Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

AI-agentdomänkontroll: Säkerställ webbåtkomst med AWS Network Firewall

Skydda AI-agenter: Varför domänkontroll är avgörande

Tillkomsten av AI-agenter som kan surfa på webben har inlett en ny era av möjligheter, från att automatisera forskning till att samla in data i realtid. Dessa kraftfulla verktyg lovar att omvandla företagsverksamheten, men deras förmåga att komma åt det öppna internet introducerar också betydande säkerhets- och efterlevnadsutmaningar. Obegränsad internetåtkomst för en AI-agent är som att ge en anställd ett företagskreditkort utan utgiftsgränser – potentialen för missbruk, oavsiktlig dataexponering eller skadlig exploatering är enorm. Frågor uppstår oundvikligen: Vad händer om agenten kommer åt obehöriga webbplatser? Kan känslig data exfiltreras till externa domäner?

Code Velocity ligger i framkant när det gäller att utforska dessa kritiska frågor, och idag fördjupar vi oss i en robust lösning som erbjuds av AWS för att hantera dessa problem direkt. Genom att utnyttja Amazon Bedrock AgentCore tillsammans med AWS Network Firewall kan organisationer implementera sträng domänbaserad filtrering, vilket säkerställer att AI-agenter endast interagerar med godkända webbresurser. Denna strategi är inte bara en bästa praxis; det är ett grundläggande krav för att driftsätta AI-agenter på ett ansvarsfullt sätt i alla företagsmiljöer.

Hantera företagets säkerhetskrav med utgående kontroll för AI-agenter

För organisationer, särskilt de inom reglerade branscher, kommer driftsättningen av AI-agenter med en rigorös uppsättning säkerhetskrav. Nätverksisolering och utgående kontroll lyfts konsekvent fram under säkerhetsgranskningar, vilket kräver detaljerade förklaringar av hur agenttrafik hanteras och granskas. Behovet av försäkringar om att agenternas körtidsslutpunkter förblir privata och att robusta säkerhetskontroller som webbapplikationsbrandväggar finns på plats är icke-förhandlingsbart.

Viktiga företagskrav som hanteras:

Reglerade branscher: Kunder inom finans, hälsovård och myndigheter kräver bevis på att AI-agenters operationer följer strikta regler för datastyrning och integritet. Obehörig domänåtkomst kan leda till allvarliga efterlevnadsbrott.
Fleranvändar-SaaS-leverantörer: För SaaS-företag som bygger AI-agentfunktioner är nätverkspolicyer per kund avgörande. Kund A kan kräva åtkomst till specifika domäner som Kund B explicit blockerar. Detta kräver granulär kontroll, inklusive exekveringsspecifik blockering, regionala begränsningar och kategoribaserade regler (t.ex. inaktivering av spel- eller sociala medier-webbplatser).
Säkerhetsriskreducering: En växande oro är AI-agenters sårbarhet för promptinjektionsattacker. Skadliga prompter kan lura agenter att navigera till oavsiktliga eller skadliga webbplatser. Anpassade URL-tillåtelselistor minskar drastiskt denna attackyta och säkerställer att agenter förblir inom godkända gränser, oavsett manipulerade instruktioner. Detta är direkt relaterat till den bredare diskussionen om att designa-agenter-för-att-motstå-promptinjektion.
Revisionskrav för efterlevnad: Säkerhetsteam behöver synlighet och revisionsspår för alla agenters nätverksinteraktioner. Domänbaserad utgående filtrering ger omfattande loggning och synlighet för åtkomstkontroll, vilket är avgörande för säkerhetsövervakning och revisionsprocesser.

Arkitektur i detalj: Säkra AgentCore med AWS Network Firewall

Lösningen innebär att AgentCore Browser distribueras inom ett privat subnät, isolerat från direkt internetåtkomst. All utgående trafik från AI-agenten dirigeras sedan noggrant genom en AWS Network Firewall. Denna brandvägg fungerar som den centrala inspektionspunkten, som granskar TLS Server Name Indication (SNI)-huvuden för att identifiera måldomänen och upprätthålla fördefinierade filtreringsregler. Integrationen möjliggör även övervakning av Network Firewall-åtgärder via Amazon CloudWatch-mått, vilket ger värdefulla insikter om trafikmönster och blockerade försök.

Lösningskomponenter:

Komponent	Funktion	Säkerhetsfördel
Private Subnet	Hostar AgentCore Browser-instanser, inga direkta publika IP-adresser.	Isolerar agenter från det publika internet, vilket minskar exponeringen.
Public Subnet	Innehåller NAT Gateway för utgående anslutning.	Möjliggör utgående åtkomst utan att direkt exponera agentinstanser.
Firewall Subnet	Dedikerat subnät för Network Firewall-slutpunkten.	Centraliserar trafikinspektion, upprätthåller säkerhetspolicyer.
AWS Network Firewall	Inspekterar TLS SNI-huvuden, tillämpar filtreringsregler, loggar trafik.	Domänbaserad utgående kontroll, botnet-/skadlig kod-skydd, revisionsspår.
Route Tables	Dirigerar trafikflöde genom brandväggen.	Säkerställer att all utgående och returtrafik passerar brandväggen.

