详细内容或原文请订阅后点击阅览
控制您的 AI 代理可以访问哪些域
在本文中,我们将向您展示如何配置 AWS 网络防火墙以将 AgentCore 资源限制在已批准的互联网域的白名单中。这篇文章重点介绍使用 SNI 检查的域级过滤——深度防御方法的第一层。
来源:亚马逊云科技 _机器学习可以浏览网络的人工智能代理开启了强大的可能性——从研究自动化到实时数据收集。然而,给予人工智能代理不受限制的互联网访问会引发安全和合规性问题。如果代理访问未经授权的网站怎么办?如果敏感数据泄露到外部域怎么办?
Amazon Bedrock AgentCore 提供托管工具,使 AI 代理能够与 Web(浏览器)交互、执行代码(代码解释器)和主机代理(运行时)。当部署在 Amazon Virtual Private Cloud (Amazon VPC) 中时,您可以使用 AWS 网络防火墙控制工具网络访问,以实施基于域的过滤。 AWS Network Firewall 还为您提供托管规则,以帮助减少对僵尸网络、已知恶意软件域和其他高风险资源的访问。
在本文中,我们将向您展示如何配置 AWS 网络防火墙以将 AgentCore 资源限制在已批准的互联网域的白名单中。您可以使用此架构来:
这篇文章重点介绍使用 SNI 检查的域级过滤——深度防御方法的第一层。有关 DNS 级别的过滤和内容检查技术,请参阅本文末尾的进一步介绍。对于入站访问控制(限制谁可以调用您的代理),您还可以查看 Amazon Bedrock AgentCore 基于资源的策略。这些支持条件,例如 aws:SourceIp、aws:SourceVpc 和 aws:SourceVpce。这些控制是纵深防御策略中的补充层。
为什么这很重要:企业安全要求
在受监管行业部署 AI 代理的客户对网络入口和出口控制有一致的安全要求:
多租户 SaaS 提供商