Hapi 3: Konfigurimi i Listës së Lejuar të AWS Network Firewall
Bërthama e strategjisë suaj të kontrollit të domain-it qëndron në konfigurimin e një grupi rregullash "stateful" brenda AWS Network Firewall. Ky grup rregullash definon 'allowlist'-ën tuaj – domain-et specifike që agjentët tuaj AI lejohen t'i qasen. Është thelbësore të përfshini një pikë kryesore (.) në hyrjet e domain-it tuaj për të përputhur 'subdomains', duke siguruar mbulim gjithëpërfshirës.
Për shembull, për të lejuar qasjen në Wikipedia dhe Stack Overflow, konfigurimi i rregullave tuaja do të dukej diçka e tillë:
{
"RulesSource": {
"RulesSourceList": {
"Targets": [
".wikipedia.org",
".stackoverflow.com"
],
"TargetType": "TLS_SNI",
"GeneratedRulesType": "ALLOWLIST"
}
}
}
Ky konfigurim siguron që vetëm trafiku i destinuar për këto domain-e të lejuara shprehimisht, duke përfshirë 'subdomains' e tyre, lejohet të kalojë përmes firewall-it. I gjithë trafiku tjetër mund të refuzohet në mënyrë të nënkuptuar nga një politikë 'default-deny'.
Përtej SNI: Një Qasje 'Defense-in-Depth'
Ndërsa filtrimi i bazuar në SNI është i fuqishëm, një arkitekturë e vërtetë 'zero-trust' për agjentët AI kërkon shtresa të shumta sigurie. Siç u përmend, bashkimi i AWS Network Firewall me Amazon Route 53 Resolver DNS Firewall shton një tjetër pikë kontrolli kritike. Kjo parandalon agjentët të zgjidhin domain-e të bllokuara përmes DNS, duke mbyllur në mënyrë efektive një vektor të mundshëm anashkalimi ku një agjent mund të përpiqet të lidhet drejtpërdrejt me një adresë IP nëse zgjidhja e domain-it nuk kontrollohet gjithashtu.
Për më tepër, integrimi i shërbimeve të tjera të sigurisë, si AWS Web Application Firewall (WAF) për inspektimin e trafikut HTTP/S (nëse trafiku eventualisht çkriptohet për inspektim në një shtresë tjetër) dhe kontrollet e qasjes të bazuara në identitet për thirrjen e agjentëve, forcon pozicionin tuaj të sigurisë. Kjo qasje me shumë shtresa përputhet me praktikat më të mira për ndertimin-e-nje-arkitekture-zero-besimi-per-fabrika-ai-konfidenciale.
Përfundim: Fuqizimi i Vendosjes së Sigurt të Agjentëve AI
Aftësia për të kontrolluar cilët domain-e mund të kenë qasje agjentët tuaj AI nuk është thjesht një veçori; është një kërkesë themelore sigurie për adoptimin e AI-së në ndërmarrje. Duke implementuar AWS Network Firewall me Amazon Bedrock AgentCore, organizatat fitojnë kontroll granular mbi trafikun dalës të agjentëve, zbusin rreziqe të rëndësishme sigurie si nxjerrja e të dhënave dhe 'prompt injection', dhe plotësojnë detyrimet strikte të pajtueshmërisë.
Ndërsa agjentët AI bëhen më të sofistikuar dhe të integruar në proceset kritike të biznesit, një kuadër i fortë sigurie bëhet i domosdoshëm. Kjo zgjidhje ofron një rrugë të qartë për bizneset që të shfrytëzojnë fuqinë e agjentëve AI duke ruajtur kontrollin, shikueshmërinë dhe një pozicion sigurie të pakompromis. Përqafimi i modeleve të tilla arkitekturore është kyç për operacionalizimin-e-ai-agjentik-pjesa-1-nje-udhëzues-per-palet-interesit dhe nxitjen e një të ardhmeje të sigurt dhe inovative.
Burimi origjinal
https://aws.amazon.com/blogs/machine-learning/control-which-domains-your-ai-agents-can-access/Pyetjet e bëra shpesh
Why is domain-level control essential for AI agents browsing the internet?
How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?
What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?
Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?
What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?
Qëndroni të përditësuar
Merrni lajmet më të fundit të AI në email.