Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Kawalan Domain Ejen AI: Mengamankan Akses Web dengan AWS Network Firewall

Melindungi Ejen AI: Mengapa Kawalan Domain Sangat Penting

Kemunculan ejen AI yang mampu melayari web telah membawa kepada era baharu kemungkinan, daripada mengautomasikan penyelidikan kepada pengumpulan data masa nyata. Alat yang hebat ini berjanji untuk mengubah operasi perusahaan, tetapi keupayaan mereka untuk mengakses internet terbuka juga memperkenalkan cabaran keselamatan dan pematuhan yang ketara. Akses internet tanpa had untuk ejen AI adalah seperti memberikan pekerja kad kredit syarikat tanpa had perbelanjaan – potensi penyalahgunaan, pendedahan data secara tidak sengaja, atau eksploitasi berniat jahat adalah sangat besar. Persoalan pasti timbul: Bagaimana jika ejen mengakses laman web yang tidak dibenarkan? Bolehkah data sensitif diekstrak ke domain luaran?

Code Velocity berada di barisan hadapan dalam meneroka isu-isu kritikal ini, dan hari ini kami menyelami penyelesaian yang teguh yang ditawarkan oleh AWS untuk menangani kebimbangan ini secara langsung. Dengan memanfaatkan Amazon Bedrock AgentCore bersama AWS Network Firewall, organisasi boleh melaksanakan penapisan berasaskan domain yang ketat, memastikan ejen AI berinteraksi hanya dengan sumber web yang diluluskan. Pendekatan ini bukan sekadar amalan terbaik; ia adalah keperluan asas untuk menggunakan ejen AI secara bertanggungjawab dalam mana-mana tetapan perusahaan.

Menangani Keperluan Keselamatan Perusahaan dengan Kawalan Egress Ejen AI

Bagi organisasi, terutamanya yang berada dalam industri terkawal, penggunaan ejen AI datang dengan set tuntutan keselamatan yang ketat. Pengasingan rangkaian dan kawalan keluar (egress) secara konsisten diserlahkan semasa semakan keselamatan, memerlukan penjelasan terperinci tentang cara trafik ejen diurus dan diaudit. Keperluan untuk jaminan bahawa titik akhir runtime ejen kekal peribadi dan kawalan keselamatan yang teguh seperti firewall aplikasi web berada di tempatnya adalah tidak boleh dirunding.

Keperluan Perusahaan Utama yang Ditangani:

Industri Terkawal: Pelanggan dalam kewangan, penjagaan kesihatan, dan kerajaan menuntut bukti bahawa operasi ejen AI mematuhi peraturan tadbir urus data dan privasi yang ketat. Akses domain yang tidak dibenarkan boleh menyebabkan pelanggaran pematuhan yang serius.
Penyedia SaaS Berbilang Penyewa: Untuk syarikat SaaS yang membina keupayaan ejen AI, dasar rangkaian mengikut pelanggan adalah penting. Pelanggan A mungkin memerlukan akses kepada domain tertentu yang Pelanggan B secara eksplisit menyekatnya. Ini memerlukan kawalan terperinci, termasuk penyekatan khusus pelaksanaan, sekatan serantau, dan peraturan berasaskan kategori (cth., melumpuhkan laman perjudian atau media sosial).
Mitigasi Kerentanan Keselamatan: Kebimbangan yang semakin meningkat adalah kerentanan ejen AI terhadap serangan suntikan gesaan. Gesaan berniat jahat boleh memperdaya ejen untuk menavigasi ke tapak yang tidak diingini atau berbahaya. Senarai putih URL tersuai mengurangkan permukaan serangan ini secara drastik, memastikan ejen kekal dalam sempadan yang diluluskan, tanpa mengira arahan yang dimanipulasi. Ini secara langsung berkaitan dengan perbincangan yang lebih luas mengenai merancang-ejen-untuk-menentang-suntikan-gesaan.
Keperluan Audit Pematuhan: Pasukan keselamatan memerlukan keterlihatan dan jejak audit untuk semua interaksi rangkaian ejen. Penapisan keluar berasaskan domain menyediakan pengelogan yang komprehensif dan keterlihatan kawalan akses, yang penting untuk pemantauan keselamatan dan proses audit.

