Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Kontrola domena za AI agente: Osiguravanje veb pristupa pomoću AWS Network Firewall

Zaštita AI agenata: Zašto je kontrola domena najvažnija

Pojavom AI agenata sposobnih za pretraživanje interneta započela je nova era mogućnosti, od automatizacije istraživanja do prikupljanja podataka u realnom vremenu. Ovi moćni alati obećavaju transformaciju poslovanja preduzeća, ali njihova sposobnost pristupa otvorenom internetu takođe uvodi značajne bezbednosne izazove i izazove usklađenosti. Neograničen pristup internetu za AI agenta je sličan davanju korporativne kreditne kartice zaposlenom bez ograničenja potrošnje – potencijal za zloupotrebu, slučajno izlaganje podataka ili zlonamernu eksploataciju je ogroman. Neizbežno se postavljaju pitanja: Šta ako agent pristupi neautorizovanim veb sajtovima? Da li bi osetljivi podaci mogli biti eksfiltrirani na spoljne domene?

Code Velocity je na čelu istraživanja ovih kritičnih pitanja, a danas se bavimo robusnim rešenjem koje nudi AWS kako bismo direktno rešili ove probleme. Korišćenjem Amazon Bedrock AgentCore zajedno sa AWS Network Firewall, organizacije mogu implementirati strogo filtriranje zasnovano na domenima, osiguravajući da AI agenti komuniciraju samo sa odobrenim veb resursima. Ovaj pristup nije samo najbolja praksa; to je osnovni zahtev za odgovorno raspoređivanje AI agenata u bilo kom poslovnom okruženju.

Rešavanje bezbednosnih zahteva preduzeća kontrolom odlaznog saobraćaja AI agenata

Za organizacije, posebno one u regulisanim industrijama, implementacija AI agenata dolazi sa strogim setom bezbednosnih zahteva. Mrežna izolacija i kontrola odlaznog saobraćaja se dosledno ističu tokom bezbednosnih provera, zahtevajući detaljna objašnjenja o tome kako se saobraćaj agenta upravlja i revidira. Potreba za uverenjima da krajnje tačke agenta ostaju privatne i da su robusne bezbednosne kontrole poput veb aplikacionih firewall-ova uspostavljene je nešto o čemu se ne može pregovarati.

Ključni zahtevi preduzeća koji su rešeni:

Regulisane industrije: Klijenti u finansijama, zdravstvu i državnom sektoru zahtevaju dokaz da operacije AI agenata poštuju stroge propise o upravljanju podacima i privatnosti. Neautorizovan pristup domenima može dovesti do ozbiljnih kršenja usklađenosti.
SaaS provajderi sa više zakupaca: Za SaaS kompanije koje razvijaju mogućnosti AI agenata, mrežne politike po korisniku su ključne. Klijent A možda zahteva pristup određenim domenima koje klijent B eksplicitno blokira. Ovo zahteva granularnu kontrolu, uključujući blokiranje specifično za izvršavanje, regionalna ograničenja i pravila zasnovana na kategorijama (npr. onemogućavanje sajtova za kockanje ili društvene medije).
Ublažavanje bezbednosnih ranjivosti: Sve veća briga je podložnost AI agenata napadima ubrizgavanjem promptova. Zlonamerni promptovi mogu prevariti agente da se navigiraju na neželjene ili štetne sajtove. Prilagođene liste dozvoljenih URL-ova drastično smanjuju ovu površinu napada, osiguravajući da agenti ostanu unutar odobrenih granica, bez obzira na manipulisane instrukcije. Ovo se direktno odnosi na širu diskusiju o dizajniranju-agenata-da-odole-ubrizgavanju-promptova.
Zahtevi za reviziju usklađenosti: Bezbednosnim timovima je potrebna vidljivost i tragovi revizije za sve mrežne interakcije agenta. Filtriranje odlaznog saobraćaja zasnovano na domenima pruža sveobuhvatno beleženje i vidljivost kontrole pristupa, ključno za praćenje bezbednosti i procese revizije.

