Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Nadzor domene za AI agente: Zavarovanje spletnega dostopa z AWS Network Firewall

Varovanje AI agentov: Zakaj je nadzor domene najpomembnejši

Prihod AI agentov, ki lahko brskajo po spletu, je prinesel novo dobo možnosti, od avtomatizacije raziskav do zbiranja podatkov v realnem času. Ta zmogljiva orodja obljubljajo preoblikovanje podjetniških operacij, vendar njihova sposobnost dostopa do odprtega interneta prinaša tudi znatne varnostne in skladnostne izzive. Neomejen dostop do interneta za AI agenta je podoben dajanju službene kreditne kartice zaposlenemu brez omejitev porabe – potencial za zlorabo, nenamerno izpostavljenost podatkov ali zlonamerno izkoriščanje je ogromen. Neizogibno se pojavijo vprašanja: Kaj če agent dostopa do nepooblaščenih spletnih mest? Ali bi lahko bili občutljivi podatki eksfiltrirani na zunanje domene?

Code Velocity je v ospredju raziskovanja teh kritičnih vprašanj in danes se poglobimo v robustno rešitev, ki jo ponuja AWS za neposredno reševanje teh pomislekov. Z uporabo Amazon Bedrock AgentCore skupaj z AWS Network Firewall lahko organizacije implementirajo strogo filtriranje na podlagi domen, s čimer zagotovijo, da AI agenti komunicirajo le z odobrenimi spletnimi viri. Ta pristop ni le najboljša praksa; je temeljna zahteva za odgovorno uvajanje AI agentov v katerem koli podjetniškem okolju.

Obravnavanje varnostnih zahtev podjetij z nadzorom odhodnega prometa AI agentov

Za organizacije, zlasti tiste v reguliranih panogah, uvajanje AI agentov prinaša strog nabor varnostnih zahtev. Izolacija omrežja in nadzor odhodnega prometa sta dosledno poudarjena med varnostnimi pregledi, kar zahteva podrobne razlage, kako se upravlja in revidira promet agentov. Potreba po zagotovilih, da končne točke izvajanja agentov ostanejo zasebne in da so vzpostavljeni robustni varnostni nadzori, kot so požarni zidovi spletnih aplikacij, je nepogrešljiva.

Ključne podjetniške zahteve, ki so obravnavane:

Regulirane panoge: Stranke v financah, zdravstvu in vladnih sektorjih zahtevajo dokazilo, da delovanje AI agentov ustreza strogim predpisom o upravljanju podatkov in zasebnosti. Nepooblaščen dostop do domen lahko povzroči resne kršitve skladnosti.
Ponudniki SaaS z več najemniki: Za SaaS podjetja, ki razvijajo zmožnosti AI agentov, so ključne omrežne politike za posamezne stranke. Stranka A morda potrebuje dostop do določenih domen, ki jih Stranka B izrecno blokira. To zahteva natančen nadzor, vključno z blokiranjem, specifičnim za izvajanje, regionalnimi omejitvami in pravili na podlagi kategorij (npr. onemogočanje spletnih mest za igre na srečo ali družabna omrežja).
Zmanjšanje varnostnih ranljivosti: Naraščajoča skrb je dovzetnost AI agentov za napade z injiciranjem pozivov. Zlonamerni pozivi lahko prevarajo agente, da brskajo po nenamernih ali škodljivih spletnih mestih. Seznami dovoljenih URL-jev drastično zmanjšajo to površino napada, kar zagotavlja, da agenti ostanejo znotraj odobrenih meja, ne glede na manipulirana navodila. To se neposredno nanaša na širšo razpravo o načrtovanje agentov za odpornost proti injiciranju pozivov.
Zahteve za revizijo skladnosti: Varnostne ekipe potrebujejo preglednost in revizijske sledi za vse omrežne interakcije agentov. Filtriranje odhodnega prometa na podlagi domen zagotavlja celovito beleženje in preglednost nadzora dostopa, kar je ključnega pomena za spremljanje varnosti in revizijske postopke.