Penerokaan Mendalam Senibina: Mengamankan AgentCore dengan AWS Network Firewall

Penyelesaian ini melibatkan penggunaan AgentCore Browser dalam subnet persendirian, diasingkan daripada akses internet langsung. Semua trafik keluar dari ejen AI kemudiannya dihalakan dengan teliti melalui AWS Network Firewall. Firewall ini bertindak sebagai titik pemeriksaan pusat, meneliti pengepala TLS Server Name Indication (SNI) untuk mengenal pasti domain destinasi dan menguatkuasakan peraturan penapisan yang telah ditetapkan. Integrasi ini juga membolehkan pemantauan tindakan Network Firewall melalui metrik Amazon CloudWatch, menyediakan pandangan yang berharga tentang corak trafik dan percubaan yang disekat.

Komponen Penyelesaian:

Komponen	Fungsi	Faedah Keselamatan
Subnet Persendirian	Mengehoskan instans AgentCore Browser, tiada alamat IP awam langsung.	Mengasingkan ejen daripada internet awam, mengurangkan pendedahan.
Subnet Awam	Mengandungi NAT Gateway untuk ketersambungan keluar.	Membolehkan akses keluar tanpa mendedahkan instans ejen secara langsung.
Subnet Firewall	Subnet khusus untuk titik akhir Network Firewall.	Memusatkan pemeriksaan trafik, menguatkuasakan dasar keselamatan.
AWS Network Firewall	Memeriksa pengepala TLS SNI, mengaplikasikan peraturan penapisan, mencatat trafik.	Kawalan keluar berasaskan domain, perlindungan botnet/malware, jejak audit.
Jadual Laluan	Mengarahkan aliran trafik melalui firewall.	Memastikan semua trafik keluar dan kembali melalui firewall.

Aliran Trafik Dijelaskan:

Ejen AI yang berjalan dalam Amazon Bedrock AgentCore memanggil alat AgentCore Browser.
AgentCore Browser memulakan permintaan HTTPS dari subnet persendiriannya.
Jadual laluan subnet persendirian mengarahkan trafik ini ke NAT Gateway dalam subnet awam.
NAT Gateway menterjemahkan IP persendirian dan memajukan permintaan ke titik akhir Network Firewall.
AWS Network Firewall memintas trafik dan memeriksa pengepala TLS SNI untuk menentukan domain destinasi yang dimaksudkan.
Jika domain sepadan dengan peraturan 'senarai putih' yang dikonfigurasi dalam firewall, trafik dimajukan ke Internet Gateway.
Internet Gateway kemudiannya menghalakan trafik yang diluluskan ke destinasi web luaran.
Trafik kembali mengikut laluan simetri kembali melalui firewall, memastikan pemeriksaan berterusan dan penguatkuasaan dasar.

Adalah penting untuk diperhatikan bahawa walaupun penapisan berasaskan SNI adalah berkuasa untuk mengawal domain mana ejen menyambung pada lapisan TLS, ia adalah sebahagian daripada strategi pertahanan berlapis yang lebih luas. Untuk penapisan peringkat DNS yang komprehensif dan perlindungan terhadap terowongan DNS atau pengekstrakan, senibina ini boleh dilengkapi dengan Amazon Route 53 Resolver DNS Firewall.

Melaksanakan Penapisan Domain Selamat untuk Ejen AI Anda

Menyediakan postur keselamatan yang teguh ini untuk ejen AI anda melibatkan beberapa langkah utama, memanfaatkan perkhidmatan infrastruktur komprehensif AWS.

Prasyarat untuk Pelaksanaan:

Sebelum memulakan, pastikan anda mempunyai:

Akaun AWS aktif dengan kebenaran untuk mencipta sumber VPC, Network Firewall, dan peranan IAM.
Antara Muka Baris Perintah AWS (AWS CLI) versi 2.x dikonfigurasi dengan kelayakan yang sesuai.
Akses ke Amazon Bedrock AgentCore dalam akaun AWS anda.
Pemahaman asas tentang konsep rangkaian Amazon VPC.

