Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Kontrola domén AI agentmi: Zabezpečenie webového prístupu s AWS Network Firewall

Ochrana AI agentov: Prečo je kontrola domén kľúčová

Nástup AI agentov schopných prehliadať web otvoril novú éru možností, od automatizácie výskumu po zber dát v reálnom čase. Tieto výkonné nástroje sľubujú transformáciu podnikových operácií, ale ich schopnosť pristupovať k otvorenému internetu zároveň prináša významné bezpečnostné a compliance výzvy. Neobmedzený prístup na internet pre AI agenta je ako dať zamestnancovi firemnú kreditnú kartu bez obmedzenia výdavkov – potenciál pre zneužitie, náhodné odhalenie dát alebo škodlivé zneužitie je obrovský. Nevyhnutne sa vynárajú otázky: Čo ak agent pristúpi na neautorizované webové stránky? Mohli by byť citlivé dáta exfiltrované na externé domény?

Code Velocity je v popredí skúmania týchto kritických problémov a dnes sa ponoríme do robustného riešenia, ktoré ponúka AWS na priame riešenie týchto obáv. Využitím Amazon Bedrock AgentCore spolu s AWS Network Firewall môžu organizácie implementovať prísne filtrovanie na základe domén, čím sa zabezpečí, že AI agenti budú interagovať iba so schválenými webovými zdrojmi. Tento prístup nie je len osvedčenou praxou; je to základná požiadavka pre zodpovedné nasadzovanie AI agentov v akomkoľvek podnikovom prostredí.

Riešenie požiadaviek podnikovej bezpečnosti s kontrolou odchádzajúcej prevádzky AI agentov

Pre organizácie, najmä tie v regulovaných odvetviach, prichádza nasadenie AI agentov s prísnym súborom bezpečnostných požiadaviek. Sieťová izolácia a kontrola odchádzajúcej prevádzky sú dôsledne zdôrazňované počas bezpečnostných previerok, vyžadujúc podrobné vysvetlenia, ako je prevádzka agentov riadená a auditovaná. Potreba záruk, že koncové body agentov zostávajú súkromné a že sú zavedené robustné bezpečnostné kontroly, ako sú firewall aplikácií, je nespochybniteľná.

Kľúčové požiadavky podnikov, ktoré sú riešené:

Regulované odvetvia: Zákazníci vo financiách, zdravotníctve a štátnej správe vyžadujú dôkaz, že operácie AI agentov sú v súlade s prísnymi predpismi o správe dát a ochrane súkromia. Neautorizovaný prístup k doménam môže viesť k vážnym porušeniam súladu.
Poskytovatelia viacnájomníckych SaaS: Pre SaaS spoločnosti, ktoré budujú schopnosti AI agentov, sú nevyhnutné sieťové politiky pre každého zákazníka. Zákazník A môže vyžadovať prístup k špecifickým doménam, ktoré Zákazník B explicitne blokuje. To si vyžaduje granulárnu kontrolu, vrátane blokovania špecifického pre vykonávanie, regionálnych obmedzení a pravidiel založených na kategóriách (napr. zakázanie hazardných hier alebo sociálnych médií).
Zmiernenie bezpečnostných zraniteľností: Rastúcou obavou je náchylnosť AI agentov na útoky prompt injection. Zákerné prompte môžu agentov oklamať, aby prešli na neúmyselné alebo škodlivé stránky. Vlastné zoznamy povolených URL adries (allowlists) drasticky znižujú túto útočnú plochu, čím zabezpečujú, že agenti zostanú v rámci schválených hraníc, bez ohľadu na manipulované inštrukcie. To priamo súvisí so širšou diskusiou o navrhovaní-agentov-aby-odolali-prompt-injection.
Požiadavky na audit súladu: Bezpečnostné tímy potrebujú viditeľnosť a auditné záznamy pre všetky sieťové interakcie agentov. Filtrovanie odchádzajúcej prevádzky na základe domén poskytuje komplexné protokolovanie a viditeľnosť kontroly prístupu, čo je kľúčové pre monitorovanie bezpečnosti a auditné procesy.

