Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AI-agent domenekontroll: Sikre nettbasert tilgang med AWS Network Firewall

Beskyttelse av AI-agenter: Hvorfor domenekontroll er avgjørende

Fremveksten av AI-agenter som kan surfe på nettet har innledet en ny æra av muligheter, fra automatisering av forskning til sanntids datainnsamling. Disse kraftige verktøyene lover å transformere bedriftsoperasjoner, men deres evne til å få tilgang til det åpne internett introduserer også betydelige sikkerhets- og etterlevelsesutfordringer. Ubegrenset internettilgang for en AI-agent er som å gi en ansatt et firmakredittkort uten forbruksgrenser – potensialet for misbruk, utilsiktet dataeksponering eller ondsinnede utnyttelser er enormt. Spørsmål oppstår uunngåelig: Hva om agenten får tilgang til uautoriserte nettsteder? Kan sensitive data eksfiltreres til eksterne domener?

Code Velocity er i forkant med å utforske disse kritiske problemene, og i dag dykker vi ned i en robust løsning tilbudt av AWS for å takle disse bekymringene direkte. Ved å utnytte Amazon Bedrock AgentCore sammen med AWS Network Firewall, kan organisasjoner implementere streng domenebasert filtrering, og sikre at AI-agenter kun interagerer med godkjente webressurser. Denne tilnærmingen er ikke bare en beste praksis; det er et grunnleggende krav for ansvarlig distribusjon av AI-agenter i enhver bedriftskontekst.

Møter bedriftens sikkerhetskrav med utgående trafikkontroll for AI-agenter

For organisasjoner, spesielt de i regulerte bransjer, kommer distribusjonen av AI-agenter med et strengt sett av sikkerhetskrav. Nettverksisolering og utgående trafikkontroll fremheves konsekvent under sikkerhetsrevisjoner, og krever detaljerte forklaringer på hvordan agenttrafikk administreres og revideres. Behovet for forsikringer om at agentens kjøretidsendepunkter forblir private og at robuste sikkerhetskontroller som webapplikasjonsbrannmurer er på plass, er ikke omsettelig.

Nøkkelkrav for bedrifter som adresseres:

Regulerte bransjer: Kunder innen finans, helse og offentlig sektor krever bevis for at AI-agentoperasjoner overholder strenge datastyrings- og personvernforskrifter. Uautorisert domenetilgang kan føre til alvorlige brudd på etterlevelse.
Multi-tenant SaaS-leverandører: For SaaS-selskaper som bygger AI-agentfunksjonalitet, er nettverkspolicyer per kunde avgjørende. Kunde A kan kreve tilgang til spesifikke domener som Kunde B eksplisitt blokkerer. Dette nødvendiggjør detaljert kontroll, inkludert eksekveringsspesifikk blokkering, regionale restriksjoner og kategoribaserte regler (f.eks. deaktivering av gambling- eller sosiale medier-nettsteder).
Reduksjon av sikkerhetssårbarheter: En økende bekymring er AI-agenters sårbarhet for prompt-injeksjonsangrep. Ondsinnede prompter kan lure agenter til å navigere til utilsiktede eller skadelige nettsteder. Egendefinerte URL-tillatelseslister reduserer denne angrepsflaten drastisk, og sikrer at agenter holder seg innenfor godkjente grenser, uavhengig av manipulerte instruksjoner. Dette relaterer seg direkte til den bredere diskusjonen om designing-agents-to-resist-prompt-injection.
Revisjonskrav for etterlevelse: Sikkerhetsteam trenger synlighet og revisjonsspor for alle agentens nettverksinteraksjoner. Domenebasert utgående filtrering gir omfattende logging og tilgangskontrollsynlighet, avgjørende for sikkerhetsovervåking og revisjonsprosesser.

Arkitekturdykk: Sikring av AgentCore med AWS Network Firewall

Løsningen innebærer distribusjon av AgentCore Browser innenfor et privat subnett, isolert fra direkte internettilgang. All utgående trafikk fra AI-agenten rutes deretter nøye gjennom en AWS Network Firewall. Denne brannmuren fungerer som det sentrale inspeksjonspunktet, og gransker TLS Server Name Indication (SNI)-headere for å identifisere måldomenet og håndheve forhåndsdefinerte filtreringsregler. Integrasjonen tillater også overvåking av Network Firewall-handlinger via Amazon CloudWatch-målinger, noe som gir verdifull innsikt i trafikkantmønstre og blokkerte forsøk.

Løsningskomponenter:

Komponent	Funksjon	Sikkerhetsfordeler
Privat subnett	Hoster AgentCore Browser-instanser, ingen direkte offentlige IP-adresser.	Isolerer agenter fra offentlig internett, reduserer eksponering.
Offentlig subnett	Inneholder NAT Gateway for utgående tilkobling.	Muliggjør utgående tilgang uten å eksponere agentinstanser direkte.
Brannmur-subnett	Dedikert subnett for Network Firewall-endepunktet.	Sentraliserer trafikkinspeksjon, håndhever sikkerhetspolicyer.
AWS Network Firewall	Inspiserer TLS SNI-headere, anvender filtreringsregler, logger trafikk.	Domenebasert utgående kontroll, botnet/skadevarebeskyttelse, revisjonsspor.
Rutetabeller	Dirigerer trafikkflyten gjennom brannmuren.	Sikrer at all utgående og returtrafikk går gjennom brannmuren.

