Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AI Agent Domeinbeheer: Webtoegang beveiligen met AWS Network Firewall

AI-agenten beveiligen: Waarom domeinbeheer van cruciaal belang is

De komst van AI-agenten die in staat zijn om op het web te browsen, heeft een nieuw tijdperk van mogelijkheden ingeluid, van het automatiseren van onderzoek tot het verzamelen van realtime gegevens. Deze krachtige tools beloven bedrijfsvoering te transformeren, maar hun vermogen om toegang te krijgen tot het open internet introduceert ook aanzienlijke beveiligings- en compliance-uitdagingen. Onbeperkte internettoegang voor een AI-agent is vergelijkbaar met het geven van een creditcard van het bedrijf aan een werknemer zonder bestedingslimieten – het potentieel voor misbruik, accidentele gegevensblootstelling of kwaadaardige uitbuiting is immens. Vragen rijzen onvermijdelijk: Wat als de agent ongeautoriseerde websites bezoekt? Zouden gevoelige gegevens kunnen worden geëxfiltreerd naar externe domeinen?

Code Velocity loopt voorop bij het onderzoeken van deze kritieke vraagstukken, en vandaag duiken we in een robuuste oplossing die AWS biedt om deze zorgen direct aan te pakken. Door Amazon Bedrock AgentCore te gebruiken naast AWS Network Firewall, kunnen organisaties strikte domeingebaseerde filtering implementeren, zodat AI-agenten alleen communiceren met goedgekeurde webbronnen. Deze aanpak is niet slechts een best practice; het is een fundamentele vereiste voor het verantwoord implementeren van AI-agenten in elke bedrijfsomgeving.

Bedrijfsbeveiligingsvereisten aanpakken met AI-agent Egress Control

Voor organisaties, met name die in gereguleerde sectoren, gaat de implementatie van AI-agenten gepaard met een strenge reeks beveiligingseisen. Netwerkisolatie en egress-controle worden consequent benadrukt tijdens beveiligingsaudits, waarbij gedetailleerde uitleg nodig is over hoe agentverkeer wordt beheerd en gecontroleerd. De behoefte aan zekerheid dat runtime-eindpunten van agenten privé blijven en dat robuuste beveiligingscontroles zoals webapplicatiefirewalls aanwezig zijn, is niet onderhandelbaar.

Belangrijkste bedrijfsvereisten die worden aangepakt:

Gereguleerde sectoren: Klanten in de financiële sector, gezondheidszorg en overheid eisen bewijs dat de AI-agentbewerkingen voldoen aan strenge gegevensgovernance- en privacyregelgeving. Ongeautoriseerde toegang tot domeinen kan leiden tot ernstige compliance-schendingen.
Multi-tenant SaaS-providers: Voor SaaS-bedrijven die AI-agentmogelijkheden ontwikkelen, zijn netwerkpolicies per klant essentieel. Klant A heeft mogelijk toegang nodig tot specifieke domeinen die Klant B expliciet blokkeert. Dit vereist gedetailleerde controle, inclusief uitvoering-specifieke blokkering, regionale beperkingen en categoriegebaseerde regels (bijv. het uitschakelen van gok- of sociale mediasites).
Beveiligingskwetsbaarheid beperken: Een groeiende zorg is de gevoeligheid van AI-agenten voor prompt-injectieaanvallen. Kwaadaardige prompts kunnen agenten misleiden om naar onbedoelde of schadelijke sites te navigeren. Aangepaste URL-allowlists verminderen dit aanvalsoppervlak drastisch, waardoor agenten binnen goedgekeurde grenzen blijven, ongeacht gemanipuleerde instructies. Dit hangt direct samen met de bredere discussie over agenten-ontwerpen-om-prompt-injectie-tegen-te-gaan.
Compliance-auditvereisten: Beveiligingsteams hebben inzicht en audittrajecten nodig voor alle netwerkinteracties van agenten. Domeingebaseerde egress-filtering biedt uitgebreide logging en inzicht in toegangscontrole, cruciaal voor beveiligingsmonitoring en auditprocessen.

