Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

การควบคุมโดเมนของ AI Agent: การรักษาความปลอดภัยการเข้าถึงเว็บด้วย AWS Network Firewall

การปกป้องเอเจนต์ AI: เหตุใดการควบคุมโดเมนจึงสำคัญยิ่ง

การถือกำเนิดของเอเจนต์ AI ที่สามารถท่องเว็บได้เปิดศักราชใหม่ของความเป็นไปได้ ตั้งแต่การวิจัยอัตโนมัติไปจนถึงการรวบรวมข้อมูลแบบเรียลไทม์ เครื่องมืออันทรงพลังเหล่านี้สัญญาว่าจะพลิกโฉมการดำเนินงานขององค์กร แต่ความสามารถในการเข้าถึงอินเทอร์เน็ตแบบเปิดก็ก่อให้เกิดความท้าทายด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดที่สำคัญ การเข้าถึงอินเทอร์เน็ตโดยไม่มีข้อจำกัดสำหรับเอเจนต์ AI ก็เหมือนกับการให้บัตรเครดิตบริษัทแก่พนักงานโดยไม่มีวงเงินใช้จ่าย ซึ่งมีศักยภาพในการใช้ในทางที่ผิด การเปิดเผยข้อมูลโดยไม่ตั้งใจ หรือการถูกใช้ประโยชน์จากผู้ไม่หวังดี คำถามที่หลีกเลี่ยงไม่ได้คือ: จะเกิดอะไรขึ้นหากเอเจนต์เข้าถึงเว็บไซต์ที่ไม่ได้รับอนุญาต? ข้อมูลที่ละเอียดอ่อนอาจรั่วไหลไปยังโดเมนภายนอกได้หรือไม่?

Code Velocity อยู่ในแนวหน้าของการสำรวจปัญหาสำคัญเหล่านี้ และในวันนี้เราจะเจาะลึกโซลูชันที่แข็งแกร่งที่ AWS นำเสนอเพื่อแก้ไขข้อกังวลเหล่านี้โดยตรง ด้วยการใช้ Amazon Bedrock AgentCore ร่วมกับ AWS Network Firewall องค์กรต่างๆ สามารถใช้การกรองตามโดเมนที่เข้มงวด ทำให้มั่นใจว่าเอเจนต์ AI จะโต้ตอบกับทรัพยากรเว็บที่ได้รับอนุมัติเท่านั้น แนวทางนี้ไม่ใช่แค่แนวทางปฏิบัติที่ดีที่สุดเท่านั้น แต่ยังเป็นข้อกำหนดพื้นฐานสำหรับการปรับใช้เอเจนต์ AI อย่างรับผิดชอบในสภาพแวดล้อมขององค์กรทุกประเภท

การตอบสนองความต้องการด้านความปลอดภัยขององค์กรด้วยการควบคุมการส่งออกข้อมูลของเอเจนต์ AI

สำหรับองค์กร โดยเฉพาะอย่างยิ่งในอุตสาหกรรมที่มีการควบคุม การปรับใช้เอเจนต์ AI มาพร้อมกับชุดข้อกำหนดด้านความปลอดภัยที่เข้มงวด การแยกเครือข่ายและการควบคุมการส่งออกข้อมูลถูกเน้นย้ำอย่างต่อเนื่องในระหว่างการตรวจสอบความปลอดภัย ซึ่งจำเป็นต้องมีการอธิบายรายละเอียดว่าทราฟฟิกของเอเจนต์ได้รับการจัดการและตรวจสอบอย่างไร ความต้องการในการรับประกันว่าปลายทางรันไทม์ของเอเจนต์ยังคงเป็นส่วนตัว และมีการควบคุมความปลอดภัยที่แข็งแกร่ง เช่น ไฟร์วอลล์แอปพลิเคชันเว็บนั้นเป็นสิ่งที่หลีกเลี่ยงไม่ได้

ข้อกำหนดสำคัญขององค์กรที่ได้รับการแก้ไข:

