Why is domain-level control essential for AI agents browsing the internet?

AI agents with internet access offer powerful capabilities but also introduce significant security risks. Unrestricted web access can lead to unintended data exfiltration to unauthorized domains, exposure to malicious content, or exploitation through prompt injection attacks that trick agents into navigating to harmful sites. Domain-level control, specifically allowlisting, ensures that agents can only access pre-approved websites, drastically reducing the attack surface. This is critical for maintaining data privacy, adhering to regulatory compliance standards, and safeguarding sensitive enterprise information, especially in regulated industries where strict network egress policies are mandatory.

How does AWS Network Firewall enhance the security posture of AI agents using Amazon Bedrock AgentCore?

AWS Network Firewall acts as a crucial layer of defense for AI agents deployed via Amazon Bedrock AgentCore. By routing all outbound traffic from AgentCore Browser through the firewall, organizations can implement granular domain-based filtering rules. The firewall inspects TLS Server Name Indication (SNI) headers to identify destination domains and applies allowlist or denylist policies. This ensures that agents only connect to approved external resources, logs all connection attempts for auditing, and can block access to known malicious domains or undesirable categories, thereby bolstering the overall security and compliance of AI agent operations.

What are the primary challenges addressed by implementing domain-based egress filtering for AI agents?

Domain-based egress filtering addresses several critical challenges for AI agent deployments. Firstly, it mitigates the risk of data exfiltration and unauthorized access by ensuring agents only interact with trusted domains. Secondly, it helps prevent prompt injection attacks, where malicious prompts could instruct an agent to visit harmful or unintended sites, by enforcing an allowlist of approved URLs. Thirdly, it meets stringent enterprise security and compliance requirements, particularly in regulated sectors, by providing transparent control and auditability of agent network interactions. Finally, for multi-tenant SaaS providers, it allows for customized, per-customer network policies, enabling specific domain restrictions based on individual client needs.

Can SNI-based domain filtering completely prevent all unauthorized connections by AI agents, and if not, what are the limitations?

While SNI-based domain filtering is highly effective for controlling web access at the TLS layer, it does have a limitation: it relies on the Server Name Indication field during the TLS handshake. An advanced attacker or a sophisticated agent could potentially resolve a blocked domain's IP address through an uninspected DNS query and attempt to connect directly via IP, bypassing SNI inspection. To address this, a defense-in-depth strategy is recommended. This involves pairing SNI filtering with DNS-level controls, such as Amazon Route 53 Resolver DNS Firewall, which can block DNS queries for unauthorized domains and prevent DNS tunneling, ensuring comprehensive egress control.

What is the typical traffic flow for an AI agent's web request when using AWS Network Firewall for domain control?

When an AI agent within Amazon Bedrock AgentCore initiates a web request, the traffic flow is meticulously controlled. First, the AgentCore Browser, residing in a private subnet, attempts to establish an HTTPS connection. This request is routed to a NAT Gateway in a public subnet, which then forwards it to the Network Firewall endpoint. The AWS Network Firewall inspects the TLS SNI header to identify the target domain. If the domain is on the allowlist, the firewall permits the traffic to pass to an Internet Gateway, which then routes it to the external destination. All return traffic follows a symmetric path back through the firewall, ensuring continuous inspection and adherence to security policies.

Kiểm soát Miền của Đặc vụ AI: Bảo mật Truy cập Web bằng AWS Network Firewall

Bảo vệ Đặc vụ AI: Tại sao kiểm soát miền lại tối quan trọng

Sự xuất hiện của các đặc vụ AI có khả năng duyệt web đã mở ra một kỷ nguyên mới với nhiều khả năng, từ tự động hóa nghiên cứu đến thu thập dữ liệu theo thời gian thực. Những công cụ mạnh mẽ này hứa hẹn sẽ thay đổi hoạt động của doanh nghiệp, nhưng khả năng truy cập internet mở của chúng cũng đặt ra những thách thức đáng kể về bảo mật và tuân thủ. Việc một đặc vụ AI có quyền truy cập internet không hạn chế giống như việc cấp cho một nhân viên thẻ tín dụng của công ty mà không có giới hạn chi tiêu – tiềm năng lạm dụng, rò rỉ dữ liệu ngoài ý muốn hoặc khai thác độc hại là vô cùng lớn. Các câu hỏi chắc chắn sẽ nảy sinh: Điều gì sẽ xảy ra nếu đặc vụ truy cập các trang web trái phép? Dữ liệu nhạy cảm có thể bị rò rỉ ra các miền bên ngoài không?

