Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AI aģenta domēna kontrole: tīmekļa piekļuves nodrošināšana ar AWS Network Firewall

AI aģentu aizsardzība: kāpēc domēna kontrole ir vissvarīgākā

AI aģentu parādīšanās, kas spēj pārlūkot tīmekli, ir ieviesusi jaunu iespēju ēru, sākot no pētījumu automatizācijas līdz datu vākšanai reāllaikā. Šie jaudīgie rīki sola pārveidot uzņēmumu darbību, taču to spēja piekļūt atvērtajam internetam rada arī būtiskus drošības un atbilstības izaicinājumus. Neierobežota interneta piekļuve AI aģentam ir līdzīga tam, ka darbiniekam tiek iedota uzņēmuma kredītkarte bez tēriņu ierobežojumiem – ļaunprātīgas izmantošanas, nejaušas datu atklāšanas vai ļaunprātīgas izmantošanas potenciāls ir milzīgs. Neizbēgami rodas jautājumi: Kas notiks, ja aģents piekļūst neatļautām vietnēm? Vai sensitīvus datus varētu eksfiltrēt uz ārējiem domēniem?

Code Velocity ir vadošais šo kritisko jautājumu izpētē, un šodien mēs iedziļināsimies robustā risinājumā, ko piedāvā AWS, lai tieši risinātu šīs problēmas. Izmantojot Amazon Bedrock AgentCore kopā ar AWS Network Firewall, organizācijas var ieviest stingru domēnu balstītu filtrēšanu, nodrošinot, ka AI aģenti mijiedarbojas tikai ar apstiprinātiem tīmekļa resursiem. Šī pieeja nav tikai laba prakse; tā ir fundamentāla prasība atbildīgai AI aģentu izvietošanai jebkurā uzņēmuma vidē.

Uzņēmuma drošības prasību risināšana ar AI aģentu izejošās plūsmas kontroli

Organizācijām, īpaši tām, kas darbojas regulētās nozarēs, AI aģentu izvietošana saistīta ar stingrām drošības prasībām. Tīkla izolācija un izejošās plūsmas kontrole tiek pastāvīgi izcelta drošības pārskatos, pieprasot detalizētus paskaidrojumus par to, kā tiek pārvaldīta un auditēta aģentu datplūsma. Nepieciešamība nodrošināt, ka aģentu izpildes galapunkti paliek privāti un ka ir ieviestas spēcīgas drošības kontroles, piemēram, tīmekļa lietojumprogrammu ugunsmūri, ir neapspriežama.

Galvenās uzņēmuma prasības, kas tiek risinātas:

Regulētās nozares: Klienti finansēs, veselības aprūpē un valsts pārvaldē pieprasa pierādījumus, ka AI aģentu darbības atbilst stingriem datu pārvaldības un privātuma noteikumiem. Neatļauta domēna piekļuve var izraisīt nopietnus atbilstības pārkāpumus.
Daudzkanālu SaaS nodrošinātāji: SaaS uzņēmumiem, kas veido AI aģentu iespējas, ir būtiskas katram klientam paredzētas tīkla politikas. Klients A var pieprasīt piekļuvi konkrētiem domēniem, ko Klients B skaidri bloķē. Tam nepieciešama detalizēta kontrole, tostarp izpildes specifiska bloķēšana, reģionālie ierobežojumi un kategoriju balstīti noteikumi (piemēram, azartspēļu vai sociālo mediju vietņu atspējošana).
Drošības ievainojamību mazināšana: Aizvien lielākas bažas rada AI aģentu uzņēmība pret uzvedņu injekcijas uzbrukumiem. Ļaunprātīgas uzvednes var likt aģentiem pārlūkot neparedzētas vai kaitīgas vietnes. Pielāgotie URL atļauto saraksti ievērojami samazina šo uzbrukuma virsmu, nodrošinot, ka aģenti paliek apstiprinātās robežās, neatkarīgi no manipulētiem norādījumiem. Tas tieši attiecas uz plašāku diskusiju par aģentu projektēšanu, lai pretotos uzvedņu injekcijai.
Atbilstības audita prasības: Drošības komandām ir nepieciešama pārredzamība un audita žurnāli visām aģentu tīkla mijiedarbībām. Domēnu balstīta izejošās plūsmas filtrēšana nodrošina visaptverošu žurnālu ierakstu un piekļuves kontroles pārredzamību, kas ir kritiski svarīgi drošības uzraudzībai un audita procesiem.

