Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Kontrola Domen Agentów AI: Zabezpieczanie Dostępu do Sieci za Pomocą AWS Network Firewall

Ochrona Agentów AI: Dlaczego Kontrola Domen Jest Najważniejsza

Pojawienie się agentów AI zdolnych do przeglądania sieci zapoczątkowało nową erę możliwości, od automatyzacji badań po zbieranie danych w czasie rzeczywistym. Te potężne narzędzia obiecują przekształcić operacje przedsiębiorstw, ale ich zdolność do dostępu do otwartego internetu wprowadza również znaczące wyzwania w zakresie bezpieczeństwa i zgodności. Nieograniczony dostęp do internetu dla agenta AI jest podobny do wręczenia pracownikowi służbowej karty kredytowej bez limitów wydatków – potencjał nadużyć, przypadkowego ujawnienia danych lub złośliwego wykorzystania jest ogromny. Nieuchronnie pojawiają się pytania: Co jeśli agent uzyska dostęp do nieautoryzowanych stron internetowych? Czy wrażliwe dane mogłyby zostać wyeksfiltrowane do zewnętrznych domen?

Code Velocity stoi na czele eksploracji tych krytycznych kwestii, a dziś zagłębiamy się w solidne rozwiązanie oferowane przez AWS, aby bezpośrednio odpowiedzieć na te obawy. Wykorzystując Amazon Bedrock AgentCore wraz z AWS Network Firewall, organizacje mogą wdrożyć rygorystyczne filtrowanie oparte na domenach, zapewniając, że agenci AI wchodzą w interakcje tylko z zatwierdzonymi zasobami internetowymi. To podejście to nie tylko najlepsza praktyka; to podstawowy wymóg odpowiedzialnego wdrażania agentów AI w każdym środowisku korporacyjnym.

Spełnianie Wymagań Bezpieczeństwa Przedsiębiorstw dzięki Kontroli Ruchu Wychodzącego Agentów AI

Dla organizacji, zwłaszcza tych z branż regulowanych, wdrożenie agentów AI wiąże się z rygorystycznym zestawem wymagań bezpieczeństwa. Izolacja sieci i kontrola ruchu wychodzącego są konsekwentnie podkreślane podczas przeglądów bezpieczeństwa, wymagając szczegółowych wyjaśnień dotyczących zarządzania i audytu ruchu agentów. Konieczność zapewnienia, że punkty końcowe środowiska uruchomieniowego agenta pozostają prywatne oraz że wdrożone są solidne mechanizmy kontroli bezpieczeństwa, takie jak zapory aplikacji internetowych, jest kwestią bezdyskusyjną.

Kluczowe Spełnione Wymagania Przedsiębiorstwa:

Branże regulowane: Klienci z sektora finansowego, opieki zdrowotnej i rządowego wymagają dowodów, że operacje agentów AI są zgodne z rygorystycznymi przepisami dotyczącymi zarządzania danymi i prywatności. Nieautoryzowany dostęp do domen może prowadzić do poważnych naruszeń zgodności.
Dostawcy SaaS z wieloma najemcami: Dla firm SaaS tworzących możliwości agentów AI, kluczowe są polityki sieciowe dla każdego klienta. Klient A może wymagać dostępu do określonych domen, które Klient B wyraźnie blokuje. Wymaga to granularnej kontroli, w tym blokowania specyficznego dla wykonania, ograniczeń regionalnych i reguł opartych na kategoriach (np. wyłączanie stron hazardowych lub mediów społecznościowych).
Łagodzenie luk bezpieczeństwa: Rosnącym problemem jest podatność agentów AI na ataki typu 'prompt injection'. Złośliwe prompty mogą nakłonić agentów do nawigacji na niezamierzone lub szkodliwe strony. Niestandardowe białe listy adresów URL (allowlists) drastycznie zmniejszają powierzchnię ataku, zapewniając, że agenci pozostają w zatwierdzonych granicach, niezależnie od zmanipulowanych instrukcji. Jest to bezpośrednio związane z szerszą dyskusją na temat projektowania agentów odpornych na 'prompt injection'.
Wymagania Audytowe Zgodności: Zespoły bezpieczeństwa potrzebują widoczności i ścieżek audytowych dla wszystkich interakcji sieciowych agenta. Filtrowanie ruchu wychodzącego oparte na domenach zapewnia kompleksowe logowanie i widoczność kontroli dostępu, co jest kluczowe dla monitorowania bezpieczeństwa i procesów audytu.

