AWS showed how to restrict AgentCore AI agents' access to approved domains only

AWS выпустила практическую инструкцию по тому, как ограничить интернет-доступ AI-агентов на уровне доменов. Речь идёт не о новой модели, а о базовой мере безопасности: ресурсы AgentCore можно настроить так, чтобы они выходили только на заранее одобренные сайты.

Зачем это нужно Когда агент получает доступ к сети, риск резко меняется.

Даже если модель хорошо следует инструкциям, ей всё равно можно подсунуть нежелательный URL, перенаправление или внешний сервис, который не должен участвовать в процессе. Для корпоративных сценариев это проблема не только безопасности, но и контроля затрат, соответствия внутренним политикам и предсказуемости результата. AWS предлагает решать эту задачу на сетевом уровне, а не надеяться только на промпты и логику приложения.

В опубликованном разборе компания показывает, как задать allowlist доменов для ресурсов AgentCore через AWS Network Firewall. Идея простая: агент не должен сам выбирать весь интернет, если бизнес-процесс требует работы с ограниченным набором источников. Для команд, которые строят пайплайны с AI-агентами поверх облачной инфраструктуры, это ещё и вопрос управляемости.

Чем уже внешний периметр, тем проще разбирать инциденты, проверять соответствие политике безопасности и понимать, почему агент вообще смог обратиться к конкретному ресурсу. Такой подход особенно важен там, где AI-агент связан с внутренними данными, документами клиентов или автоматизированными действиями.

Как устроен фильтр В центре схемы — проверка SNI, Server Name Indication.

Этот параметр передаётся в начале TLS-соединения и показывает, к какому домену клиент хочет подключиться. Network Firewall может анализировать это поле и сравнивать его со списком разрешённых доменов. Если домен есть в allowlist, соединение проходит; если нет — запрос блокируется ещё до того, как агент начнёт взаимодействовать с внешним ресурсом. Такой подход полезен там, где агенту нужен доступ к нескольким понятным точкам во внешней сети: документации, внутренним API через публичную точку входа, партнёрским сервисам или конкретным SaaS-платформам. В этом сценарии безопасность строится не вокруг абстрактного «доверия модели», а вокруг жёстко заданных сетевых правил.

• Агент видит только утверждённый список внешних доменов Новые сайты не открываются без явного обновления правил Блокировка срабатывает до выполнения бизнес-логики на внешнем ресурсе Политика доступа централизуется в инфраструктуре, а не размазывается по коду Контроль становится понятнее для аудита и внутренних команд безопасности ## Почему этого мало При этом AWS отдельно акцентирует: фильтрация по доменам — лишь первый слой защиты. Она уменьшает поверхность атаки, но не решает все риски, связанные с агентами. Если разрешённый домен сам отдаст вредный или нежелательный контент, allowlist не поможет. Точно так же такой подход не проверяет, что именно агент делает уже после подключения к допустимому ресурсу.

«Фильтрация на уровне доменов через проверку SNI — это первый слой многоуровневой защиты».

Есть и более прикладное ограничение: доменный контроль видит адрес назначения, но не весь смысл запроса. Он не различает конкретные URL-пути, параметры, типы операций и бизнес-контекст внутри одного и того же разрешённого домена. Поэтому allowlist хорош как грубый, но очень полезный фильтр — особенно на входе в интернет, — однако его нельзя считать полной политикой поведения агента. Из этого следует практический вывод: сетевой allowlist нужно сочетать с другими мерами. Обычно это изоляция сред, минимальные IAM-права, проверка выходных действий агента, журналирование, лимиты на инструменты и дополнительные политики на уровне приложения. То есть Network Firewall закрывает вопрос «куда агент может пойти», но не заменяет контроль над тем, «что агент делает» и «что он приносит обратно».

Что это значит AWS фактически формализует простой, но важный принцип

для агентных систем: доступ в интернет должен быть не открытым по умолчанию, а минимально необходимым. Для компаний, которые тестируют AI-агентов в продакшене, это хороший ориентир: сначала ограничить внешнюю сеть списком разрешённых доменов, а потом уже наращивать более глубокие уровни защиты.