عرضت AWS كيفية تقييد وصول وكلاء AI في AgentCore إلى النطاقات المعتمدة فقط
وصفت AWS طريقة عملية لتقييد وصول وكلاء AI إلى الشبكة الخارجية: يمكن لموارد AgentCore الوصول إلى الإنترنت فقط نحو نطاقات معتمدة مسبقًا عبر AWS Network Firewall.
AWS выпустила практическую инструкцию по тому, как ограничить интернет-доступ AI-агентов на уровне доменов. Речь идёт не о новой модели, а о базовой мере безопасности: ресурсы AgentCore можно настроить так, чтобы они выходили только на заранее одобренные сайты.
Зачем это нужно Когда агент получает доступ к сети, риск резко меняется.
Даже если модель хорошо следует инструкциям, ей всё равно можно подсунуть нежелательный URL, перенаправление или внешний сервис, который не должен участвовать в процессе. Для корпоративных сценариев это проблема не только безопасности, но и контроля затрат, соответствия внутренним политикам и предсказуемости результата. AWS предлагает решать эту задачу на сетевом уровне, а не надеяться только на промпты и логику приложения.
В опубликованном разборе компания показывает, как задать allowlist доменов для ресурсов AgentCore через AWS Network Firewall. Идея простая: агент не должен сам выбирать весь интернет, если бизнес-процесс требует работы с ограниченным набором источников. Для команд, которые строят пайплайны с AI-агентами поверх облачной инфраструктуры, это ещё и вопрос управляемости.
Чем уже внешний периметр, тем проще разбирать инциденты, проверять соответствие политике безопасности и понимать, почему агент вообще смог обратиться к конкретному ресурсу. Такой подход особенно важен там, где AI-агент связан с внутренними данными, документами клиентов или автоматизированными действиями.
Как устроен фильтр В центре схемы — проверка SNI, Server Name Indication.
Этот параметр передаётся в начале TLS-соединения и показывает, к какому домену клиент хочет подключиться. Network Firewall может анализировать это поле и сравнивать его со списком разрешённых доменов. Если домен есть в allowlist, соединение проходит; если нет — запрос блокируется ещё до того, как агент начнёт взаимодействовать с внешним ресурсом. Такой подход полезен там, где агенту нужен доступ к нескольким понятным точкам во внешней сети: документации, внутренним API через публичную точку входа, партнёрским сервисам или конкретным SaaS-платформам. В этом сценарии безопасность строится не вокруг абстрактного «доверия модели», а вокруг жёстко заданных сетевых правил.
- Агент видит только утверждённый список внешних доменов Новые сайты не открываются без явного обновления правил Блокировка срабатывает до выполнения бизнес-логики на внешнем ресурсе Политика доступа централизуется в инфраструктуре, а не размазывается по коду Контроль становится понятнее для аудита и внутренних команд безопасности ## Почему этого мало При этом AWS отдельно акцентирует: фильтрация по доменам — лишь первый слой защиты. Она уменьшает поверхность атаки, но не решает все риски, связанные с агентами. Если разрешённый домен сам отдаст вредный или нежелательный контент, allowlist не поможет. Точно так же такой подход не проверяет, что именно агент делает уже после подключения к допустимому ресурсу.
«Фильтрация на уровне доменов через проверку SNI — это первый слой многоуровневой защиты».
Есть и более прикладное ограничение: доменный контроль видит адрес назначения, но не весь смысл запроса. Он не различает конкретные URL-пути, параметры, типы операций и бизнес-контекст внутри одного и того же разрешённого домена. Поэтому allowlist хорош как грубый, но очень полезный фильтр — особенно на входе в интернет, — однако его нельзя считать полной политикой поведения агента. Из этого следует практический вывод: сетевой allowlist нужно сочетать с другими мерами. Обычно это изоляция сред, минимальные IAM-права, проверка выходных действий агента, журналирование, лимиты на инструменты и дополнительные политики на уровне приложения. То есть Network Firewall закрывает вопрос «куда агент может пойти», но не заменяет контроль над тем, «что агент делает» и «что он приносит обратно».
Что это значит AWS фактически формализует простой, но важный принцип
для агентных систем: доступ в интернет должен быть не открытым по умолчанию, а минимально необходимым. Для компаний, которые тестируют AI-агентов в продакшене, это хороший ориентир: сначала ограничить внешнюю сеть списком разрешённых доменов, а потом уже наращивать более глубокие уровни защиты.