Architectuur Diepgaand: AgentCore beveiligen met AWS Network Firewall

De oplossing omvat het implementeren van AgentCore Browser binnen een privé-subnet, geïsoleerd van directe internettoegang. Al het uitgaande verkeer van de AI-agent wordt vervolgens nauwgezet gerouteerd via een AWS Network Firewall. Deze firewall fungeert als het centrale inspectiepunt, waarbij TLS Server Name Indication (SNI) headers worden onderzocht om het doeldomein te identificeren en vooraf gedefinieerde filterregels af te dwingen. De integratie maakt ook monitoring van Network Firewall-acties mogelijk via Amazon CloudWatch-metrics, wat waardevolle inzichten biedt in verkeerspatronen en geblokkeerde pogingen.

Oplossingscomponenten:

Component	Functie	Beveiligingsvoordeel
Privé-subnet	Host AgentCore Browser-instanties, geen directe publieke IP-adressen.	Isoleert agenten van het openbare internet, vermindert blootstelling.
Publiek subnet	Bevat NAT Gateway voor uitgaande connectiviteit.	Maakt uitgaande toegang mogelijk zonder agentinstanties direct bloot te stellen.
Firewall-subnet	Speciaal subnet voor het Network Firewall-eindpunt.	Centraliseert verkeersinspectie, dwingt beveiligingspolicies af.
AWS Network Firewall	Inspecteert TLS SNI-headers, past filterregels toe, logt verkeer.	Domeingebaseerde egress-controle, botnet-/malwarebescherming, audittrajecten.
Routetabellen	Stuurt verkeersstroom door de firewall.	Zorgt ervoor dat al het uitgaande en retourverkeer de firewall passeert.

De verkeersstroom uitgelegd:

Een AI-agent die draait in Amazon Bedrock AgentCore roept de AgentCore Browser-tool aan.
De AgentCore Browser initieert een HTTPS-verzoek vanuit zijn privé-subnet.
De routetabel van het privé-subnet stuurt dit verkeer naar een NAT Gateway in het publieke subnet.
De NAT Gateway vertaalt het privé-IP en stuurt het verzoek door naar het Network Firewall-eindpunt.
AWS Network Firewall onderschept het verkeer en inspecteert de TLS SNI header om het beoogde doeldomein te bepalen.
Als het domein overeenkomt met een 'allowlist'-regel die in de firewall is geconfigureerd, wordt het verkeer doorgestuurd naar de Internet Gateway.
De Internet Gateway routeert vervolgens het goedgekeurde verkeer naar de externe webbestemming.
Retourverkeer volgt het symmetrische pad terug door de firewall, wat zorgt voor continue inspectie en beleidsafhandeling.

Het is cruciaal om op te merken dat hoewel SNI-gebaseerde filtering krachtig is voor het controleren welke domeinen agenten verbinding maken op de TLS-laag, het deel uitmaakt van een bredere verdediging-in-diepte-strategie. Voor uitgebreide filtering op DNS-niveau en bescherming tegen DNS-tunneling of exfiltratie, kan deze architectuur worden aangevuld met Amazon Route 53 Resolver DNS Firewall.

Veilige domeinfiltering implementeren voor uw AI-agenten

Het opzetten van deze robuuste beveiligingshouding voor uw AI-agenten omvat een paar belangrijke stappen, waarbij gebruik wordt gemaakt van de uitgebreide infrastructuurdiensten van AWS.

Vereisten voor implementatie:

Voordat u begint, zorg ervoor dat u beschikt over:

Een actief AWS-account met machtigingen om VPC-resources, Network Firewall en IAM-rollen te maken.
AWS Command Line Interface (AWS CLI) versie 2.x geconfigureerd met de juiste referenties.
Toegang tot Amazon Bedrock AgentCore binnen uw AWS-account.
Een fundamenteel begrip van Amazon VPC-netwerkconcepten.