Dogłębna Analiza Architektury: Zabezpieczanie AgentCore za Pomocą AWS Network Firewall

Rozwiązanie polega na wdrożeniu AgentCore Browser w prywatnej podsieci, izolowanej od bezpośredniego dostępu do internetu. Cały ruch wychodzący od agenta AI jest następnie skrupulatnie kierowany przez AWS Network Firewall. Ta zapora sieciowa działa jako centralny punkt inspekcji, sprawdzając nagłówki TLS Server Name Indication (SNI) w celu identyfikacji domeny docelowej i egzekwowania predefiniowanych reguł filtrowania. Integracja umożliwia również monitorowanie działań Network Firewall za pośrednictwem metryk Amazon CloudWatch, dostarczając cennych informacji o wzorcach ruchu i zablokowanych próbach.

Komponenty Rozwiązania:

Komponent	Funkcja	Korzyść dla Bezpieczeństwa
Prywatna Podsieć	Hostuje instancje AgentCore Browser, bez bezpośrednich publicznych adresów IP.	Izoluje agentów od publicznego internetu, zmniejszając narażenie.
Publiczna Podsieć	Zawiera NAT Gateway dla łączności wychodzącej.	Umożliwia dostęp wychodzący bez bezpośredniego ujawniania instancji agentów.
Podsieć Zapory	Dedykowana podsieć dla punktu końcowego Network Firewall.	Centralizuje inspekcję ruchu, egzekwuje polityki bezpieczeństwa.
AWS Network Firewall	Sprawdza nagłówki TLS SNI, stosuje reguły filtrowania, loguje ruch.	Kontrola ruchu wychodzącego oparta na domenach, ochrona przed botnetami/malware, ścieżki audytowe.
Tablice Routingowe	Kieruje przepływ ruchu przez zaporę sieciową.	Zapewnia, że cały ruch wychodzący i powrotny przechodzi przez zaporę.

Wyjaśnienie Przepływu Ruchu:

Agent AI działający w Amazon Bedrock AgentCore wywołuje narzędzie AgentCore Browser.
AgentCore Browser inicjuje żądanie HTTPS ze swojej prywatnej podsieci.
Tablica routingowa prywatnej podsieci kieruje ten ruch do NAT Gateway w publicznej podsieci.
NAT Gateway tłumaczy prywatny adres IP i przekazuje żądanie do punktu końcowego Network Firewall.
AWS Network Firewall przechwytuje ruch i sprawdza nagłówek TLS SNI, aby określić zamierzoną domenę docelową.
Jeśli domena odpowiada regule z 'białej listy' skonfigurowanej w zaporze, ruch jest przekazywany do Internet Gateway.
Internet Gateway następnie kieruje zatwierdzony ruch do zewnętrznego celu sieciowego.
Ruch powrotny podąża symetryczną ścieżką z powrotem przez zaporę, zapewniając ciągłą inspekcję i egzekwowanie polityk.

Kluczowe jest zauważenie, że chociaż filtrowanie oparte na SNI jest potężne w kontrolowaniu do których domen agenci łączą się na poziomie warstwy TLS, jest ono częścią szerszej strategii obrony w głąb. W celu kompleksowego filtrowania na poziomie DNS i ochrony przed tunelowaniem lub eksfiltracją DNS, architektura ta może być uzupełniona o Amazon Route 53 Resolver DNS Firewall.

Wdrażanie Bezpiecznego Filtrowania Domen dla Twoich Agentów AI

Konfiguracja tego solidnego poziomu bezpieczeństwa dla twoich agentów AI obejmuje kilka kluczowych kroków, wykorzystując kompleksowe usługi infrastrukturalne AWS.

Warunki Wstępne Wdrożenia:

Zanim przystąpisz, upewnij się, że masz:

Aktywne konto AWS z uprawnieniami do tworzenia zasobów VPC, Network Firewall i ról IAM.
Zainstalowany i skonfigurowany AWS Command Line Interface (AWS CLI) w wersji 2.x z odpowiednimi poświadczeniami.
Dostęp do Amazon Bedrock AgentCore w ramach Twojego konta AWS.
Podstawowe zrozumienie koncepcji sieciowych Amazon VPC.