Arhitektūras padziļināta analīze: AgentCore nodrošināšana ar AWS Network Firewall

Risinājums ietver AgentCore Browser izvietošanu privātā apakštīklā, izolētā no tiešas piekļuves internetam. Visa izejošā datplūsma no AI aģenta tiek rūpīgi maršrutēta caur AWS Network Firewall. Šis ugunsmūris darbojas kā centrālais pārbaudes punkts, pārbaudot TLS Server Name Indication (SNI) galvenes, lai identificētu galamērķa domēnu un piemērotu iepriekš definētus filtrēšanas noteikumus. Integrācija arī ļauj uzraudzīt Network Firewall darbības, izmantojot Amazon CloudWatch rādītājus, nodrošinot vērtīgu ieskatu datplūsmas modeļos un bloķētajos mēģinājumos.

Risinājuma komponenti:

Komponents	Funkcija	Drošības ieguvums
Privātais apakštīkls	Uztur AgentCore Browser instances, bez tiešām publiskām IP adresēm.	Izolē aģentus no publiskā interneta, samazinot pakļautību.
Publiskais apakštīkls	Ietver NAT Gateway izejošajiem savienojumiem.	Nodrošina izejošo piekļuvi, tieši neatklājot aģenta instances.
Ugunsmūra apakštīkls	Īpašs apakštīkls Network Firewall galapunktam.	Centralizē datplūsmas pārbaudi, piemēro drošības politikas.
AWS Network Firewall	Pārbauda TLS SNI galvenes, piemēro filtrēšanas noteikumus, reģistrē datplūsmu.	Domēnu balstīta izejošās plūsmas kontrole, botnet/ļaundabīgas programmatūras aizsardzība, audita žurnāli.
Maršrutēšanas tabulas	Novirza datplūsmu caur ugunsmūri.	Nodrošina, ka visa izejošā un atgriezeniskā datplūsma iet caur ugunsmūri.

Datu plūsma paskaidrota:

AI aģents, kas darbojas Amazon Bedrock AgentCore, izsauc AgentCore Browser rīku.
AgentCore Browser iniciē HTTPS pieprasījumu no sava privātā apakštīkla.
Privātā apakštīkla maršrutēšanas tabula novirza šo datplūsmu uz NAT Gateway publiskā apakštīklā.
NAT Gateway tulko privāto IP adresi un pārsūta pieprasījumu uz Network Firewall galapunktu.
AWS Network Firewall pārtver datplūsmu un pārbauda TLS SNI galveni, lai noteiktu paredzēto galamērķa domēnu.
Ja domēns atbilst ugunsmūrī konfigurētam 'atļauto saraksta' noteikumam, datplūsma tiek pārsūtīta uz Internet Gateway.
Internet Gateway pēc tam maršrutē apstiprināto datplūsmu uz ārējo tīmekļa galamērķi.
Atgriezeniskā datplūsma seko simetriskajam ceļam atpakaļ caur ugunsmūri, nodrošinot nepārtrauktu pārbaudi un politikas izpildi.

Ir ļoti svarīgi atzīmēt, ka, lai gan uz SNI balstīta filtrēšana ir jaudīga, lai kontrolētu kuriem domēniem aģenti pieslēdzas TLS slānī, tā ir daļa no plašākas padziļinātas aizsardzības stratēģijas. Visaptverošai DNS līmeņa filtrēšanai un aizsardzībai pret DNS tuneļošanu vai eksfiltrāciju, šo arhitektūru var papildināt ar Amazon Route 53 Resolver DNS Firewall.

Drošas domēna filtrēšanas ieviešana jūsu AI aģentiem

Šīs robustās drošības nostājas iestatīšana jūsu AI aģentiem ietver dažus galvenos soļus, izmantojot AWS visaptverošos infrastruktūras pakalpojumus.

Ieviešanas priekšnosacījumi:

Pirms sākat, pārliecinieties, ka jums ir:

Aktīvs AWS konts ar atļaujām VPC resursu, Network Firewall un IAM lomu izveidei.
AWS Command Line Interface (AWS CLI) versija 2.x, konfigurēta ar atbilstošām akreditācijas datiem.
Piekļuve Amazon Bedrock AgentCore jūsu AWS kontā.
Pamata izpratne par Amazon VPC tīkla koncepcijām.

