Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Управление доменами для ИИ-агентов: Защита веб-доступа с помощью AWS Network Firewall

Защита ИИ-агентов: Почему контроль доменов имеет первостепенное значение

Появление ИИ-агентов, способных просматривать веб-страницы, открыло новую эру возможностей, от автоматизации исследований до сбора данных в реальном времени. Эти мощные инструменты обещают трансформировать корпоративные операции, но их способность получать доступ к открытому Интернету также создает значительные проблемы безопасности и соответствия требованиям. Неограниченный доступ в Интернет для ИИ-агента сродни выдаче сотруднику корпоративной кредитной карты без ограничений по расходам – потенциал для неправомерного использования, случайного раскрытия данных или злонамеренной эксплуатации огромен. Неизбежно возникают вопросы: Что, если агент получит доступ к неавторизованным веб-сайтам? Могут ли конфиденциальные данные быть эксфильтрованы во внешние домены?

Code Velocity находится на переднем крае изучения этих критических вопросов, и сегодня мы углубимся в надежное решение, предлагаемое AWS для прямого решения этих проблем. Используя Amazon Bedrock AgentCore наряду с AWS Network Firewall, организации могут внедрить строгую фильтрацию на основе доменов, гарантируя, что ИИ-агенты взаимодействуют только с одобренными веб-ресурсами. Этот подход является не просто передовой практикой; это фундаментальное требование для ответственного развертывания ИИ-агентов в любой корпоративной среде.

Решение корпоративных требований безопасности с помощью контроля исходящего трафика ИИ-агентов

Для организаций, особенно в регулируемых отраслях, развертывание ИИ-агентов сопряжено со строгим набором требований безопасности. Сетевая изоляция и контроль исходящего трафика постоянно подчеркиваются во время проверок безопасности, требуя подробных объяснений того, как управляется и аудируется трафик агентов. Необходимость гарантий того, что конечные точки выполнения агентов остаются приватными и что надежные средства контроля безопасности, такие как межсетевые экраны веб-приложений, находятся на месте, является не подлежащим обсуждению.

Ключевые корпоративные требования, которые решаются:

Регулируемые отрасли: Клиенты в сфере финансов, здравоохранения и государственного управления требуют доказательств того, что операции ИИ-агентов соответствуют строгим правилам управления данными и конфиденциальности. Несанкционированный доступ к доменам может привести к серьезным нарушениям соответствия.
Многопользовательские поставщики SaaS: Для SaaS-компаний, создающих возможности ИИ-агентов, необходимы сетевые политики для каждого клиента. Клиент A может требовать доступа к определенным доменам, которые Клиент B явно блокирует. Это требует детализированного контроля, включая блокировку, специфичную для выполнения, региональные ограничения и правила на основе категорий (например, отключение сайтов с азартными играми или социальных сетей).
Снижение уязвимостей безопасности: Растущую озабоченность вызывает восприимчивость ИИ-агентов к атакам с инъекцией подсказок. Вредоносные подсказки могут заставить агентов перейти на непреднамеренные или вредоносные сайты. Пользовательские 'списки разрешенных' (allowlists) URL-адресов значительно сокращают эту поверхность атаки, гарантируя, что агенты остаются в пределах одобренных границ, независимо от манипулируемых инструкций. Это напрямую связано с более широким обсуждением разработки агентов для противодействия инъекции подсказок.
Требования аудита соответствия: Командам безопасности необходима прозрачность и журналы аудита для всех сетевых взаимодействий агентов. Фильтрация исходящего трафика на основе доменов обеспечивает комплексное логирование и прозрачность контроля доступа, что критически важно для мониторинга безопасности и процессов аудита.

Детальный обзор архитектуры: Защита AgentCore с помощью AWS Network Firewall

Решение включает развертывание AgentCore Browser в приватной подсети, изолированной от прямого доступа в Интернет. Весь исходящий трафик от ИИ-агента затем тщательно маршрутизируется через AWS Network Firewall. Этот межсетевой экран действует как центральная точка инспекции, тщательно проверяя заголовки TLS Server Name Indication (SNI) для идентификации домена назначения и применения заранее определенных правил фильтрации. Интеграция также позволяет отслеживать действия Network Firewall с помощью метрик Amazon CloudWatch, предоставляя ценную информацию о моделях трафика и заблокированных попытках.

Компоненты решения:

Компонент	Функция	Преимущество для безопасности
Приватная подсеть	Размещает экземпляры AgentCore Browser, без прямых публичных IP-адресов.	Изолирует агентов от публичного интернета, снижая уязвимость.
Публичная подсеть	Содержит NAT Gateway для исходящих подключений.	Обеспечивает исходящий доступ, не открывая экземпляры агентов напрямую.
Подсеть межсетевого экрана	Выделенная подсеть для конечной точки Network Firewall.	Централизует инспекцию трафика, применяет политики безопасности.
AWS Network Firewall	Проверяет заголовки TLS SNI, применяет правила фильтрации, логирует трафик.	Контроль исходящего трафика по доменам, защита от ботнетов/вредоносного ПО, журналы аудита.
Таблицы маршрутизации	Направляет поток трафика через межсетевой экран.	Гарантирует, что весь исходящий и входящий трафик проходит через межсетевой экран.