Code Velocity đi đầu trong việc khám phá những vấn đề quan trọng này, và hôm nay chúng tôi sẽ đi sâu vào một giải pháp mạnh mẽ được AWS cung cấp để giải quyết trực tiếp những lo ngại này. Bằng cách tận dụng Amazon Bedrock AgentCore cùng với AWS Network Firewall, các tổ chức có thể triển khai tính năng lọc nghiêm ngặt dựa trên miền, đảm bảo các đặc vụ AI chỉ tương tác với các tài nguyên web đã được phê duyệt. Cách tiếp cận này không chỉ là một phương pháp hay nhất; nó là một yêu cầu cơ bản để triển khai các đặc vụ AI một cách có trách nhiệm trong bất kỳ môi trường doanh nghiệp nào.

Giải quyết các yêu cầu bảo mật doanh nghiệp bằng kiểm soát truy xuất của đặc vụ AI

Đối với các tổ chức, đặc biệt là những tổ chức trong các ngành công nghiệp được quản lý, việc triển khai đặc vụ AI đi kèm với một bộ yêu cầu bảo mật nghiêm ngặt. Việc cô lập mạng và kiểm soát truy xuất luôn được nhấn mạnh trong các đánh giá bảo mật, đòi hỏi giải thích chi tiết về cách lưu lượng của đặc vụ được quản lý và kiểm tra. Nhu cầu đảm bảo rằng các điểm cuối thời gian chạy của đặc vụ vẫn riêng tư và các kiểm soát bảo mật mạnh mẽ như tường lửa ứng dụng web được triển khai là không thể thương lượng.

Các yêu cầu doanh nghiệp chính được giải quyết:

Các ngành công nghiệp được quản lý: Khách hàng trong lĩnh vực tài chính, y tế và chính phủ yêu cầu bằng chứng rằng hoạt động của đặc vụ AI tuân thủ các quy định nghiêm ngặt về quản trị dữ liệu và quyền riêng tư. Truy cập miền trái phép có thể dẫn đến vi phạm tuân thủ nghiêm trọng.
Nhà cung cấp SaaS đa người thuê: Đối với các công ty SaaS xây dựng khả năng đặc vụ AI, các chính sách mạng cho từng khách hàng là rất cần thiết. Khách hàng A có thể yêu cầu truy cập vào các miền cụ thể mà Khách hàng B chặn rõ ràng. Điều này đòi hỏi kiểm soát chi tiết, bao gồm chặn theo thực thi cụ thể, hạn chế khu vực và các quy tắc dựa trên danh mục (ví dụ: tắt các trang web cờ bạc hoặc mạng xã hội).
Giảm thiểu lỗ hổng bảo mật: Một mối lo ngại ngày càng tăng là tính dễ bị tổn thương của các đặc vụ AI trước các cuộc tấn công prompt injection. Các lời nhắc độc hại có thể lừa đặc vụ truy cập vào các trang web không mong muốn hoặc có hại. Danh sách cho phép URL tùy chỉnh giảm đáng kể bề mặt tấn công này, đảm bảo các đặc vụ vẫn nằm trong các giới hạn đã được phê duyệt, bất kể các hướng dẫn bị thao túng. Điều này liên quan trực tiếp đến cuộc thảo luận rộng hơn về thiết kế đặc vụ chống lại prompt injection.
Yêu cầu kiểm toán tuân thủ: Các nhóm bảo mật cần khả năng hiển thị và nhật ký kiểm toán cho tất cả các tương tác mạng của đặc vụ. Lọc truy xuất dựa trên miền cung cấp khả năng ghi nhật ký toàn diện và hiển thị kiểm soát truy cập, rất quan trọng cho việc giám sát bảo mật và các quy trình kiểm toán.

Đi sâu vào kiến trúc: Bảo mật AgentCore bằng AWS Network Firewall

Giải pháp này liên quan đến việc triển khai AgentCore Browser trong một mạng con riêng (private subnet), được cô lập khỏi quyền truy cập internet trực tiếp. Tất cả lưu lượng truy xuất từ đặc vụ AI sau đó được định tuyến tỉ mỉ qua AWS Network Firewall. Tường lửa này hoạt động như điểm kiểm tra trung tâm, kiểm tra các tiêu đề TLS Server Name Indication (SNI) để xác định miền đích và thực thi các quy tắc lọc được xác định trước. Việc tích hợp cũng cho phép giám sát các hành động của Network Firewall thông qua các chỉ số Amazon CloudWatch, cung cấp thông tin chi tiết có giá trị về các mẫu lưu lượng và các lần thử bị chặn.