Hĺbkový pohľad na architektúru: Zabezpečenie AgentCore s AWS Network Firewall

Riešenie zahŕňa nasadenie AgentCore Browser v privátnej podsieti, izolovanej od priameho prístupu na internet. Všetka odchádzajúca prevádzka z AI agenta je potom starostlivo smerovaná cez AWS Network Firewall. Tento firewall funguje ako centrálny inšpekčný bod, preverujúci hlavičky TLS Server Name Indication (SNI) na identifikáciu cieľovej domény a vynucovanie preddefinovaných pravidiel filtrovania. Integrácia tiež umožňuje monitorovanie akcií Network Firewall prostredníctvom metrík Amazon CloudWatch, poskytujúc cenné poznatky o vzorcoch prevádzky a blokovaných pokusoch.

Komponenty riešenia:

Komponent	Funkcia	Bezpečnostný prínos
Privátna podsieť	Hostuje inštancie AgentCore Browser, bez priamych verejných IP adries.	Izoluje agentov od verejného internetu, znižuje expozíciu.
Verejná podsieť	Obsahuje NAT Gateway pre odchádzajúce pripojenia.	Umožňuje odchádzajúci prístup bez priameho vystavenia inštancií agentov.
Podsieť Firewallu	Vyhradená podsieť pre koncový bod Network Firewall.	Centralizuje inšpekciu prevádzky, vynucuje bezpečnostné politiky.
AWS Network Firewall	Kontroluje hlavičky TLS SNI, uplatňuje pravidlá filtrovania, zaznamenáva prevádzku.	Kontrola odchádzajúcej prevádzky na základe domén, ochrana pred botnetmi/malvérom, auditné záznamy.
Smerovacie tabuľky	Smeruje tok prevádzky cez firewall.	Zabezpečuje, že všetka odchádzajúca a spiatočná prevádzka prechádza cez firewall.

Vysvetlenie toku prevádzky:

AI agent bežiaci v Amazon Bedrock AgentCore vyvolá nástroj AgentCore Browser.
AgentCore Browser iniciuje HTTPS požiadavku zo svojej privátnej podsiete.
Smerovacia tabuľka privátnej podsiete smeruje túto prevádzku k NAT Gateway vo verejnej podsieti.
NAT Gateway preloží privátnu IP adresu a prepošle požiadavku na koncový bod Network Firewall.
AWS Network Firewall zachytí prevádzku a skontroluje hlavičku TLS SNI na určenie zamýšľanej cieľovej domény.
Ak sa doména zhoduje s pravidlom 'allowlist' nakonfigurovaným vo firewalle, prevádzka je preposlaná do Internet Gateway.
Internet Gateway potom smeruje schválenú prevádzku na externé webové cieľové miesto.
Spiatočná prevádzka nasleduje symetrickú cestu späť cez firewall, čím sa zabezpečuje nepretržitá kontrola a vynucovanie politík.

Je dôležité poznamenať, že hoci filtrovanie založené na SNI je výkonné pre kontrolu ktorých domén sa agenti pripájajú na úrovni TLS, je to súčasť širšej stratégie obrany do hĺbky. Pre komplexné filtrovanie na úrovni DNS a ochranu pred tunelovaním alebo exfiltráciou DNS môže byť táto architektúra doplnená o Amazon Route 53 Resolver DNS Firewall.

Implementácia zabezpečeného filtrovania domén pre vašich AI agentov

Nastavenie tejto robustnej bezpečnostnej pozície pre vašich AI agentov zahŕňa niekoľko kľúčových krokov, využívajúc komplexné infraštruktúrne služby AWS.

Predpoklady pre implementáciu:

Predtým, než sa do toho pustíte, uistite sa, že máte:

Aktívny AWS účet s oprávneniami na vytváranie VPC zdrojov, Network Firewall a IAM rolí.
AWS Command Line Interface (AWS CLI) verzie 2.x nakonfigurované s príslušnými povereniami.
Prístup k Amazon Bedrock AgentCore vo vašom AWS účte.
Základné pochopenie sieťových konceptov Amazon VPC.