Stap 1: Resources implementeren via CloudFormation

AWS biedt een handige CloudFormation-template om de implementatie van de benodigde VPC- en Network Firewall-componenten te stroomlijnen. Deze template stelt de privé- en publieke subnets, NAT Gateway, firewall-subnet en de kernrouteringsinfrastructuur in. Door dit te gebruiken, kunt u snel de fundamentele netwerkomgeving opzetten die nodig is voor veilige agentbewerkingen.

Stap 2: Het IAM-uitvoeringsrol beoordelen

Om AgentCore Browser correct en veilig te laten functioneren, is een IAM-rol met een specifiek trust-beleid vereist. Dit beleid staat de service bedrock-agentcore.amazonaws.com toe om de rol aan te nemen, wat ervoor zorgt dat de agent de benodigde machtigingen heeft zonder deze te veel te bevoorrechten.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Stap 3: De AWS Network Firewall Allowlist configureren

De kern van uw domeincontrolestrategie ligt in het configureren van een stateful regelgroep binnen AWS Network Firewall. Deze regelgroep definieert uw allowlist – de specifieke domeinen waartoe uw AI-agenten toegang hebben. Het is essentieel om een punt (.) aan het begin van uw domeinvermeldingen op te nemen om subdomeinen te matchen, wat zorgt voor uitgebreide dekking.

Om bijvoorbeeld toegang tot Wikipedia en Stack Overflow toe te staan, zou uw regelconfiguratie er ongeveer zo uitzien:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Deze configuratie zorgt ervoor dat alleen verkeer bestemd voor deze expliciet toegestane domeinen, inclusief hun subdomeinen, door de firewall wordt toegestaan. Alle overige verkeer kan impliciet worden geweigerd door een default-deny beleid.

Voorbij SNI: Een diepgaande verdedigingsaanpak

Hoewel SNI-gebaseerde filtering krachtig is, vereist een echte zero-trust architectuur voor AI-agenten meerdere beveiligingslagen. Zoals vermeld, voegt het combineren van AWS Network Firewall met Amazon Route 53 Resolver DNS Firewall nog een kritiek controlepunt toe. Dit voorkomt dat agenten geblokkeerde domeinen via DNS oplossen, waardoor een potentiële omzeilingsvector effectief wordt afgesloten waarbij een agent zou kunnen proberen rechtstreeks verbinding te maken met een IP-adres als de domeinresolutie niet ook wordt gecontroleerd.

Bovendien verstevigt de integratie van andere beveiligingsdiensten, zoals AWS Web Application Firewall (WAF) voor HTTP/S verkeersinspectie (als het verkeer uiteindelijk onversleuteld is voor inspectie op een andere laag) en identiteitsgebaseerde toegangscontroles voor agentaanroeping, uw beveiligingshouding. Deze meerlaagse aanpak komt overeen met best practices voor het-bouwen-van-een-zero-trust-architectuur-voor-vertrouwelijke-ai-fabrieken.

Conclusie: Veilige implementatie van AI-agenten mogelijk maken

De mogelijkheid om te controleren tot welke domeinen uw AI-agenten toegang hebben, is niet zomaar een functie; het is een fundamentele beveiligingsvereiste voor de adoptie van bedrijfs-AI. Door AWS Network Firewall te implementeren met Amazon Bedrock AgentCore, krijgen organisaties gedetailleerde controle over het uitgaande verkeer van agenten, worden aanzienlijke beveiligingsrisico's zoals gegevensexfiltratie en prompt-injectie beperkt, en wordt voldaan aan strenge complianceverplichtingen.

Naarmate AI-agenten geavanceerder worden en geïntegreerd raken in kritieke bedrijfsprocessen, wordt een robuust beveiligingsframework onmisbaar. Deze oplossing biedt een duidelijk pad voor bedrijven om de kracht van AI-agenten te benutten, terwijl controle, zichtbaarheid en een compromisloze beveiligingshouding worden gehandhaafd. Het omarmen van dergelijke architecturale patronen is essentieel voor het-operationaliseren-van-agentic-ai-deel-1-een-gids-voor-stakeholders en het bevorderen van een veilige, innovatieve toekomst.