Trafikflödet förklaras:

En AI-agent som körs i Amazon Bedrock AgentCore anropar AgentCore Browser-verktyget.
AgentCore Browser initierar en HTTPS-förfrågan från sitt privata subnät.
Det privata subnätets routingtabell dirigerar denna trafik mot en NAT Gateway i det publika subnätet.
NAT Gateway översätter den privata IP-adressen och vidarebefordrar förfrågan till Network Firewall-slutpunkten.
AWS Network Firewall fångar upp trafiken och inspekterar TLS SNI-huvudet för att fastställa den avsedda måldomänen.
Om domänen matchar en 'tillåtelselista'-regel som konfigurerats i brandväggen, vidarebefordras trafiken till Internet Gateway.
Internet Gateway dirigerar sedan den godkända trafiken till den externa webbdestinationen.
Returtrafiken följer den symmetriska vägen tillbaka genom brandväggen, vilket säkerställer kontinuerlig inspektion och efterlevnad av policyer.

Det är avgörande att notera att även om SNI-baserad filtrering är kraftfull för att kontrollera vilka domäner agenter ansluter till på TLS-nivå, är det en del av en bredare försvarsstrategi. För omfattande DNS-nivåfiltrering och skydd mot DNS-tunneling eller exfiltrering kan denna arkitektur kompletteras med Amazon Route 53 Resolver DNS Firewall.

Implementera säker domänfiltrering för dina AI-agenter

Att sätta upp denna robusta säkerhetsställning för dina AI-agenter involverar några viktiga steg, som utnyttjar AWS:s omfattande infrastrukturtjänster.

Förutsättningar för implementering:

Innan du börjar, se till att du har:

Ett aktivt AWS-konto med behörigheter att skapa VPC-resurser, Network Firewall och IAM-roller.
AWS Command Line Interface (AWS CLI) version 2.x konfigurerad med lämpliga referenser.
Åtkomst till Amazon Bedrock AgentCore inom ditt AWS-konto.
En grundläggande förståelse för Amazon VPC-nätverkskoncept.

Steg 1: Distribuera resurser via CloudFormation

AWS tillhandahåller en bekväm CloudFormation-mall för att effektivisera distributionen av de nödvändiga VPC- och Network Firewall-komponenterna. Denna mall sätter upp de privata och publika subnäten, NAT Gateway, brandväggssubnätet och den centrala routinginfrastrukturen. Genom att använda detta kan du snabbt etablera den grundläggande nätverksmiljö som krävs för säker agentdrift.

Steg 2: Granska IAM-exekveringsrollen

För att AgentCore Browser ska fungera korrekt och säkert krävs en IAM-roll med en specifik förtroendepolicy. Denna policy tillåter tjänsten bedrock-agentcore.amazonaws.com att anta rollen, vilket säkerställer att agenten har de nödvändiga behörigheterna utan att överprivilegiera den.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Steg 3: Konfigurera AWS Network Firewalls tillåtelselista

Kärnan i din domänkontrollstrategi ligger i att konfigurera en tillståndskänslig regelgrupp inom AWS Network Firewall. Denna regelgrupp definierar din tillåtelselista – de specifika domäner som dina AI-agenter får komma åt. Det är viktigt att inkludera en inledande punkt (.) i dina domänposter för att matcha underdomäner, vilket säkerställer omfattande täckning.

För att till exempel tillåta åtkomst till Wikipedia och Stack Overflow, skulle din regelkonfiguration se ut ungefär så här:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Denna konfiguration säkerställer att endast trafik avsedd för dessa explicit tillåtna domäner, inklusive deras underdomäner, tillåts genom brandväggen. All annan trafik kan implicit nekas av en standardpolicy för nekande.

Bortom SNI: En strategi med djupgående försvar

Även om SNI-baserad filtrering är kraftfull, kräver en verklig nolltillitsarkitektur för AI-agenter flera säkerhetslager. Som nämnts lägger parning av AWS Network Firewall med Amazon Route 53 Resolver DNS Firewall till en annan kritisk kontrollpunkt. Detta förhindrar agenter från att lösa blockerade domäner via DNS, vilket effektivt stänger en potentiell förbikopplingsvektor där en agent kan försöka ansluta direkt till en IP-adress om domänupplösningen inte också kontrolleras.

Vidare, att integrera andra säkerhetstjänster, såsom AWS Web Application Firewall (WAF) för HTTP/S-trafikinspektion (om trafiken så småningom är okrypterad för inspektion på ett annat lager) och identitetsbaserade åtkomstkontroller för agentanrop, förstärker din säkerhetsställning. Denna flerskiktade strategi överensstämmer med bästa praxis för att bygga en nolltillitsarkitektur för konfidentiella AI-fabriker.

Slutsats: Möjliggör säker driftsättning av AI-agenter

Förmågan att kontrollera vilka domäner dina AI-agenter kan komma åt är inte bara en funktion; det är ett grundläggande säkerhetskrav för företagets AI-adoption. Genom att implementera AWS Network Firewall med Amazon Bedrock AgentCore får organisationer granulär kontroll över agentens utgående trafik, minskar betydande säkerhetsrisker som dataexfiltrering och promptinjektion, och uppfyller stränga efterlevnadskrav.

När AI-agenter blir mer sofistikerade och integrerade i kritiska affärsprocesser blir ett robust säkerhetsramverk oumbärligt. Denna lösning ger en tydlig väg för företag att utnyttja kraften hos AI-agenter samtidigt som de bibehåller kontroll, synlighet och en kompromisslös säkerhetsställning. Att omfamna sådana arkitektoniska mönster är nyckeln till att operationalisera agentisk AI del 1: en guide för intressenter och att främja en säker, innovativ framtid.