1. solis: Resursu izvietošana, izmantojot CloudFormation

AWS nodrošina ērtu CloudFormation veidni, lai racionalizētu nepieciešamo VPC un Network Firewall komponentu izvietošanu. Šī veidne iestata privātos un publiskos apakštīklus, NAT Gateway, ugunsmūra apakštīklu un pamata maršrutēšanas infrastruktūru. To izmantojot, jūs varat ātri izveidot pamata tīkla vidi, kas nepieciešama drošai aģentu darbībai.

2. solis: IAM izpildes lomas pārskatīšana

Lai AgentCore Browser darbotos pareizi un droši, tam ir nepieciešama IAM loma ar specifisku uzticības politiku. Šī politika atļauj bedrock-agentcore.amazonaws.com pakalpojumam uzņemties lomu, nodrošinot, ka aģentam ir nepieciešamās atļaujas, tās nepārspīlējot.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

3. solis: AWS Network Firewall atļauto saraksta konfigurēšana

Jūsu domēna kontroles stratēģijas pamatā ir stāvokļa noteikumu grupas konfigurēšana AWS Network Firewall. Šī noteikumu grupa definē jūsu atļauto sarakstu – konkrētos domēnus, kuriem jūsu AI aģentiem ir atļauts piekļūt. Ir būtiski iekļaut sākuma punktu (.) jūsu domēna ierakstos, lai saskaņotu apakšdomēnus, nodrošinot visaptverošu pārklājumu.

Piemēram, lai atļautu piekļuvi Wikipedia un Stack Overflow, jūsu noteikumu konfigurācija izskatītos apmēram šādi:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Šī konfigurācija nodrošina, ka tikai datplūsma, kas paredzēta šiem skaidri atļautajiem domēniem, ieskaitot to apakšdomēnus, ir atļauta caur ugunsmūri. Visa pārējā datplūsma var tikt netieši noraidīta ar noklusējuma noraidīšanas politiku.

Ārpus SNI: padziļināta aizsardzības pieeja

Lai gan uz SNI balstīta filtrēšana ir jaudīga, patiesai nulles uzticēšanās arhitektūrai AI aģentiem ir nepieciešami vairāki drošības slāņi. Kā minēts, AWS Network Firewall apvienošana ar Amazon Route 53 Resolver DNS Firewall pievieno vēl vienu kritisku kontroles punktu. Tas neļauj aģentiem atrisināt bloķētos domēnus, izmantojot DNS, efektīvi slēdzot potenciālu apietības vektoru, kur aģents varētu mēģināt tieši pieslēgties IP adresei, ja domēna atrisināšana netiek kontrolēta.

Turklāt citu drošības pakalpojumu, piemēram, AWS Web Application Firewall (WAF) HTTP/S datplūsmas pārbaudei (ja datplūsma galu galā tiek atšifrēta pārbaudei citā slānī) un uz identitāti balstītu piekļuves kontroli aģentu izsaukšanai, integrēšana nostiprina jūsu drošības stāvokli. Šī daudzslāņu pieeja atbilst labākajai praksei nulles uzticēšanās arhitektūras izveidei konfidenciālām AI rūpnīcām.

Secinājums: drošas AI aģentu izvietošanas veicināšana

Spēja kontrolēt, kuriem domēniem jūsu AI aģenti var piekļūt, nav tikai funkcija; tā ir pamata drošības prasība uzņēmuma AI ieviešanai. Ieviešot AWS Network Firewall ar Amazon Bedrock AgentCore, organizācijas iegūst detalizētu kontroli pār aģentu izejošo datplūsmu, mazina būtiskus drošības riskus, piemēram, datu eksfiltrāciju un uzvedņu injekciju, un atbilst stingrām atbilstības prasībām.

Tā kā AI aģenti kļūst sarežģītāki un integrētāki kritiskajos biznesa procesos, spēcīga drošības sistēma kļūst neaizstājama. Šis risinājums nodrošina skaidru ceļu uzņēmumiem, lai izmantotu AI aģentu jaudu, vienlaikus saglabājot kontroli, pārredzamību un nekompromitētu drošības stāvokli. Šādu arhitektūras modeļu pieņemšana ir atslēga aģentu AI operacionalizēšanai 1. daļa: ieinteresēto pušu ceļvedis un drošas, inovatīvas nākotnes veidošanai.