Krok 1: Nasadenie zdrojov prostredníctvom CloudFormation

AWS poskytuje pohodlnú šablónu CloudFormation na zjednodušenie nasadenia potrebných VPC a komponentov Network Firewall. Táto šablóna nastavuje privátne a verejné podsiete, NAT Gateway, podsieť firewallu a základnú smerovaciu infraštruktúru. Využitím tejto šablóny môžete rýchlo vytvoriť základné sieťové prostredie potrebné pre zabezpečené operácie agentov.

Krok 2: Kontrola vykonávacej IAM roly

Aby AgentCore Browser fungoval správne a bezpečne, vyžaduje IAM rolu so špecifickou politikou dôvery. Táto politika umožňuje službe bedrock-agentcore.amazonaws.com prevziať rolu, čím sa zabezpečí, že agent má potrebné oprávnenia bez nadmerného udeľovania privilégií.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Krok 3: Konfigurácia zoznamu povolených AWS Network Firewall

Jadrom vašej stratégie kontroly domén je konfigurácia stavovej skupiny pravidiel v rámci AWS Network Firewall. Táto skupina pravidiel definuje váš zoznam povolených domén – špecifické domény, ku ktorým majú vaši AI agenti povolený prístup. Je nevyhnutné zahrnúť úvodnú bodku (.) do záznamov vašich domén, aby sa zhodovali aj subdomény, čím sa zabezpečí komplexné pokrytie.

Napríklad, ak chcete povoliť prístup k Wikipédii a Stack Overflow, vaša konfigurácia pravidiel by vyzerala takto:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Táto konfigurácia zabezpečuje, že cez firewall je povolená iba prevádzka určená pre tieto explicitne povolené domény, vrátane ich subdomén. Všetka ostatná prevádzka môže byť implicitne zamietnutá politikou predvoleného zamietnutia.

Za SNI: Prístup obrany do hĺbky

Hoci filtrovanie založené na SNI je výkonné, skutočná architektúra nulovej dôvery pre AI agentov vyžaduje viacero vrstiev bezpečnosti. Ako už bolo spomenuté, spárovanie AWS Network Firewall s Amazon Route 53 Resolver DNS Firewall pridáva ďalší kritický kontrolný bod. To zabraňuje agentom v riešení blokovaných domén prostredníctvom DNS, čím sa efektívne uzatvára potenciálny vektor obchádzania, kde by sa agent mohol pokúsiť pripojiť priamo na IP adresu, ak nie je riadené aj riešenie domén.

Okrem toho, integrácia ďalších bezpečnostných služieb, ako je AWS Web Application Firewall (WAF) pre inšpekciu HTTP/S prevádzky (ak je prevádzka nakoniec dešifrovaná pre inšpekciu na inej vrstve) a riadenie prístupu založené na identite pre vyvolanie agenta, posilňuje vašu bezpečnostnú pozíciu. Tento viacvrstvový prístup je v súlade s osvedčenými postupmi pre budovanie-architektury-nulovej-doveri-pre-doverne-ai-tovarne.

Záver: Umožnenie zabezpečeného nasadenia AI agentov

Schopnosť kontrolovať, ku ktorým doménam majú vaši AI agenti prístup, nie je len funkcia; je to základná bezpečnostná požiadavka pre prijatie podnikovej AI. Implementáciou AWS Network Firewall s Amazon Bedrock AgentCore získajú organizácie granulárnu kontrolu nad odchádzajúcou prevádzkou agentov, zmierňujú významné bezpečnostné riziká ako exfiltrácia dát a prompt injection a spĺňajú prísne povinnosti súladu.

Keďže AI agenti sa stávajú sofistikovanejšími a integrovanými do kritických obchodných procesov, robustný bezpečnostný rámec sa stáva nevyhnutným. Toto riešenie poskytuje jasnú cestu pre podniky, ako využiť silu AI agentov pri zachovaní kontroly, viditeľnosti a nekompromisnej bezpečnostnej pozície. Prijatie takýchto architektonických vzorov je kľúčom k operationalizacii-agentnej-ai-cast-1-sprievodca-pre-zainteresovane-strany a podpore bezpečnej, inovatívnej budúcnosti.