อุตสาหกรรมที่มีการควบคุม: ลูกค้าในภาคการเงิน การดูแลสุขภาพ และภาครัฐต้องการหลักฐานว่าการดำเนินงานของเอเจนต์ AI ปฏิบัติตามกฎระเบียบการกำกับดูแลข้อมูลและความเป็นส่วนตัวที่เข้มงวด การเข้าถึงโดเมนที่ไม่ได้รับอนุญาตอาจนำไปสู่การละเมิดการปฏิบัติตามข้อกำหนดอย่างรุนแรง
ผู้ให้บริการ SaaS แบบ multi-tenant: สำหรับบริษัท SaaS ที่สร้างความสามารถของเอเจนต์ AI นโยบายเครือข่ายเฉพาะลูกค้าเป็นสิ่งจำเป็น ลูกค้า A อาจต้องการการเข้าถึงโดเมนเฉพาะที่ลูกค้า B บล็อกอย่างชัดเจน ซึ่งจำเป็นต้องมีการควบคุมที่ละเอียดอ่อน รวมถึงการบล็อกเฉพาะการดำเนินการ ข้อจำกัดตามภูมิภาค และกฎตามหมวดหมู่ (เช่น การปิดใช้งานเว็บไซต์การพนันหรือโซเชียลมีเดีย)
การลดช่องโหว่ด้านความปลอดภัย: ข้อกังวลที่เพิ่มขึ้นคือความเสี่ยงที่เอเจนต์ AI จะถูกโจมตีแบบ prompt injection prompt ที่เป็นอันตรายสามารถหลอกให้เอเจนต์นำทางไปยังไซต์ที่ไม่ตั้งใจหรือเป็นอันตรายได้ การใช้ allowlist URL ที่กำหนดเองช่วยลดพื้นที่การโจมตีนี้ได้อย่างมาก ทำให้มั่นใจว่าเอเจนต์ยังคงอยู่ในขอบเขตที่ได้รับอนุมัติ โดยไม่คำนึงถึงคำแนะนำที่ถูกเปลี่ยนแปลง สิ่งนี้เกี่ยวข้องโดยตรงกับการอภิปรายในวงกว้างเกี่ยวกับการ ออกแบบเอเจนต์เพื่อต้านทานการโจมตีแบบ prompt injection
ข้อกำหนดการตรวจสอบการปฏิบัติตามข้อกำหนด: ทีมรักษาความปลอดภัยต้องการการมองเห็นและบันทึกการตรวจสอบสำหรับการโต้ตอบเครือข่ายของเอเจนต์ทั้งหมด การกรองการส่งออกข้อมูลตามโดเมนให้การควบคุมที่โปร่งใสและตรวจสอบได้ ซึ่งเป็นสิ่งสำคัญสำหรับการตรวจสอบความปลอดภัยและกระบวนการตรวจสอบ

เจาะลึกสถาปัตยกรรม: การรักษาความปลอดภัย AgentCore ด้วย AWS Network Firewall

โซลูชันนี้เกี่ยวข้องกับการปรับใช้ AgentCore Browser ภายใน private subnet ซึ่งแยกจากอินเทอร์เน็ตโดยตรง การรับส่งข้อมูลขาออกทั้งหมดจากเอเจนต์ AI จะถูกกำหนดเส้นทางอย่างระมัดระวังผ่าน AWS Network Firewall ไฟร์วอลล์นี้ทำหน้าที่เป็นจุดตรวจสอบกลาง โดยตรวจสอบส่วนหัว TLS Server Name Indication (SNI) เพื่อระบุโดเมนปลายทางและบังคับใช้กฎการกรองที่กำหนดไว้ล่วงหน้า การรวมนี้ยังช่วยให้สามารถตรวจสอบการกระทำของ Network Firewall ผ่านเมตริกของ Amazon CloudWatch ซึ่งให้ข้อมูลเชิงลึกที่มีค่าเกี่ยวกับรูปแบบทราฟฟิกและความพยายามที่ถูกบล็อก

ส่วนประกอบของโซลูชัน:

ส่วนประกอบ	ฟังก์ชัน	ประโยชน์ด้านความปลอดภัย
Private Subnet	โฮสต์อินสแตนซ์ AgentCore Browser ไม่มีที่อยู่ IP สาธารณะโดยตรง	แยกเอเจนต์ออกจากอินเทอร์เน็ตสาธารณะ ลดการเปิดเผย
Public Subnet	มี NAT Gateway สำหรับการเชื่อมต่อขาออก	เปิดใช้งานการเข้าถึงขาออกโดยไม่ต้องเปิดเผยอินสแตนซ์ของเอเจนต์โดยตรง
Firewall Subnet	Subnet เฉพาะสำหรับปลายทาง Network Firewall	รวมศูนย์การตรวจสอบทราฟฟิก บังคับใช้นโยบายความปลอดภัย
AWS Network Firewall	ตรวจสอบส่วนหัว TLS SNI, ใช้กฎการกรอง, บันทึกทราฟฟิก	การควบคุมการส่งออกข้อมูลตามโดเมน, การป้องกัน botnet/มัลแวร์, บันทึกการตรวจสอบ
Route Tables	กำหนดเส้นทางการไหลของทราฟฟิกผ่านไฟร์วอลล์	รับประกันว่าทราฟฟิกขาออกและขาเข้าทั้งหมดจะผ่านไฟร์วอลล์

คำอธิบายการไหลของทราฟฟิก:

เอเจนต์ AI ที่ทำงานใน Amazon Bedrock AgentCore เรียกใช้เครื่องมือ AgentCore Browser
AgentCore Browser เริ่มต้นการร้องขอ HTTPS จาก private subnet ของมัน
ตารางเส้นทางของ private subnet จะกำหนดเส้นทางทราฟฟิกนี้ไปยัง NAT Gateway ใน public subnet
NAT Gateway จะแปล IP ส่วนตัวและส่งต่อคำขอไปยังปลายทาง Network Firewall
AWS Network Firewall จะสกัดกั้นทราฟฟิกและตรวจสอบส่วนหัว TLS SNI เพื่อระบุโดเมนปลายทางที่ตั้งใจไว้
หากโดเมนตรงกับกฎ 'allowlist' ที่กำหนดค่าไว้ในไฟร์วอลล์ ทราฟฟิกจะถูกส่งต่อไปยัง Internet Gateway
Internet Gateway จะกำหนดเส้นทางทราฟฟิกที่ได้รับอนุมัติไปยังปลายทางเว็บภายนอก
การรับส่งข้อมูลส่งกลับจะตามเส้นทางสมมาตรผ่านไฟร์วอลล์ เพื่อให้มั่นใจถึงการตรวจสอบอย่างต่อเนื่องและการบังคับใช้นโยบาย

สิ่งสำคัญคือต้องสังเกตว่าแม้การกรองตาม SNI จะมีประสิทธิภาพในการควบคุม โดเมนที่ เอเจนต์เชื่อมต่อที่ชั้น TLS แต่ก็เป็นส่วนหนึ่งของกลยุทธ์การป้องกันแบบเชิงลึกที่กว้างขึ้น สำหรับการกรองระดับ DNS ที่ครอบคลุมและการป้องกัน DNS tunneling หรือ exfiltration สถาปัตยกรรมนี้สามารถเสริมด้วย Amazon Route 53 Resolver DNS Firewall

การใช้การกรองโดเมนที่ปลอดภัยสำหรับเอเจนต์ AI ของคุณ

การตั้งค่าความปลอดภัยที่แข็งแกร่งนี้สำหรับเอเจนต์ AI ของคุณเกี่ยวข้องกับขั้นตอนสำคัญไม่กี่ขั้นตอน โดยใช้ประโยชน์จากบริการโครงสร้างพื้นฐานที่ครอบคลุมของ AWS

ข้อกำหนดเบื้องต้นสำหรับการนำไปใช้งาน:

ก่อนที่จะลงมือทำ ให้ตรวจสอบว่าคุณมีสิ่งต่อไปนี้:

บัญชี AWS ที่ใช้งานอยู่พร้อมสิทธิ์ในการสร้างทรัพยากร VPC, Network Firewall และ IAM roles
AWS Command Line Interface (AWS CLI) เวอร์ชัน 2.x ที่กำหนดค่าด้วยข้อมูลประจำตัวที่เหมาะสม
การเข้าถึง Amazon Bedrock AgentCore ภายในบัญชี AWS ของคุณ
ความเข้าใจพื้นฐานเกี่ยวกับแนวคิดเครือข่ายของ Amazon VPC

ขั้นตอนที่ 1: การปรับใช้ทรัพยากรผ่าน CloudFormation

AWS มีเทมเพลต CloudFormation ที่สะดวกสบายเพื่อปรับปรุงการปรับใช้ส่วนประกอบ VPC และ Network Firewall ที่จำเป็น เทมเพลตนี้ตั้งค่า private และ public subnets, NAT Gateway, firewall subnet และโครงสร้างพื้นฐานการกำหนดเส้นทางหลัก ด้วยการใช้สิ่งนี้ คุณสามารถสร้างสภาพแวดล้อมเครือข่ายพื้นฐานที่จำเป็นสำหรับการดำเนินงานของเอเจนต์ที่ปลอดภัยได้อย่างรวดเร็ว

ขั้นตอนที่ 2: การตรวจสอบบทบาทการดำเนินการของ IAM

เพื่อให้ AgentCore Browser ทำงานได้อย่างถูกต้องและปลอดภัย จำเป็นต้องมี IAM role พร้อม trust policy ที่เฉพาะเจาะจง policy นี้อนุญาตให้บริการ bedrock-agentcore.amazonaws.com สวมบทบาท ทำให้มั่นใจว่าเอเจนต์มีสิทธิ์ที่จำเป็นโดยไม่มีการให้สิทธิ์มากเกินไป

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

ขั้นตอนที่ 3: การกำหนดค่า AWS Network Firewall Allowlist

หัวใจสำคัญของกลยุทธ์การควบคุมโดเมนของคุณอยู่ที่การกำหนดค่า stateful rule group ภายใน AWS Network Firewall rule group นี้กำหนด allowlist ของคุณ ซึ่งเป็นโดเมนเฉพาะที่เอเจนต์ AI ของคุณได้รับอนุญาตให้เข้าถึง สิ่งสำคัญคือต้องรวมจุดนำหน้า (.) ในรายการโดเมนของคุณเพื่อจับคู่ subdomain เพื่อให้ครอบคลุมอย่างสมบูรณ์