Поток трафика объясняется:

ИИ-агент, работающий в Amazon Bedrock AgentCore, вызывает инструмент AgentCore Browser.
AgentCore Browser инициирует HTTPS-запрос из своей приватной подсети.
Таблица маршрутизации приватной подсети направляет этот трафик к NAT Gateway в публичной подсети.
NAT Gateway преобразует приватный IP-адрес и перенаправляет запрос на конечную точку Network Firewall.
AWS Network Firewall перехватывает трафик и проверяет заголовок TLS SNI для определения предполагаемого домена назначения.
Если домен соответствует правилу 'разрешающего списка' (allowlist), настроенному в межсетевом экране, трафик перенаправляется на Интернет-шлюз (Internet Gateway).
Интернет-шлюз затем маршрутизирует разрешенный трафик к внешнему веб-ресурсу.
Обратный трафик следует по симметричному пути обратно через межсетевой экран, обеспечивая непрерывную инспекцию и применение политик.

Крайне важно отметить, что хотя SNI-фильтрация мощна для контроля того, к каким доменам агенты подключаются на уровне TLS, она является частью более широкой стратегии многоуровневой защиты. Для всеобъемлющей фильтрации на уровне DNS и защиты от DNS-туннелирования или эксфильтрации эта архитектура может быть дополнена Amazon Route 53 Resolver DNS Firewall.

Внедрение безопасной фильтрации доменов для ваших ИИ-агентов

Настройка этой надежной системы безопасности для ваших ИИ-агентов включает несколько ключевых шагов, использующих комплексные инфраструктурные сервисы AWS.

Необходимые условия для внедрения:

Прежде чем приступить к работе, убедитесь, что у вас есть:

Активная учетная запись AWS с разрешениями на создание ресурсов VPC, Network Firewall и ролей IAM.
AWS Command Line Interface (AWS CLI) версии 2.x, настроенный с соответствующими учетными данными.
Доступ к Amazon Bedrock AgentCore в вашей учетной записи AWS.
Базовое понимание сетевых концепций Amazon VPC.

Шаг 1: Развертывание ресурсов через CloudFormation

AWS предоставляет удобный шаблон CloudFormation для упрощения развертывания необходимых компонентов VPC и Network Firewall. Этот шаблон настраивает приватные и публичные подсети, NAT Gateway, подсеть межсетевого экрана и основную инфраструктуру маршрутизации. Используя его, вы можете быстро создать базовую сетевую среду, необходимую для безопасной работы агентов.

Шаг 2: Обзор роли выполнения IAM

Для корректной и безопасной работы AgentCore Browser требуется роль IAM с определенной политикой доверия. Эта политика разрешает службе bedrock-agentcore.amazonaws.com принимать роль, гарантируя, что агент имеет необходимые разрешения без чрезмерного предоставления привилегий.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Шаг 3: Настройка 'разрешающего списка' AWS Network Firewall

Суть вашей стратегии контроля доменов заключается в настройке группы правил с состоянием (stateful rule group) в AWS Network Firewall. Эта группа правил определяет ваш 'разрешающий список' (allowlist) – конкретные домены, к которым разрешен доступ вашим ИИ-агентам. Важно включить ведущую точку (.) в ваши записи доменов для соответствия поддоменам, обеспечивая полный охват.

Например, чтобы разрешить доступ к Wikipedia и Stack Overflow, ваша конфигурация правил будет выглядеть примерно так:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Эта конфигурация гарантирует, что только трафик, предназначенный для этих явно разрешенных доменов, включая их поддомены, пропускается через межсетевой экран. Весь остальной трафик может неявно отклоняться политикой запрета по умолчанию.

За пределами SNI: Многоуровневый подход к защите

Хотя SNI-фильтрация мощна, истинная архитектура нулевого доверия для ИИ-агентов требует нескольких уровней безопасности. Как упоминалось, сопряжение AWS Network Firewall с Amazon Route 53 Resolver DNS Firewall добавляет еще одну критическую точку контроля. Это предотвращает разрешение агентами заблокированных доменов через DNS, эффективно закрывая потенциальный вектор обхода, где агент может попытаться подключиться напрямую к IP-адресу, если разрешение доменов также не контролируется.

Кроме того, интеграция других служб безопасности, таких как AWS Web Application Firewall (WAF) для инспекции HTTP/S трафика (если трафик в конечном итоге расшифровывается для инспекции на другом уровне) и контроль доступа на основе идентификации для вызова агентов, укрепляет вашу систему безопасности. Этот многоуровневый подход соответствует передовым практикам для создания архитектуры нулевого доверия для конфиденциальных ИИ-фабрик.

Заключение: Обеспечение безопасного развертывания ИИ-агентов

Возможность контролировать, к каким доменам могут получать доступ ваши ИИ-агенты, является не просто функцией; это фундаментальное требование безопасности для внедрения корпоративного ИИ. Внедряя AWS Network Firewall с Amazon Bedrock AgentCore, организации получают детальный контроль над исходящим трафиком агентов, снижают значительные риски безопасности, такие как эксфильтрация данных и инъекция подсказок, и соответствуют строгим обязательствам по соблюдению нормативных требований.

По мере того, как ИИ-агенты становятся более сложными и интегрированными в критически важные бизнес-процессы, надежная система безопасности становится незаменимой. Это решение предоставляет четкий путь для предприятий к использованию возможностей ИИ-агентов, сохраняя при этом контроль, прозрачность и бескомпромиссный уровень безопасности. Принятие таких архитектурных паттернов является ключом к операционализации агентского ИИ. Часть 1: Руководство для заинтересованных сторон и созданию безопасного, инновационного будущего.