Как Amazon ограничивает интернет для своих AI‑агентов: доменные фильтры для Bedrock AgentCore

Что появилось / что изменилось

Amazon добавила понятный способ держать AI‑агентов на коротком сетевом поводке. Речь про Amazon Bedrock AgentCore и его инструменты:

• Browser — агент ходит в интернет за данными.
• Code Interpreter — запускает код.
• Runtime — среда, где живут и исполняются агенты.

Новое здесь не сами агенты, а архитектура их развёртывания в Amazon VPC с фильтрацией исходящего трафика через AWS Network Firewall. Ключевые возможности:

• Ограничение доступа агентов строгим allowlist по доменам. Пример: разрешить только wikipedia.org и stackoverflow.com.
• Блокировка по категориям сайтов через готовые rule templates. Например, соцсети, азартные игры, потенциально опасные категории.
• Логирование всех попыток подключения для аудита и соответствия требованиям регуляторов.
• Политика "default deny": всё, что не разрешили явно, блокируется.
• Анализ доменов по TLS SNI (Server Name Indication) на уровне Network Firewall.
• Интеграция с Amazon CloudWatch для мониторинга срабатываний firewall.

Для компаний с жёсткими требованиями к безопасности это означает: можно запускать веб‑агентов, не открывая им весь интернет.

Как это работает

Схема завязана на приватной сети и обязательном проходе через AWS Network Firewall.

Архитектура выглядит так:

• Приватная подсеть — тут крутится AgentCore Browser без публичных IP.
• Публичная подсеть — в ней NAT Gateway, через который агент выходит наружу.
• Подсеть firewall — в ней endpoint AWS Network Firewall.
• Четыре таблицы маршрутизации — управляют тем, как исходящий и обратный трафик проходит через firewall.

Поток трафика:

1. AgentCore Runtime запускает агента и вызывает инструмент Browser.
2. Browser из приватной подсети отправляет HTTPS‑запрос.
3. Таблица маршрутизации приватной подсети ведёт трафик на NAT Gateway в публичной подсети.
4. NAT Gateway подменяет исходный IP и отправляет трафик на endpoint Network Firewall.
5. AWS Network Firewall смотрит на TLS SNI — доменное имя, к которому идёт запрос.
6. Если домен входит в allowlist или не попадает под запрет по правилам, трафик идёт дальше в интернет.
7. Если домен запрещён или не указан при политике "default deny", firewall рвёт соединение и пишет событие в логи.

Фильтрация — это только первый слой защиты. AWS отдельно предлагает:

• DNS‑фильтрацию и контент‑инспекцию для более тонкого контроля.
• Resource‑based policies для AgentCore, чтобы ограничить, кто вообще может вызывать агентов (по aws:SourceIp, aws:SourceVpc, aws:SourceVpce).

Что это значит для вас

Если вы строите AI‑агентов на Amazon Bedrock и даёте им выход в интернет, эта схема помогает решить сразу три задачи:

1. Безопасность и регуляторка. Для банков, медицины, госструктур и крупных корпораций критично контролировать исходящий трафик. Здесь вы можете:

   • Жёстко задать список разрешённых доменов.
   • Запретить целые категории сайтов.
   • Собрать логи всех попыток доступа для проверок и аудитов.

2. Защита от prompt‑инъекций. Агент можно уговорить сходить на вредоносный сайт через подсказки в тексте. Если Browser видит только одобренный список доменов, такие атаки сильно теряют смысл.

3. SaaS с разными политиками для клиентов. Если вы делаете мультиарендный сервис:

   • Клиент A может разрешить один набор доменов.
   • Клиент B — другой.
   • Плюс региональные ограничения: например, блокировать отдельные категории только в конкретных странах.

Где это полезно:

• Автоматизированные ресёрч‑агенты, которые собирают данные из ограниченного набора источников.
• Корпоративные ассистенты, которые могут ходить в интернет, но не должны утаскивать данные на любые сторонние сайты.
• AI‑функции внутри SaaS‑продуктов, где нужно выполнить требования безопасности разных заказчиков.

Где может быть больно:

• Если агенту нужен широкий, непредсказуемый спектр сайтов, придётся постоянно обновлять allowlist.
• Неправильно настроенные правила будут ломать сценарии: агент "не видит" нужный сайт, потому что домен забыли добавить.
• Всё это работает внутри AWS‑инфраструктуры. Для России доступ к Amazon Bedrock и связанным сервисам может требовать VPN и юридической оценки рисков.

Место на рынке

Решение Amazon закрывает конкретную нишу: сетевой контроль для AI‑агентов с веб‑доступом в корпоративной среде.

Ключевые моменты:

• Фильтрация происходит на уровне AWS Network Firewall и VPC‑маршрутизации, а не внутри самих агентов. Это ближе к классическому enterprise‑подходу, где безопасность живёт в сети, а не в приложении.
• Есть готовые rule templates для блокировки категорий (ботнеты, домены с известным вредоносным ПО, высокорисковые ресурсы), плюс ручные allowlist/denylist по доменам.
• Интеграция с CloudWatch позволяет тянуть метрики и логи в уже существующую систему мониторинга и SOC‑процессы.

С прямыми числами и таблицами сравнений Amazon не выступает, но по сути это история для тех, кто уже живёт в AWS и строит агентов на Bedrock. Если вы используете другие стеки для AI‑агентов, придётся искать аналогичные решения у своего облака или собирать схожую архитектуру из собственных firewall и прокси.

---

Читайте также

• PrismML запустила 1‑bit Bonsai: 8B‑LLM весом 1,3 ГБ, которая работает на iPhone
• Stream Deck теперь слушается ChatGPT и Claude: Elgato добавила поддержку MCP
• Google включила ИИ-защиту от программ‑вымогателей в Drive: новая модель находит в 14 раз больше заражений