Các thành phần giải pháp:

Thành phần	Chức năng	Lợi ích bảo mật
Mạng con riêng	Chứa các phiên bản AgentCore Browser, không có địa chỉ IP công cộng trực tiếp.	Cô lập các đặc vụ khỏi internet công cộng, giảm thiểu phơi nhiễm.
Mạng con công cộng	Chứa NAT Gateway cho kết nối truy xuất.	Cho phép truy cập truy xuất mà không trực tiếp phơi bày các phiên bản đặc vụ.
Mạng con tường lửa	Mạng con chuyên dụng cho điểm cuối của Network Firewall.	Tập trung kiểm tra lưu lượng, thực thi chính sách bảo mật.
AWS Network Firewall	Kiểm tra tiêu đề TLS SNI, áp dụng quy tắc lọc, ghi nhật ký lưu lượng.	Kiểm soát truy xuất dựa trên miền, bảo vệ botnet/phần mềm độc hại, nhật ký kiểm toán.
Bảng định tuyến	Định hướng luồng lưu lượng qua tường lửa.	Đảm bảo tất cả lưu lượng truy xuất và phản hồi đều đi qua tường lửa.

Giải thích luồng lưu lượng:

Một đặc vụ AI đang chạy trong Amazon Bedrock AgentCore gọi công cụ AgentCore Browser.
AgentCore Browser khởi tạo yêu cầu HTTPS từ mạng con riêng của nó.
Bảng định tuyến của mạng con riêng hướng lưu lượng này đến NAT Gateway trong mạng con công cộng.
NAT Gateway dịch địa chỉ IP riêng và chuyển tiếp yêu cầu đến điểm cuối của Network Firewall.
AWS Network Firewall chặn lưu lượng và kiểm tra tiêu đề TLS SNI để xác định miền đích dự kiến.
Nếu miền khớp với một quy tắc 'danh sách cho phép' được cấu hình trong tường lửa, lưu lượng sẽ được chuyển tiếp đến Internet Gateway.
Internet Gateway sau đó định tuyến lưu lượng đã được phê duyệt đến đích web bên ngoài.
Lưu lượng phản hồi đi theo đường đối xứng trở lại qua tường lửa, đảm bảo kiểm tra liên tục và thực thi chính sách.

Điều quan trọng cần lưu ý là mặc dù lọc dựa trên SNI rất mạnh mẽ trong việc kiểm soát các miền nào mà đặc vụ kết nối ở lớp TLS, nhưng nó là một phần của chiến lược phòng thủ theo chiều sâu rộng lớn hơn. Để lọc cấp DNS toàn diện và bảo vệ chống lại việc đào hầm DNS hoặc rò rỉ dữ liệu, kiến trúc này có thể được bổ sung bằng Amazon Route 53 Resolver DNS Firewall.

Triển khai lọc miền an toàn cho các đặc vụ AI của bạn

Thiết lập tư thế bảo mật mạnh mẽ này cho các đặc vụ AI của bạn bao gồm một vài bước chính, tận dụng các dịch vụ hạ tầng toàn diện của AWS.

Điều kiện tiên quyết để triển khai:

Trước khi bắt đầu, hãy đảm bảo bạn có:

Một tài khoản AWS đang hoạt động với quyền tạo tài nguyên VPC, Network Firewall và các vai trò IAM.
AWS Command Line Interface (AWS CLI) phiên bản 2.x đã được cấu hình với thông tin đăng nhập phù hợp.
Quyền truy cập vào Amazon Bedrock AgentCore trong tài khoản AWS của bạn.
Hiểu biết cơ bản về các khái niệm mạng Amazon VPC.

Bước 1: Triển khai tài nguyên qua CloudFormation

AWS cung cấp một mẫu CloudFormation tiện lợi để hợp lý hóa việc triển khai các thành phần VPC và Network Firewall cần thiết. Mẫu này thiết lập các mạng con riêng và công cộng, NAT Gateway, mạng con tường lửa và hạ tầng định tuyến cốt lõi. Bằng cách sử dụng mẫu này, bạn có thể nhanh chóng thiết lập môi trường mạng nền tảng cần thiết cho các hoạt động đặc vụ an toàn.