ตัวอย่างเช่น ในการอนุญาตการเข้าถึง Wikipedia และ Stack Overflow การกำหนดค่า rule ของคุณจะมีลักษณะดังนี้:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

การกำหนดค่านี้ทำให้มั่นใจว่าเฉพาะทราฟฟิกที่มีปลายทางเป็นโดเมนที่ได้รับอนุญาตอย่างชัดเจนเหล่านี้ รวมถึง subdomain ของพวกเขาเท่านั้นที่ได้รับอนุญาตให้ผ่านไฟร์วอลล์ ทราฟฟิกอื่นๆ ทั้งหมดสามารถถูกปฏิเสธโดยปริยายโดย default-deny policy

นอกเหนือจาก SNI: แนวทางการป้องกันแบบเชิงลึก

แม้ว่าการกรองตาม SNI จะมีประสิทธิภาพ แต่สถาปัตยกรรม Zero Trust ที่แท้จริงสำหรับเอเจนต์ AI ต้องการการรักษาความปลอดภัยหลายชั้น ดังที่กล่าวไปแล้ว การจับคู่ AWS Network Firewall กับ Amazon Route 53 Resolver DNS Firewall จะเพิ่มจุดควบคุมที่สำคัญอีกจุดหนึ่ง สิ่งนี้จะป้องกันไม่ให้เอเจนต์แปลโดเมนที่ถูกบล็อกผ่าน DNS ซึ่งเป็นการปิดช่องทางหลีกเลี่ยงที่เป็นไปได้ที่เอเจนต์อาจพยายามเชื่อมต่อโดยตรงกับที่อยู่ IP หากการแก้ไขโดเมนไม่ได้รับการควบคุมด้วย

นอกจากนี้ การรวมบริการรักษาความปลอดภัยอื่นๆ เช่น AWS Web Application Firewall (WAF) สำหรับการตรวจสอบทราฟฟิก HTTP/S (หากทราฟฟิกถูกถอดรหัสเพื่อตรวจสอบในชั้นอื่นในที่สุด) และการควบคุมการเข้าถึงตามข้อมูลประจำตัวสำหรับการเรียกใช้เอเจนต์จะเสริมสร้างความปลอดภัยของคุณให้แข็งแกร่งยิ่งขึ้น แนวทางหลายชั้นนี้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดสำหรับการ สร้างสถาปัตยกรรม Zero Trust สำหรับโรงงาน AI ที่เป็นความลับ

บทสรุป: เพิ่มขีดความสามารถในการปรับใช้เอเจนต์ AI ที่ปลอดภัย

ความสามารถในการควบคุมว่าเอเจนต์ AI ของคุณสามารถเข้าถึงโดเมนใดได้บ้างไม่ใช่แค่คุณสมบัติเท่านั้น แต่ยังเป็นข้อกำหนดด้านความปลอดภัยพื้นฐานสำหรับการนำ AI มาใช้ในองค์กร ด้วยการใช้ AWS Network Firewall ร่วมกับ Amazon Bedrock AgentCore องค์กรต่างๆ จะได้รับการควบคุมอย่างละเอียดเกี่ยวกับทราฟฟิกขาออกของเอเจนต์ ลดความเสี่ยงด้านความปลอดภัยที่สำคัญ เช่น การรั่วไหลของข้อมูลและการโจมตีแบบ prompt injection และปฏิบัติตามข้อผูกพันด้านการปฏิบัติตามข้อกำหนดที่เข้มงวด

เมื่อเอเจนต์ AI มีความซับซ้อนและรวมเข้ากับกระบวนการทางธุรกิจที่สำคัญมากขึ้น โครงสร้างการรักษาความปลอดภัยที่แข็งแกร่งก็กลายเป็นสิ่งที่ขาดไม่ได้ โซลูชันนี้เป็นเส้นทางที่ชัดเจนสำหรับธุรกิจในการใช้ประโยชน์จากพลังของเอเจนต์ AI ในขณะที่ยังคงรักษาการควบคุม การมองเห็น และความปลอดภัยที่ไม่ถูกบุกรุก การนำรูปแบบสถาปัตยกรรมดังกล่าวมาใช้เป็นกุญแจสำคัญในการ ปฏิบัติการ AI แบบ Agentic ส่วนที่ 1: คู่มือสำหรับผู้มีส่วนได้ส่วนเสีย และส่งเสริมอนาคตที่ปลอดภัยและเป็นนวัตกรรมใหม่