AWS 新功能:精确控制 AI 代理可访问的互联网域名
随着 AI 代理(Agent)能力的扩展,特别是其能够浏览网页、执行代码以完成自动化任务,企业面临的安全与合规挑战也日益凸显。Amazon Bedrock AgentCore 作为托管工具集,为 AI 代理提供了与网络交互(浏览器)、执行代码(代码解释器)和托管代理(运行时)的能力。然而,赋予 AI 代理无限制的互联网访问权限,可能导致其访问未授权网站或敏感数据外泄至外部域的风险。
为了应对这一挑战,AWS 近日发布了一项基于 AWS Network Firewall 的配置指南,核心在于实现域名级别的访问控制。这标志着在 AI 代理安全管理领域,从“是否联网”的粗放控制,迈向了“能访问哪些具体网络资源”的精细化治理阶段。
核心机制:基于 SNI 检查的域名过滤
本次发布聚焦于域名级过滤,这是纵深防御策略的第一层。其技术核心是利用 SNI(服务器名称指示)检查。当 AI 代理(通过 AgentCore 的 Browser 或 Code Interpreter 工具)发起 HTTPS 连接时,在 TLS 握手初期,客户端会以明文形式发送其意图访问的域名(SNI 字段)。AWS Network Firewall 可以在此阶段进行拦截和检查,从而在建立完整加密连接之前,就根据预设策略决定是否允许访问。
这种方法的优势在于:
- 效率高:在连接早期决策,无需解密全部流量。
- 精准控制:可以基于完整的域名或通配符模式进行匹配。
可实现的具体控制策略
通过配置 AWS Network Firewall,企业可以为部署在 Amazon VPC 中的 AgentCore 资源构建精细化的出站访问策略:
白名单模式(默认拒绝):仅允许访问明确批准的域名列表,例如
wikipedia.org、stackoverflow.com。所有未在列表中的域名访问请求将被默认拒绝。这是满足最高安全等级要求的常用模式。类别拦截:利用 AWS 提供的托管规则模板,可以显式阻止访问特定类别的网站,如社交媒体、已知恶意软件域、僵尸网络控制节点等。这有助于降低非必要风险并满足合规要求。
全面的审计日志:所有连接尝试(无论允许还是拒绝)都会被记录。这些日志对于安全事件调查、合规性审计(证明访问控制有效)以及优化策略都至关重要。
为何这对企业至关重要?
这项功能的发布,直接回应了企业在生产环境中部署 AI 代理时最迫切的几类需求:
- 受监管行业:金融、医疗、政府等行业的客户在进行 AI 代理部署安全评审时,会反复询问网络隔离和出站流量控制的具体方案。他们需要确切的证据,证明代理的流量被严格管控且可审计。
- 高安全要求的企业:任何可能的数据外泄或未授权访问都是不可接受的。白名单模式提供了最高级别的保障,确保 AI 代理只能在划定的“安全区”内获取信息。
- 多租户 SaaS 提供商:对于提供 AI 代理服务的平台而言,隔离不同租户代理的访问范围、防止交叉访问或滥用,是保障服务安全性和可靠性的基础。
作为纵深防御的一环
需要明确的是,域名过滤(SNI 检查)是纵深防御策略的起点,而非全部。AWS 文档也指出,为了构建更坚固的防御体系,企业还可以:
- 实施 DNS 级过滤,在域名解析阶段进行拦截。
- 在允许访问后,进行内容检查,以防范数据丢失(DLP)或检测恶意载荷。
- 结合使用 Amazon Bedrock AgentCore 的资源策略,控制谁可以调用你的代理(入站控制),例如通过源 IP、源 VPC 等条件进行限制。
网络出站控制、入站身份验证与授权、内容安全等多个层面共同构成了 AI 代理安全运行的“护城河”。
小结
AWS 此次发布的配置指南,将云原生网络防火墙能力与 AI 代理管理平台深度集成,为企业提供了落地、可操作的 AI 代理网络访问控制方案。它解决了从“0到1”的放行难题,转向“从1到N”的精细化管理,是 AI 应用从演示走向规模化、合规化企业部署的关键一步。对于任何计划或正在使用 AI 代理处理外部数据的企业IT和安全团队而言,理解和实施此类控制,已成为不可或缺的安全基线。