Poglobljen pregled arhitekture: Varovanje AgentCore z AWS Network Firewall

Rešitev vključuje namestitev AgentCore Browser znotraj zasebnega podomrežja, izoliranega od neposrednega dostopa do interneta. Ves odhodni promet iz AI agenta se nato natančno usmerja skozi AWS Network Firewall. Ta požarni zid deluje kot osrednja kontrolna točka, ki pregleduje glave TLS Server Name Indication (SNI), da prepozna ciljno domeno in uveljavi vnaprej določena pravila filtriranja. Integracija omogoča tudi spremljanje dejanj Network Firewall prek metrik Amazon CloudWatch, kar zagotavlja dragocene vpoglede v vzorce prometa in blokirane poskuse.

Komponente rešitve:

Komponenta	Funkcija	Varnostna korist
Zasebno podomrežje	Gostuje primerke AgentCore Browser, brez neposrednih javnih IP naslovov.	Izolira agente od javnega interneta, zmanjšuje izpostavljenost.
Javno podomrežje	Vsebuje NAT Gateway za odhodno povezljivost.	Omogoča odhodni dostop, ne da bi neposredno izpostavljal primerke agentov.
Podomrežje požarnega zidu	Namensko podomrežje za končno točko Network Firewall.	Centralizira pregled prometa, uveljavlja varnostne politike.
AWS Network Firewall	Pregleduje glave TLS SNI, uporablja pravila filtriranja, beleži promet.	Nadzor odhodnega prometa na podlagi domen, zaščita pred botneti/zlonamerno programsko opremo, revizijske sledi.
Usmerjevalne tabele	Usmerja pretok prometa skozi požarni zid.	Zagotavlja, da ves odhodni in povratni promet poteka skozi požarni zid.

Razložen pretok prometa:

AI agent, ki deluje v Amazon Bedrock AgentCore, prikliče orodje AgentCore Browser.
AgentCore Browser sproži zahtevo HTTPS iz svojega zasebnega podomrežja.
Usmerjevalna tabela zasebnega podomrežja usmeri ta promet proti NAT Gatewayu v javnem podomrežju.
NAT Gateway prevede zasebni IP in posreduje zahtevo končni točki Network Firewall.
AWS Network Firewall prestreže promet in pregleda glavo TLS SNI, da določi predvideno ciljno domeno.
Če se domena ujema s pravilom 'seznam dovoljenih', konfiguriranim v požarnem zidu, se promet posreduje Internet Gatewayu.
Internet Gateway nato usmeri odobreni promet na zunanjo spletno destinacijo.
Povratni promet sledi simetrični poti nazaj skozi požarni zid, kar zagotavlja neprekinjen pregled in uveljavljanje politik.

Ključnega pomena je poudariti, da čeprav je filtriranje na podlagi SNI močno za nadzor katerih domen se agenti povezujejo na ravni TLS, je to del širše strategije obrambe v globino. Za celovito filtriranje na ravni DNS in zaščito pred tuneliranjem DNS ali eksfiltracijo se lahko ta arhitektura dopolni z Amazon Route 53 Resolver DNS Firewall.

Implementacija varnega filtriranja domen za vaše AI agente

Vzpostavitev tega robustnega varnostnega položaja za vaše AI agente vključuje nekaj ključnih korakov, ki izkoriščajo celovite infrastrukturne storitve AWS.

Predpogoji za implementacijo:

Preden se poglobite, se prepričajte, da imate:

Aktiven račun AWS z dovoljenji za ustvarjanje virov VPC, Network Firewall in vlog IAM.
AWS Command Line Interface (AWS CLI) različice 2.x, konfiguriran z ustreznimi poverilnicami.
Dostop do Amazon Bedrock AgentCore znotraj vašega računa AWS.
Temeljno razumevanje konceptov omrežja Amazon VPC.

