Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Контрола на домени за АИ агенти: Обезбедување веб пристап со AWS Network Firewall

Заштита на АИ агенти: Зошто контролата на домени е најважна

Појавата на АИ агенти способни за пребарување на веб отвори нова ера на можности, од автоматизирање на истражување до собирање податоци во реално време. Овие моќни алатки ветуваат трансформација на корпоративните операции, но нивната способност да пристапат до отворениот интернет воведува и значителни безбедносни и усогласени предизвици. Неограничениот пристап до интернет за АИ агент е сличен на давање на вработен компаниска кредитна картичка без лимити на трошење – потенцијалот за злоупотреба, случајно изложување на податоци или злонамерна експлоатација е огромен. Неизбежно се поставуваат прашања: Што ако агентот пристапи до неовластени веб-страници? Дали чувствителни податоци би можеле да бидат извлечени на надворешни домени?

Code Velocity е на чело на истражувањето на овие критични прашања, а денес навлегуваме во робусно решение понудено од AWS за директно справување со овие проблеми. Со искористување на Amazon Bedrock AgentCore заедно со AWS Network Firewall, организациите можат да имплементираат строги филтрирања базирани на домени, осигурувајќи дека АИ агентите комуницираат само со одобрени веб ресурси. Овој пристап не е само најдобра практика; тоа е фундаментално барање за одговорно распоредување на АИ агенти во секое корпоративно опкружување.

Справување со корпоративните безбедносни барања со контрола на излезен сообраќај за АИ агенти

За организациите, особено оние во регулираните индустрии, распоредувањето на АИ агенти доаѓа со ригорозен сет на безбедносни барања. Мрежната изолација и контролата на излезен сообраќај постојано се нагласуваат за време на безбедносните прегледи, барајќи детални објаснувања за тоа како се управува и ревидира сообраќајот на агентите. Потребата за уверувања дека крајните точки на извршување на агентите остануваат приватни и дека се поставени робусни безбедносни контроли како веб-апликативни заштитни ѕидови е не-преговарачка.

Клучни корпоративни барања на кои се одговара:

Регулирани индустрии: Клиентите во финансиите, здравството и владата бараат доказ дека операциите на АИ агентите се усогласени со строгите регулативи за управување со податоци и приватност. Неовластен пристап до домени може да доведе до сериозни прекршувања на усогласеноста.
Даватели на SaaS со повеќе корисници: За SaaS компаниите кои градат АИ агентски способности, мрежните политики по клиент се од суштинско значење. Клиентот А може да бара пристап до специфични домени кои Клиентот Б експлицитно ги блокира. Ова бара грануларна контрола, вклучувајќи блокирање специфично за извршување, регионални ограничувања и правила базирани на категории (на пр., оневозможување на локации за коцкање или социјални медиуми).
Ублажување на безбедносни пропусти: Растечка грижа е подложноста на АИ агентите на напади со инјекција на барање. Злонамерни барања можат да ги измамат агентите да навигираат до ненамерни или штетни локации. Приспособените URL дозволени листи драстично ја намалуваат оваа површина за напад, осигурувајќи дека агентите остануваат во одобрени граници, без оглед на манипулираните инструкции. Ова директно се однесува на пошироката дискусија за дизајнирање на агенти за отпорност на инјекција на барање.
Барања за ревизија на усогласеност: Безбедносните тимови имаат потреба од видливост и записи за ревизија за сите мрежни интеракции на агентите. Филтрирањето на излезен сообраќај базирано на домени обезбедува сеопфатно логирање и видливост на контролата на пристап, што е клучно за безбедносно следење и процеси на ревизија.

Длабинска анализа на архитектурата: Обезбедување на AgentCore со AWS Network Firewall

Решението вклучува распоредување на AgentCore Browser во приватна подмрежа, изолирана од директен пристап до интернет. Целиот излезен сообраќај од АИ агентот потоа е прецизно насочен низ AWS Network Firewall. Овој заштитен ѕид делува како централна точка за инспекција, проверувајќи ги TLS Server Name Indication (SNI) заглавијата за да го идентификува дестинацискиот домен и да ги примени предефинираните правила за филтрирање. Интеграцијата исто така овозможува следење на дејствата на Network Firewall преку Amazon CloudWatch метрики, обезбедувајќи вредни увиди во шемите на сообраќајот и блокираните обиди.

Компоненти на решението:

Компонента	Функција	Безбедносна придобивка
Приватна подмрежа	Хостира инстанци на AgentCore Browser, без директни јавни IP адреси.	Ги изолира агентите од јавниот интернет, намалувајќи ја изложеноста.
Јавна подмрежа	Содржи NAT Gateway за излезна поврзаност.	Овозможува излезен пристап без директно изложување на инстанците на агентите.
Подмрежа за заштитен ѕид	Посветена подмрежа за крајната точка на Network Firewall.	Централизира инспекција на сообраќај, применува безбедносни политики.
AWS Network Firewall	Проверува TLS SNI заглавија, применува правила за филтрирање, евидентира сообраќај.	Контрола на излезен сообраќај базирана на домени, заштита од ботнети/злонамерен софтвер, записи за ревизија.
Табели за рутирање	Го насочува текот на сообраќајот низ заштитниот ѕид.	Осигурува дека целиот излезен и повратен сообраќај минува низ заштитниот ѕид.