Dubinska analiza arhitekture: Osiguravanje AgentCore-a pomoću AWS Network Firewall

Rešenje uključuje raspoređivanje AgentCore Browser-a unutar privatne podmreže, izolovane od direktnog pristupa internetu. Sav odlazni saobraćaj od AI agenta se zatim pedantno usmerava kroz AWS Network Firewall. Ovaj firewall deluje kao centralna tačka inspekcije, proveravajući TLS Server Name Indication (SNI) hedere kako bi identifikovao odredišni domen i primenio unapred definisana pravila filtriranja. Integracija takođe omogućava praćenje akcija Network Firewall-a putem Amazon CloudWatch metrika, pružajući vredne uvide u obrasce saobraćaja i blokirane pokušaje.

Komponente rešenja:

Komponenta	Funkcija	Bezbednosna korist
Privatna podmreža	Hostuje instance AgentCore Browser-a, bez direktnih javnih IP adresa.	Izoluje agente od javnog interneta, smanjujući izloženost.
Javna podmreža	Sadrži NAT Gateway za odlaznu povezanost.	Omogućava odlazni pristup bez direktnog izlaganja instanci agenta.
Firewall podmreža	Namenska podmreža za krajnju tačku Network Firewall-a.	Centralizuje inspekciju saobraćaja, primenjuje bezbednosne politike.
AWS Network Firewall	Pregleda TLS SNI hedere, primenjuje pravila filtriranja, beleži saobraćaj.	Kontrola odlaznog saobraćaja zasnovana na domenima, zaštita od botneta/malvera, tragovi revizije.
Tabele rutiranja	Usmjerava tok saobraćaja kroz firewall.	Osigurava da sav odlazni i povratni saobraćaj prolazi kroz firewall.

Objašnjen tok saobraćaja:

AI agent koji radi u Amazon Bedrock AgentCore poziva alatku AgentCore Browser.
AgentCore Browser inicira HTTPS zahtev iz svoje privatne podmreže.
Tabela rutiranja privatne podmreže usmerava ovaj saobraćaj ka NAT Gateway-u u javnoj podmreži.
NAT Gateway prevodi privatni IP i prosleđuje zahtev na krajnju tačku Network Firewall-a.
AWS Network Firewall presreće saobraćaj i pregleda TLS SNI heder kako bi odredio željeni odredišni domen.
Ako se domen podudara sa pravilom 'liste dozvoljenih' (allowlist) konfigurisanim u firewall-u, saobraćaj se prosleđuje na Internet Gateway.
Internet Gateway zatim usmerava odobreni saobraćaj ka spoljnoj veb destinaciji.
Povratni saobraćaj sledi simetričnu putanju nazad kroz firewall, osiguravajući kontinuiranu inspekciju i primenu politike.

Ključno je napomenuti da, iako je SNI-bazirano filtriranje moćno za kontrolu kojim domenima se agenti povezuju na TLS sloju, ono je deo šire strategije dubinske odbrane. Za sveobuhvatno filtriranje na DNS nivou i zaštitu od DNS tuneliranja ili eksfiltracije, ova arhitektura se može dopuniti sa Amazon Route 53 Resolver DNS Firewall.

Implementacija sigurnog filtriranja domena za vaše AI agente

Postavljanje ove robusne bezbednosne pozicije za vaše AI agente uključuje nekoliko ključnih koraka, koristeći sveobuhvatne infrastrukturne usluge AWS-a.

Preduslovi za implementaciju:

Pre nego što počnete, uverite se da imate:

Aktivan AWS nalog sa dozvolama za kreiranje VPC resursa, Network Firewall-a i IAM uloga.
AWS Command Line Interface (AWS CLI) verziju 2.x konfigurisanu sa odgovarajućim akreditivima.
Pristup Amazon Bedrock AgentCore-u unutar vašeg AWS naloga.
Osnovno razumevanje koncepta Amazon VPC umrežavanja.

