기본 네트워크 환경을 신속하게 구축할 수 있습니다.

단계 2: IAM 실행 역할 검토

AgentCore Browser가 올바르고 안전하게 작동하려면 특정 신뢰 정책이 있는 IAM 역할이 필요합니다. 이 정책은 bedrock-agentcore.amazonaws.com 서비스가 역할을 수임하도록 허용하여, 에이전트가 과도한 권한 없이 필요한 권한을 갖도록 보장합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

단계 3: AWS Network Firewall 허용 목록 구성

도메인 제어 전략의 핵심은 AWS Network Firewall 내에서 상태 저장 규칙 그룹을 구성하는 것입니다. 이 규칙 그룹은 AI 에이전트가 액세스하도록 허용된 특정 도메인인 허용 목록을 정의합니다. 하위 도메인을 일치시키고 포괄적인 범위를 보장하기 위해 도메인 항목에 선행 점(.)을 포함하는 것이 필수적입니다.

예를 들어, Wikipedia와 Stack Overflow에 대한 액세스를 허용하려면 규칙 구성은 다음과 같습니다.

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

이 구성은 하위 도메인을 포함하여 명시적으로 허용된 도메인으로 향하는 트래픽만 방화벽을 통과하도록 보장합니다. 다른 모든 트래픽은 기본 거부 정책에 의해 암시적으로 거부될 수 있습니다.

SNI를 넘어서: 심층 방어 접근 방식

SNI 기반 필터링이 강력하지만, AI 에이전트를 위한 진정한 제로 트러스트 아키텍처는 여러 계층의 보안을 필요로 합니다. 앞서 언급했듯이, AWS Network Firewall과 Amazon Route 53 Resolver DNS Firewall을 함께 사용하면 또 다른 중요한 제어 지점이 추가됩니다. 이는 에이전트가 DNS를 통해 차단된 도메인을 확인하지 못하게 하여, 도메인 확인이 제어되지 않는 경우 에이전트가 IP 주소로 직접 연결을 시도할 수 있는 잠재적인 우회 경로를 효과적으로 차단합니다.

더 나아가, HTTP/S 트래픽 검사를 위한 AWS Web Application Firewall(WAF)과 같은 다른 보안 서비스(트래픽이 결국 다른 계층에서 검사를 위해 암호 해독되는 경우) 및 에이전트 호출을 위한 신원 기반 액세스 제어를 통합하면 보안 태세가 더욱 강화됩니다. 이러한 다계층 접근 방식은 기밀 AI 팩토리를 위한 제로 트러스트 아키텍처 구축에 대한 모범 사례와 일치합니다.

결론: 안전한 AI 에이전트 배포 지원

AI 에이전트가 액세스할 수 있는 도메인을 제어하는 능력은 단순히 기능이 아니라, 엔터프라이즈 AI 채택을 위한 기본적인 보안 요구 사항입니다. AWS Network Firewall을 Amazon Bedrock AgentCore와 함께 구현함으로써, 조직은 에이전트 이그레스 트래픽에 대한 세분화된 제어를 얻고, 데이터 유출 및 프롬프트 주입과 같은 중대한 보안 위험을 완화하며, 엄격한 규정 준수 의무를 충족합니다.

AI 에이전트가 더욱 정교해지고 핵심 비즈니스 프로세스에 통합됨에 따라, 강력한 보안 프레임워크는 필수 불가결해집니다. 이 솔루션은 기업이 통제력, 가시성, 그리고 손상되지 않은 보안 태세를 유지하면서 AI 에이전트의 힘을 활용할 수 있는 명확한 경로를 제공합니다. 이러한 아키텍처 패턴을 수용하는 것은 에이전트형 AI 운영화 파트 1: 이해관계자 가이드의 핵심이며, 안전하고 혁신적인 미래를 육성하는 데 중요합니다.