3 žingsnis: AWS Network Firewall leidžiamojo sąrašo konfigūravimas
Jūsų domenų kontrolės strategijos esmė yra būseną palaikančios taisyklių grupės konfigūravimas AWS Network Firewall. Ši taisyklių grupė apibrėžia jūsų leidžiamąjį sąrašą – konkrečius domenus, prie kurių jūsų AI agentams leidžiama prisijungti. Svarbu įtraukti tašką priekyje (.) jūsų domenų įrašus, kad atitiktų subdomenus, užtikrinant visapusišką aprėptį.
Pavyzdžiui, norėdami leisti prieigą prie Vikipedijos ir Stack Overflow, jūsų taisyklių konfigūracija atrodytų maždaug taip:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
Ši konfigūracija užtikrina, kad tik srautas, skirtas šiems aiškiai leidžiamiems domenams, įskaitant jų subdomenus, būtų leidžiamas per užkardą. Visas kitas srautas gali būti netiesiogiai atmestas pagal numatytąją atmetimo politiką.
Už SNI ribų: gynybinės gilumos metodas
Nors SNI pagrindu veikiantis filtravimas yra galingas, tikra nulinės pasitikėjimo architektūra AI agentams reikalauja kelių saugumo sluoksnių. Kaip minėta, AWS Network Firewall sujungimas su Amazon Route 53 Resolver DNS Firewall prideda dar vieną kritinį kontrolės tašką. Tai neleidžia agentams išspręsti blokuotų domenų per DNS, veiksmingai uždarant galimą apėjimo kelią, kai agentas gali bandyti prisijungti tiesiogiai prie IP adreso, jei domeno rezoliucija taip pat nėra kontroliuojama.
Be to, kitų saugumo paslaugų, tokių kaip AWS Web Application Firewall (WAF), skirto HTTP/S srauto tikrinimui (jei srautas galiausiai yra nešifruotas, kad būtų galima tikrinti kitame sluoksnyje) ir tapatybės pagrindu veikiančios prieigos kontrolės agento iškvietimui, integravimas sustiprina jūsų saugumo poziciją. Šis daugiasluoksnis metodas atitinka geriausią praktiką, skirtą nulinės pasitikėjimo architektūros kūrimui konfidencialioms AI gamykloms.
Išvada: saugaus AI agentų diegimo galimybių suteikimas
Galimybė kontroliuoti, prie kokių domenų gali prisijungti jūsų AI agentai, yra ne tik funkcija; tai yra pagrindinis saugumo reikalavimas įmonės AI diegimui. Įdiegus AWS Network Firewall su Amazon Bedrock AgentCore, organizacijos įgyja smulkiagrūdę kontrolę agentų išorinio srauto atžvilgiu, sumažina dideles saugumo rizikas, tokias kaip duomenų nutekėjimas ir nurodymų injekcija, ir atitinka griežtus atitikties įsipareigojimus.
Kadangi AI agentai tampa vis sudėtingesni ir integruojami į kritinius verslo procesus, tvirtas saugumo pagrindas tampa būtinas. Šis sprendimas suteikia aiškų kelią įmonėms panaudoti AI agentų galią, išlaikant kontrolę, matomumą ir nekompromituotą saugumo poziciją. Tokių architektūrinių modelių pritaikymas yra raktas į operatyvinės agentinės AI dalies 1: suinteresuotųjų šalių vadovą ir saugios, inovatyvios ateities puoselėjimą.
Originalus šaltinis
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/Dažniausiai užduodami klausimai
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
Būkite informuoti
Gaukite naujausias AI naujienas el. paštu.