Bước 2: Xem xét vai trò thực thi IAM

Để AgentCore Browser hoạt động đúng cách và an toàn, nó yêu cầu một vai trò IAM với chính sách tin cậy cụ thể. Chính sách này cho phép dịch vụ bedrock-agentcore.amazonaws.com đảm nhận vai trò, đảm bảo rằng đặc vụ có các quyền cần thiết mà không bị cấp quá nhiều đặc quyền.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock-agentcore.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Bước 3: Cấu hình danh sách cho phép của AWS Network Firewall

Cốt lõi của chiến lược kiểm soát miền của bạn nằm ở việc cấu hình một nhóm quy tắc có trạng thái (stateful rule group) trong AWS Network Firewall. Nhóm quy tắc này định nghĩa danh sách cho phép của bạn – các miền cụ thể mà đặc vụ AI của bạn được phép truy cập. Điều cần thiết là phải bao gồm một dấu chấm đầu (.) trong các mục nhập miền của bạn để khớp với các miền con, đảm bảo phạm vi bảo hiểm toàn diện.

Ví dụ, để cho phép truy cập Wikipedia và Stack Overflow, cấu hình quy tắc của bạn sẽ trông như thế này:

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [
        ".wikipedia.org",
        ".stackoverflow.com"
      ],
      "TargetType": "TLS_SNI",
      "GeneratedRulesType": "ALLOWLIST"
    }
  }
}

Cấu hình này đảm bảo rằng chỉ lưu lượng dành cho các miền được phép rõ ràng này, bao gồm các miền con của chúng, mới được phép đi qua tường lửa. Tất cả các lưu lượng khác có thể bị từ chối ngầm định bởi chính sách từ chối mặc định.

Ngoài SNI: Một phương pháp phòng thủ theo chiều sâu

Mặc dù lọc dựa trên SNI rất mạnh mẽ, nhưng một kiến trúc zero-trust thực sự cho các đặc vụ AI đòi hỏi nhiều lớp bảo mật. Như đã đề cập, việc kết hợp AWS Network Firewall với Amazon Route 53 Resolver DNS Firewall bổ sung thêm một điểm kiểm soát quan trọng. Điều này ngăn các đặc vụ giải quyết các miền bị chặn thông qua DNS, đóng hiệu quả một vectơ bỏ qua tiềm năng nơi đặc vụ có thể cố gắng kết nối trực tiếp với địa chỉ IP nếu việc phân giải miền cũng không được kiểm soát.

Hơn nữa, việc tích hợp các dịch vụ bảo mật khác, chẳng hạn như AWS Web Application Firewall (WAF) để kiểm tra lưu lượng HTTP/S (nếu lưu lượng cuối cùng được giải mã để kiểm tra ở một lớp khác) và kiểm soát truy cập dựa trên danh tính cho việc gọi đặc vụ, củng cố tình hình bảo mật của bạn. Cách tiếp cận đa lớp này phù hợp với các phương pháp hay nhất để xây dựng kiến trúc zero-trust cho các nhà máy AI bảo mật.

Kết luận: Trao quyền triển khai đặc vụ AI an toàn

Khả năng kiểm soát các miền mà đặc vụ AI của bạn có thể truy cập không chỉ là một tính năng; đó là một yêu cầu bảo mật nền tảng cho việc áp dụng AI cấp doanh nghiệp. Bằng cách triển khai AWS Network Firewall với Amazon Bedrock AgentCore, các tổ chức có được quyền kiểm soát chi tiết đối với lưu lượng truy xuất của đặc vụ, giảm thiểu các rủi ro bảo mật đáng kể như rò rỉ dữ liệu và prompt injection, và đáp ứng các nghĩa vụ tuân thủ nghiêm ngặt.

Khi các đặc vụ AI trở nên tinh vi hơn và được tích hợp vào các quy trình kinh doanh quan trọng, một khung bảo mật mạnh mẽ trở nên không thể thiếu. Giải pháp này cung cấp một lộ trình rõ ràng để các doanh nghiệp khai thác sức mạnh của đặc vụ AI đồng thời duy trì kiểm soát, khả năng hiển thị và một tư thế bảo mật không bị ảnh hưởng. Áp dụng các mô hình kiến trúc như vậy là chìa khóa để vận hành AI đại lý phần 1: hướng dẫn cho các bên liên quan và thúc đẩy một tương lai an toàn, đổi mới.