Langkah 1: Menggunakan Sumber melalui CloudFormation

AWS menyediakan templat CloudFormation yang mudah untuk menyelaraskan penggunaan komponen VPC dan Network Firewall yang diperlukan. Templat ini menyediakan subnet persendirian dan awam, NAT Gateway, subnet firewall, dan infrastruktur penghalaan teras. Dengan menggunakan ini, anda boleh dengan cepat mewujudkan persekitaran rangkaian asas yang diperlukan untuk operasi ejen yang selamat.

Langkah 2: Menyemak Peranan Pelaksanaan IAM

Untuk AgentCore Browser berfungsi dengan betul dan selamat, ia memerlukan peranan IAM dengan dasar kepercayaan tertentu. Dasar ini membenarkan perkhidmatan bedrock-agentcore.amazonaws.com untuk mengambil peranan, memastikan ejen mempunyai kebenaran yang diperlukan tanpa memberikan keistimewaan yang berlebihan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Langkah 3: Mengkonfigurasi Senarai Putih AWS Network Firewall

Teras strategi kawalan domain anda terletak pada konfigurasi kumpulan peraturan stateful dalam AWS Network Firewall. Kumpulan peraturan ini mentakrifkan senarai putih anda – domain khusus yang ejen AI anda dibenarkan untuk mengakses. Adalah penting untuk memasukkan titik utama (.) dalam entri domain anda untuk memadankan subdomain, memastikan liputan yang komprehensif.

Contohnya, untuk membenarkan akses ke Wikipedia dan Stack Overflow, konfigurasi peraturan anda akan kelihatan seperti ini:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Konfigurasi ini memastikan bahawa hanya trafik yang ditujukan untuk domain yang dibenarkan secara eksplisit ini, termasuk subdomainnya, dibenarkan melalui firewall. Semua trafik lain boleh dinafikan secara implisit oleh dasar penolakan-lalai.

Melangkaui SNI: Pendekatan Pertahanan Berlapis

Walaupun penapisan berasaskan SNI adalah berkuasa, senibina tanpa kepercayaan (zero-trust) yang sebenar untuk ejen AI memerlukan beberapa lapisan keselamatan. Seperti yang dinyatakan, menggandingkan AWS Network Firewall dengan Amazon Route 53 Resolver DNS Firewall menambah satu lagi titik kawalan kritikal. Ini menghalang ejen daripada menyelesaikan domain yang disekat melalui DNS, dengan berkesan menutup vektor pintasan yang berpotensi di mana ejen mungkin cuba menyambung terus ke alamat IP jika resolusi domain tidak juga dikawal.

Tambahan pula, mengintegrasikan perkhidmatan keselamatan lain, seperti AWS Web Application Firewall (WAF) untuk pemeriksaan trafik HTTP/S (jika trafik akhirnya tidak disulitkan untuk pemeriksaan pada lapisan lain) dan kawalan akses berasaskan identiti untuk pemanggilan ejen, mengukuhkan postur keselamatan anda. Pendekatan berlapis ini sejajar dengan amalan terbaik untuk membina-senibina-tanpa-kepercayaan-untuk-kilang-ai-sulit.

Kesimpulan: Memperkasa Penempatan Ejen AI yang Selamat

Keupayaan untuk mengawal domain mana yang boleh diakses oleh ejen AI anda bukan sekadar ciri; ia adalah keperluan keselamatan asas untuk penggunaan AI perusahaan. Dengan melaksanakan AWS Network Firewall dengan Amazon Bedrock AgentCore, organisasi memperoleh kawalan terperinci ke atas trafik keluar ejen, mengurangkan risiko keselamatan yang ketara seperti pengekstrakan data dan suntikan gesaan, serta memenuhi obligasi pematuhan yang ketat.

Apabila ejen AI menjadi lebih canggih dan disepadukan ke dalam proses perniagaan kritikal, rangka kerja keselamatan yang teguh menjadi sangat diperlukan. Penyelesaian ini menyediakan laluan yang jelas untuk perniagaan memanfaatkan kuasa ejen AI sambil mengekalkan kawalan, keterlihatan, dan postur keselamatan yang tidak terjejas. Mengaplikasikan corak senibina sedemikian adalah kunci kepada mengoperasikan-ai-ejen-bahagian-1-panduan-pihak-berkepentingan dan memupuk masa depan yang selamat dan inovatif.