AWS apresentou dois padrões de proteção com WAF para o Amazon Bedrock AgentCore Runtime
A AWS publicou um guia com dois padrões arquiteturais para proteger o Amazon Bedrock AgentCore Runtime com AWS WAF. A primeira opção adiciona um proxy Lambda entre o balanceador de carga e o VPC Endpoint, permitindo transformação flexível de requisições. A segunda acessa diretamente os endereços IP da ENI, removendo um hop extra. Uma política de recursos com a condição aws:SourceVpce bloqueia o bypass direto do WAF. Ambos os padrões foram testados com autenticação SigV4 e OAuth via Amazon Cognito JWT.
Processado por IA de AWS Machine Learning Blog; editado por Hamidun News
AWS опубликовала два архитектурных паттерна для защиты AI-агентов в Amazon Bedrock через AWS WAF, протестированными с аутентификацией SigV4 и OAuth через Amazon Cognito JWT.
Зачем AgentCore Runtime нужна защита WAF
AgentCore Runtime — компонент Amazon Bedrock для запуска AI-агентов в production — по умолчанию не имеет встроенной фильтрации на уровне веб-приложения. Без дополнительной архитектуры злоумышленник может атаковать агента инъекциями, DDoS или подделкой запросов, обратившись к сервису напрямую.
AWS WAF (Web Application Firewall) позволяет блокировать известные векторы атак, ограничивать скорость запросов и применять управляемые группы правил ещё до того, как запрос достигнет агента. Оба представленных паттерна используют интернет-доступный Application Load Balancer (ALB) с подключённым AWS WAF и маршрутизируют трафик через VPC Interface Endpoint к AgentCore Runtime.
Ключевые параметры обоих решений:
- ALB открыт для интернета, AWS WAF инспектирует каждый входящий запрос
- Трафик направляется через VPC Interface Endpoint к AgentCore Runtime
- Политика ресурсов запрещает прямой обход WAF
- Поддерживается аутентификация SigV4 и OAuth (Amazon Cognito JWT)
- Оба паттерна протестированы в сценариях end-to-end
Паттерн 1 против Паттерна 2: в чём разница
Паттерн 1 добавляет AWS Lambda между ALB и VPC Endpoint в роли прокси. Функция получает запрос после фильтрации WAF, может преобразовывать его — добавлять заголовки, нормализовать пути, изменять тело — и затем передаёт в AgentCore через VPC Endpoint. Это даёт максимальный контроль над трафиком, особенно полезный, если требуется логика трансформации или дополнительная валидация перед агентом. Плата за это — дополнительная задержка и стоимость Lambda-вызовов.
Паттерн 2 убирает Lambda-хоп полностью: ALB напрямую обращается к IP-адресам ENI (Elastic Network Interface) VPC Interface Endpoint. Это более прямолинейная схема с меньшей задержкой и без накладных расходов Lambda. Подходит, когда трансформация запросов не нужна, а приоритет — минимальная латентность при сохранении защиты WAF.
«Оба паттерна протестированы end-to-end с
SigV4 и OAuth (Amazon Cognito JWT) аутентификацией», — отмечает AWS в блоге Machine Learning.
Как закрыть backdoor через политику ресурсов
Самая критичная часть обоих паттернов — правильная настройка политики ресурсов AgentCore Runtime. Без неё защита WAF теряет смысл: злоумышленник может узнать публичный эндпоинт AgentCore и обратиться к нему напрямую, полностью обходя ALB и WAF.
Решение — условие `aws:SourceVpce` в политике ресурсов. Оно разрешает вызовы к AgentCore только через конкретный VPC Interface Endpoint, что гарантирует прохождение всего трафика через ALB и AWS WAF. Прямой backdoor закрыт на уровне политики IAM.
Такой подход реализует принцип Defence in Depth: WAF — первый рубеж фильтрации, политика ресурсов — второй, исключающий обход первого.
Что это значит
Руководство AWS даёт разработчикам AI-агентов на Bedrock готовые, протестированные паттерны вместо самостоятельного изобретения схем защиты. Выбор между ними прост: если нужна трансформация запросов — Паттерн 1 с Lambda, если важнее скорость и простота — Паттерн 2 с прямым маршрутом к ENI.
Частые вопросы
Какие методы аутентификации поддерживают оба паттерна?
Оба паттерна протестированы с AWS SigV4 (подпись запросов через ключи доступа AWS) и OAuth с токенами Amazon Cognito JWT. Выбор зависит от архитектуры приложения.
Почему недостаточно просто включить WAF без политики ресурсов?
AWS WAF защищает только трафик, проходящий через ALB. Если не закрыть прямой доступ к эндпоинту AgentCore политикой ресурсов с условием `aws:SourceVpce`, злоумышленник может обойти WAF, обратившись к AgentCore напрямую по публичному адресу.
Почему Amazon Bedrock AgentCore Runtime уязвим без WAF?
AgentCore Runtime по умолчанию не имеет встроенной фильтрации на уровне веб-приложения. Без дополнительной архитектуры злоумышленник может атаковать агента инъекциями, DDoS или подделкой запросов.
Quer parar de ler sobre IA e começar a usar?
AI News é um feed curado de notícias de IA. A Hamidun Academy ensina você a usar IA no trabalho.
O essencial da IA — uma vez por semana
Sete histórias que realmente importaram, escolhidas a dedo. Sem ruído nem releases.
Pronto! Verifique seu e-mail para a confirmação.