Trafikkflyten forklart:

En AI-agent som kjører i Amazon Bedrock AgentCore påkaller AgentCore Browser-verktøyet.
AgentCore Browser initierer en HTTPS-forespørsel fra sitt private subnett.
Det private subnettets rutetabell dirigerer denne trafikken mot en NAT Gateway i det offentlige subnettet.
NAT Gateway oversetter den private IP-en og videresender forespørselen til Network Firewall-endepunktet.
AWS Network Firewall avskjærer trafikken og inspiserer TLS SNI-headeren for å bestemme det tiltenkte måldomenet.
Hvis domenet samsvarer med en 'tillatelsesliste'-regel konfigurert i brannmuren, videresendes trafikken til Internet Gateway.
Internet Gateway ruter deretter den godkjente trafikken til den eksterne webdestinasjonen.
Returtrafikk følger den symmetriske banen tilbake gjennom brannmuren, noe som sikrer kontinuerlig inspeksjon og håndhevelse av policyer.

Det er avgjørende å merke seg at selv om SNI-basert filtrering er kraftig for å kontrollere hvilke domener agenter kobler til på TLS-laget, er det en del av en bredere dybdeforsvarsstrategi. For omfattende DNS-nivåfiltrering og beskyttelse mot DNS-tunneling eller eksfiltrering, kan denne arkitekturen kompletteres med Amazon Route 53 Resolver DNS Firewall.

Implementering av sikker domenefiltrering for dine AI-agenter

Å sette opp denne robuste sikkerhetsstillingen for dine AI-agenter innebærer noen få nøkkeltrinn, ved å utnytte AWS' omfattende infrastrukturtjenester.

Forutsetninger for implementering:

Før du dykker ned, sørg for at du har:

En aktiv AWS-konto med tillatelser til å opprette VPC-ressurser, Network Firewall og IAM-roller.
AWS Command Line Interface (AWS CLI) versjon 2.x konfigurert med passende legitimasjon.
Tilgang til Amazon Bedrock AgentCore innenfor din AWS-konto.
En grunnleggende forståelse av Amazon VPC nettverkskonsepter.

Trinn 1: Distribusjon av ressurser via CloudFormation

AWS tilbyr en praktisk CloudFormation-mal for å effektivisere distribusjonen av de nødvendige VPC- og Network Firewall-komponentene. Denne malen setter opp de private og offentlige subnettene, NAT Gateway, brannmur-subnettet og den sentrale ruteinfrastrukturen. Ved å benytte dette kan du raskt etablere det grunnleggende nettverksmiljøet som kreves for sikre agentoperasjoner.

Trinn 2: Gjennomgang av IAM-utførelsesrollen

For at AgentCore Browser skal fungere korrekt og sikkert, krever det en IAM-rolle med en spesifikk tillitspolicy. Denne policyen tillater bedrock-agentcore.amazonaws.com-tjenesten å påta seg rollen, noe som sikrer at agenten har de nødvendige tillatelsene uten å overprivilegere den.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Trinn 3: Konfigurering av AWS Network Firewall-tillatelseslisten

Kjernen i din domenekontrollstrategi ligger i å konfigurere en stateful regelgruppe innenfor AWS Network Firewall. Denne regelgruppen definerer din tillatelsesliste – de spesifikke domenene dine AI-agenter har lov til å få tilgang til. Det er viktig å inkludere en ledende prikk (.) i domeneoppføringene dine for å matche subdomener, noe som sikrer omfattende dekning.

For eksempel, for å tillate tilgang til Wikipedia og Stack Overflow, vil din regelkonfigurasjon se omtrent slik ut:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Denne konfigurasjonen sikrer at kun trafikk bestemt for disse eksplisitt tillatte domenene, inkludert deres subdomener, er tillatt gjennom brannmuren. All annen trafikk kan implisitt nektes av en default-deny policy.

Utover SNI: En dybdeforsvarsstrategi

Mens SNI-basert filtrering er kraftig, krever en ekte nulltillit-arkitektur for AI-agenter flere sikkerhetslag. Som nevnt, legger kombinasjonen av AWS Network Firewall med Amazon Route 53 Resolver DNS Firewall til et annet kritisk kontrollpunkt. Dette forhindrer agenter fra å løse blokkerte domener via DNS, og lukker effektivt en potensiell omgåelsesvektor der en agent kan forsøke å koble direkte til en IP-adresse hvis domeneoppløsningen ikke også er kontrollert.

Videre styrker integrering av andre sikkerhetstjenester, som AWS Web Application Firewall (WAF) for HTTP/S trafikkinspeksjon (hvis trafikken til slutt er ukryptert for inspeksjon på et annet lag) og identitetsbaserte tilgangskontroller for agentpåkalling, din sikkerhetsstilling. Denne flerlags tilnærmingen stemmer overens med beste praksis for building-a-zero-trust-architecture-for-confidential-ai-factories.

Konklusjon: Muliggjør sikker distribusjon av AI-agenter

Evnen til å kontrollere hvilke domener dine AI-agenter kan få tilgang til er ikke bare en funksjon; det er et grunnleggende sikkerhetskrav for bedrifts-AI-adopsjon. Ved å implementere AWS Network Firewall med Amazon Bedrock AgentCore, får organisasjoner detaljert kontroll over agentens utgående trafikk, reduserer betydelige sikkerhetsrisikoer som dataeksfiltrering og prompt-injeksjon, og oppfyller strenge samsvarsforpliktelser.

Ettersom AI-agenter blir mer sofistikerte og integrert i kritiske forretningsprosesser, blir et robust sikkerhetsrammeverk uunnværlig. Denne løsningen gir en klar vei for bedrifter til å utnytte kraften til AI-agenter, samtidig som de opprettholder kontroll, synlighet og en kompromissløs sikkerhetsstilling. Å omfavne slike arkitektoniske mønstre er nøkkelen til operationalizing-agentic-ai-part-1-a-stakeholders-guide og å fremme en sikker, innovativ fremtid.