1. korak: Namestitev virov prek CloudFormation

AWS ponuja priročno predlogo CloudFormation za poenostavitev namestitve potrebnih komponent VPC in Network Firewall. Ta predloga nastavi zasebna in javna podomrežja, NAT Gateway, podomrežje požarnega zidu in osnovno usmerjevalno infrastrukturo. Z uporabo tega lahko hitro vzpostavite temeljno omrežno okolje, potrebno za varno delovanje agentov.

2. korak: Pregled vloge za izvajanje IAM

Za pravilno in varno delovanje AgentCore Browser potrebuje vlogo IAM s specifično politiko zaupanja. Ta politika dovoljuje storitvi bedrock-agentcore.amazonaws.com, da prevzame vlogo, s čimer zagotavlja, da ima agent potrebna dovoljenja, ne da bi mu podelila prevelike privilegije.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

3. korak: Konfiguracija seznama dovoljenih AWS Network Firewall

Jedro vaše strategije nadzora domene leži v konfiguraciji skupine pravil s stanjem znotraj AWS Network Firewall. Ta skupina pravil definira vaš seznam dovoljenih – specifične domene, do katerih imajo vaši AI agenti dovoljen dostop. Bistvenega pomena je vključiti vodilno piko (.) v vaše vnose domen, da se ujamejo poddomene, kar zagotavlja celovito pokritost.

Na primer, za dovoljevanje dostopa do Wikipedie in Stack Overflow bi vaša konfiguracija pravil izgledala nekako takole:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Ta konfiguracija zagotavlja, da je samo promet, namenjen tem izrecno dovoljenim domenam, vključno z njihovimi poddomenami, dovoljen skozi požarni zid. Ves drug promet se lahko implicitno zavrne s privzeto politiko zavrnitve.

Onkraj SNI: Pristop obrambe v globino

Čeprav je filtriranje na podlagi SNI zmogljivo, resnična arhitektura ničelnega zaupanja za AI agente zahteva več plasti varnosti. Kot je bilo že omenjeno, združitev AWS Network Firewall z Amazon Route 53 Resolver DNS Firewall dodaja še eno kritično kontrolno točko. To preprečuje agentom, da bi razrešili blokirane domene prek DNS-a, s čimer učinkovito zapre potencialni vektor za obvod, kjer bi se agent lahko poskusil neposredno povezati z naslovom IP, če resolucija domene prav tako ni nadzorovana.

Poleg tega integracija drugih varnostnih storitev, kot je AWS Web Application Firewall (WAF) za pregled prometa HTTP/S (če je promet sčasoma dešifriran za pregled na drugi plasti) in nadzor dostopa na podlagi identitete za priklic agenta, utrjuje vašo varnostni položaj. Ta večplastni pristop je usklajen z najboljšimi praksami za izgradnjo arhitekture ničelnega zaupanja za zaupne tovarne AI.

Zaključek: Omogočanje varne namestitve AI agentov

Zmožnost nadzora, do katerih domen lahko dostopajo vaši AI agenti, ni le funkcija; je temeljna varnostna zahteva za uvedbo AI v podjetjih. Z implementacijo AWS Network Firewall z Amazon Bedrock AgentCore organizacije pridobijo natančen nadzor nad odhodnim prometom agentov, zmanjšajo pomembna varnostna tveganja, kot so eksfiltracija podatkov in injiciranje pozivov, ter izpolnjujejo stroge obveznosti skladnosti.

Ker AI agenti postajajo bolj sofisticirani in integrirani v kritične poslovne procese, postane robusten varnostni okvir nepogrešljiv. Ta rešitev podjetjem ponuja jasno pot za izkoriščanje moči AI agentov ob ohranjanju nadzora, preglednosti in neokrnjenega varnostnega položaja. Sprejemanje takšnih arhitekturnih vzorcev je ključnega pomena za [operacionalizacijo agentne AI, 1. del: vodnik za deležnike](/sl/operationalizing-agentic-ai-part-1: a-stakeholders-guide) in spodbujanje varne, inovativne prihodnosti.