Krok 1: Wdrażanie Zasobów za Pomocą CloudFormation

AWS dostarcza wygodny szablon CloudFormation, aby usprawnić wdrażanie niezbędnych komponentów VPC i Network Firewall. Ten szablon konfiguruje prywatne i publiczne podsieci, NAT Gateway, podsieć zapory oraz podstawową infrastrukturę routingu. Wykorzystując go, możesz szybko ustanowić podstawowe środowisko sieciowe wymagane do bezpiecznych operacji agentów.

Krok 2: Przegląd Roli Wykonawczej IAM

Aby AgentCore Browser działał poprawnie i bezpiecznie, wymaga roli IAM z określoną polityką zaufania. Polityka ta zezwala usłudze bedrock-agentcore.amazonaws.com na przejmowanie roli, zapewniając, że agent ma niezbędne uprawnienia bez nadmiernego uprzywilejowania.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Krok 3: Konfiguracja Białej Listy AWS Network Firewall

Rdzeniem Twojej strategii kontroli domen jest konfiguracja stanowej grupy reguł w ramach AWS Network Firewall. Ta grupa reguł definiuje Twoją białą listę (allowlist) – konkretne domeny, do których agenci AI mają zezwolenie na dostęp. Ważne jest, aby uwzględnić w swoich wpisach domen wiodącą kropkę (.), aby dopasować poddomeny, zapewniając kompleksowe pokrycie.

Na przykład, aby zezwolić na dostęp do Wikipedii i Stack Overflow, Twoja konfiguracja reguł wyglądałaby mniej więcej tak:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Ta konfiguracja zapewnia, że tylko ruch przeznaczony do tych wyraźnie dozwolonych domen, w tym ich poddomen, jest przepuszczany przez zaporę. Cały inny ruch może być domyślnie odrzucony przez politykę 'deny by default'.

Poza SNI: Podejście Oparte na Wielu Warstwach Ochrony

Chociaż filtrowanie oparte na SNI jest potężne, prawdziwa architektura zerowego zaufania dla agentów AI wymaga wielu warstw bezpieczeństwa. Jak wspomniano, połączenie AWS Network Firewall z Amazon Route 53 Resolver DNS Firewall dodaje kolejny krytyczny punkt kontroli. Zapobiega to rozwiązywaniu przez agentów zablokowanych domen za pośrednictwem DNS, skutecznie zamykając potencjalny wektor obejścia, w którym agent mógłby próbować połączyć się bezpośrednio z adresem IP, jeśli rozwiązywanie domen również nie jest kontrolowane.

Ponadto, integracja innych usług bezpieczeństwa, takich jak AWS Web Application Firewall (WAF) do inspekcji ruchu HTTP/S (jeśli ruch jest ostatecznie odszyfrowywany do inspekcji na innej warstwie) oraz kontroli dostępu opartej na tożsamości do wywoływania agentów, wzmacnia Twoją pozycję bezpieczeństwa. To wielowarstwowe podejście jest zgodne z najlepszymi praktykami w zakresie budowania architektury zero zaufania dla poufnych fabryk AI.

Podsumowanie: Umożliwianie Bezpiecznego Wdrażania Agentów AI

Możliwość kontrolowania, do których domen agenci AI mogą uzyskiwać dostęp, to nie tylko funkcja; to fundamentalny wymóg bezpieczeństwa dla adopcji AI w przedsiębiorstwach. Wdrażając AWS Network Firewall z Amazon Bedrock AgentCore, organizacje uzyskują granularną kontrolę nad ruchem wychodzącym agentów, łagodzą znaczące ryzyka bezpieczeństwa, takie jak eksfiltracja danych i 'prompt injection', oraz spełniają rygorystyczne zobowiązania w zakresie zgodności.

W miarę jak agenci AI stają się coraz bardziej wyrafinowani i zintegrowani z krytycznymi procesami biznesowymi, solidne ramy bezpieczeństwa stają się niezbędne. To rozwiązanie zapewnia jasną ścieżkę dla firm do wykorzystania mocy agentów AI przy jednoczesnym zachowaniu kontroli, widoczności i nienaruszonej pozycji bezpieczeństwa. Przyjmowanie takich wzorców architektonicznych jest kluczem do operacjonalizacji agentowej AI, część 1: przewodnik dla interesariuszy i wspierania bezpiecznej, innowacyjnej przyszłości.