Korak 1: Raspoređivanje resursa putem CloudFormation-a

AWS pruža pogodan CloudFormation šablon za pojednostavljenje raspoređivanja neophodnih VPC i Network Firewall komponenti. Ovaj šablon postavlja privatne i javne podmreže, NAT Gateway, firewall podmrežu i osnovnu infrastrukturu rutiranja. Korišćenjem ovoga, možete brzo uspostaviti osnovno mrežno okruženje potrebno za sigurne operacije agenta.

Korak 2: Pregled IAM izvršne uloge

Da bi AgentCore Browser funkcionisao ispravno i sigurno, potrebna mu je IAM uloga sa specifičnom politikom poverenja. Ova politika dozvoljava servisu bedrock-agentcore.amazonaws.com da preuzme ulogu, osiguravajući da agent ima potrebne dozvole bez prekomernog davanja privilegija.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Korak 3: Konfigurisanje liste dozvoljenih (Allowlist) u AWS Network Firewall

Srž vaše strategije kontrole domena leži u konfigurisanju stateful grupe pravila unutar AWS Network Firewall. Ova grupa pravila definiše vašu listu dozvoljenih (allowlist) – specifične domene kojima je vašim AI agentima dozvoljen pristup. Ključno je uključiti vodeću tačku (.) u unose domena kako bi se podudarali sa poddomenima, osiguravajući sveobuhvatnu pokrivenost.

Na primer, da biste omogućili pristup Wikipediji i Stack Overflow-u, vaša konfiguracija pravila bi izgledala otprilike ovako:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Ova konfiguracija osigurava da je samo saobraćaj namenjen ovim eksplicitno dozvoljenim domenima, uključujući njihove poddomene, dozvoljen kroz firewall. Sav ostali saobraćaj može biti implicitno odbijen podrazumevanom politikom odbijanja.

Iza SNI: Pristup dubinske odbrane

Iako je SNI-bazirano filtriranje moćno, prava arhitektura nultog poverenja za AI agente zahteva više slojeva bezbednosti. Kao što je pomenuto, uparivanje AWS Network Firewall-a sa Amazon Route 53 Resolver DNS Firewall-om dodaje još jednu kritičnu kontrolnu tačku. Ovo sprečava agente da rešavaju blokirane domene putem DNS-a, efikasno zatvarajući potencijalni vektor zaobilaženja gde bi agent mogao pokušati da se direktno poveže na IP adresu ako rezolucija domena takođe nije kontrolisana.

Nadalje, integracija drugih bezbednosnih usluga, kao što je AWS Web Application Firewall (WAF) za inspekciju HTTP/S saobraćaja (ako je saobraćaj na kraju dešifrovan za inspekciju na drugom sloju) i kontrole pristupa zasnovane na identitetu za pozivanje agenta, učvršćuje vašu bezbednosnu poziciju. Ovaj višeslojni pristup usklađen je sa najboljim praksama za izgradnju-arhitekture-nultog-poverenja-za-poverljive-ai-fabrike.

Zaključak: Omogućavanje sigurnog raspoređivanja AI agenata

Mogućnost kontrole kojima domenima vaši AI agenti mogu pristupiti nije samo funkcija; to je osnovni bezbednosni zahtev za usvajanje AI-ja u preduzećima. Implementacijom AWS Network Firewall-a sa Amazon Bedrock AgentCore, organizacije dobijaju granularnu kontrolu nad odlaznim saobraćajem agenta, ublažavaju značajne bezbednosne rizike kao što su eksfiltracija podataka i ubrizgavanje promptova, i ispunjavaju stroge obaveze usklađenosti.

Kako AI agenti postaju sofisticiraniji i integrisaniji u kritične poslovne procese, robustan bezbednosni okvir postaje neophodan. Ovo rešenje pruža jasan put za preduzeća da iskoriste moć AI agenata, istovremeno održavajući kontrolu, vidljivost i beskompromisnu bezbednosnu poziciju. Prihvatanje takvih arhitektonskih obrazaca je ključno za operacionalizaciju-agenskog-ai-deo-1-vodič-za-zainteresovane-strane i podsticanje sigurne, inovativne budućnosti.