Објаснет тек на сообраќајот:

АИ агент кој работи во Amazon Bedrock AgentCore ја повикува алатката AgentCore Browser.
AgentCore Browser иницира HTTPS барање од својата приватна подмрежа.
Табелата за рутирање на приватната подмрежа го насочува овој сообраќај кон NAT Gateway во јавната подмрежа.
NAT Gateway ја преведува приватната IP адреса и го препраќа барањето до крајната точка на Network Firewall.
AWS Network Firewall го пресретнува сообраќајот и го проверува TLS SNI заглавието за да го одреди наменетиот дестинациски домен.
Доколку доменот одговара на правилото од 'дозволената листа' конфигурирано во заштитниот ѕид, сообраќајот се препраќа до Internet Gateway.
Internet Gateway потоа го насочува одобрениот сообраќај до надворешната веб дестинација.
Повратниот сообраќај ја следи симетричната патека назад низ заштитниот ѕид, осигурувајќи постојана инспекција и примена на политиката.

Клучно е да се забележи дека, додека SNI-базираното филтрирање е моќно за контролирање на кои домени агентите се поврзуваат на TLS слојот, тоа е дел од поширока стратегија за длабинска одбрана. За сеопфатно филтрирање на DNS ниво и заштита од DNS тунелирање или екстракција, оваа архитектура може да се надополни со Amazon Route 53 Resolver DNS Firewall.

Имплементирање на безбедно филтрирање на домени за вашите АИ агенти

Поставувањето на оваа робусна безбедносна состојба за вашите АИ агенти вклучува неколку клучни чекори, искористувајќи ги сеопфатните инфраструктурни услуги на AWS.

Предуслови за имплементација:

Пред да започнете, осигурете се дека имате:

Активна AWS сметка со дозволи за креирање VPC ресурси, Network Firewall и IAM улоги.
AWS Command Line Interface (AWS CLI) верзија 2.x конфигурирана со соодветни акредитиви.
Пристап до Amazon Bedrock AgentCore во вашата AWS сметка.
Основно разбирање на концептите за вмрежување на Amazon VPC.

Чекор 1: Разместување на ресурси преку CloudFormation

AWS обезбедува удобен CloudFormation шаблон за рационализирање на распоредувањето на потребните VPC и Network Firewall компоненти. Овој шаблон ги поставува приватните и јавните подмрежи, NAT Gateway, подмрежата на заштитниот ѕид и основната рутирачка инфраструктура. Со користење на ова, можете брзо да ја воспоставите основната мрежна околина потребна за безбедни операции на агентот.

Чекор 2: Преглед на извршната улога на IAM

За AgentCore Browser да функционира правилно и безбедно, потребна му е IAM улога со специфична политика на доверба. Оваа политика му дозволува на услугата bedrock-agentcore.amazonaws.com да ја преземе улогата, осигурувајќи дека агентот ги има потребните дозволи без прекумерно привилегирање.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Чекор 3: Конфигурирање на AWS Network Firewall дозволена листа

Јадрото на вашата стратегија за контрола на домени лежи во конфигурирање на група правила со состојба во рамките на AWS Network Firewall. Оваа група правила ја дефинира вашата дозволена листа – специфичните домени до кои вашите АИ агенти смеат да пристапат. Од суштинско значење е да вклучите водечка точка (.) во вашите доменски записи за да се совпаднат со поддомените, осигурувајќи сеопфатно покривање.

На пример, за да дозволите пристап до Wikipedia и Stack Overflow, вашата конфигурација на правила би изгледала вака:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Оваа конфигурација осигурува дека само сообраќајот наменет за овие експлицитно дозволени домени, вклучувајќи ги и нивните поддомени, е дозволен низ заштитниот ѕид. Целиот друг сообраќај може имплицитно да биде одбиен со политика на стандардно одбивање.

Надвор од SNI: Пристап на длабинска одбрана

Иако SNI-базираното филтрирање е моќно, вистинската архитектура на нулта доверба за АИ агенти бара повеќе слоеви на безбедност. Како што беше споменато, спарувањето на AWS Network Firewall со Amazon Route 53 Resolver DNS Firewall додава уште една критична контролна точка. Ова спречува агентите да ги разрешуваат блокираните домени преку DNS, ефективно затворајќи потенцијален вектор за заобиколување каде што агентот може да се обиде директно да се поврзе со IP адреса ако резолуцијата на доменот исто така не е контролирана.

Понатаму, интегрирањето на други безбедносни услуги, како што е AWS Web Application Firewall (WAF) за инспекција на HTTP/S сообраќај (ако сообраќајот евентуално не е шифриран за инспекција на друг слој) и контроли на пристап базирани на идентитет за повикување на агенти, ја зацврстува вашата безбедносна состојба. Овој повеќеслоен пристап е усогласен со најдобрите практики за изградба на архитектура на нулта доверба за доверливи АИ фабрики.

Заклучок: Зајакнување на безбедното распоредување на АИ агенти

Способноста да се контролира кои домени вашите АИ агенти можат да ги пристапат не е само карактеристика; тоа е фундаментално безбедносно барање за усвојување на корпоративна АИ. Со имплементирање на AWS Network Firewall со Amazon Bedrock AgentCore, организациите добиваат грануларна контрола над излезниот сообраќај на агентите, ги ублажуваат значителните безбедносни ризици како истекување на податоци и инјекција на барање, и ги исполнуваат строгите обврски за усогласеност.

Како што АИ агентите стануваат пософистицирани и интегрирани во критичните деловни процеси, робусната безбедносна рамка станува неопходна. Ова решение обезбедува јасен пат за бизнисите да ја искористат моќта на АИ агентите додека одржуваат контрола, видливост и непроменета безбедносна состојба. Прифаќањето на вакви архитектонски шеми е клучно за операционализација на агенциската АИ дел 1: водич за засегнати страни и поттикнување на безбедна, иновативна иднина.