AWS mostrou como restringir o acesso dos agentes de AI do AgentCore apenas a domínios aprovados

A AWS lançou um guia prático sobre como restringir o acesso à internet para agentes de IA no nível de domínio. Não se trata de um novo modelo, mas de uma medida básica de segurança: os recursos AgentCore podem ser configurados para acessar apenas sites pré-aprovados.

Por que isso é necessário

Quando um agente obtém acesso à rede, o risco muda drasticamente. Mesmo que o modelo siga bem as instruções, ainda assim pode ser oferecido uma URL indesejável, redirecionamento ou serviço externo que não deveria participar do processo. Para cenários corporativos, isso é um problema não apenas de segurança, mas também de controle de custos, conformidade com políticas internas e previsibilidade de resultados.

A AWS sugere resolver esse problema no nível de rede em vez de confiar apenas em prompts e lógica de aplicativo. No detalhamento publicado, a empresa mostra como definir uma lista de permissões de domínios para recursos AgentCore através do AWS Network Firewall. A ideia é simples: um agente não deve escolher toda a Internet por si só se o processo de negócio exigir trabalhar com um conjunto limitado de fontes.

Para equipes que constroem pipelines com agentes de IA sobre infraestrutura em nuvem, isso também é uma questão de gerenciabilidade. Quanto mais estreito o perímetro externo, mais fácil é lidar com incidentes, verificar a conformidade com a política de segurança e entender por que o agente conseguiu acessar um recurso específico. Essa abordagem é especialmente importante onde o agente de IA está associado a dados internos, documentos de clientes ou ações automatizadas.

Como o filtro funciona

No centro do esquema está o SNI, Server Name Indication. Esse parâmetro é enviado no início de uma conexão TLS e mostra qual domínio o cliente deseja se conectar. O Network Firewall pode analisar esse campo e compará-lo com uma lista de domínios permitidos. Se o domínio estiver na lista de permissões, a conexão passa; se não, a solicitação é bloqueada antes mesmo do agente começar a interagir com o recurso externo.

Esta abordagem é útil quando um agente precisa acessar vários pontos claros da rede externa: documentação, APIs internas através de um ponto de entrada público, serviços de parceiros ou plataformas SaaS específicas. Neste cenário, a segurança é construída não em torno de "confiança abstrata do modelo", mas em torno de regras de rede rigorosamente definidas.

• Agente vê apenas uma lista aprovada de domínios externos
• Novos sites não podem ser acessados sem atualizações explícitas de regras
• O bloqueio ocorre antes da execução da lógica de negócio no recurso externo
• A política de acesso é centralizada na infraestrutura em vez de espalhada pelo código
• O controle fica mais claro para auditoria e equipes internas de segurança

Por que isso não é suficiente

A AWS destaca separadamente que a filtragem baseada em domínio é apenas a primeira camada de defesa. Reduz a superfície de ataque, mas não resolve todos os riscos associados aos agentes. Se um domínio aprovado fornecer conteúdo prejudicial ou indesejado, a lista de permissões não ajudará. Da mesma forma, essa abordagem não verifica o que o agente faz depois de se conectar a um recurso aceitável.

"A filtragem no nível de domínio através da verificação de SNI é a

primeira camada de defesa em várias camadas."

Há também uma limitação mais prática: o controle de domínio vê o endereço de destino, mas não a intenção completa da solicitação. Ele não distingue caminhos de URL específicos, parâmetros, tipos de operação e contexto de negócio dentro do mesmo domínio permitido. Portanto, a lista de permissões é boa como um filtro bruto, mas muito útil—especialmente no ponto de entrada da internet—no entanto, não pode ser considerada uma política completa para o comportamento do agente.

A conclusão prática disso é: uma lista de permissões de rede deve ser combinada com outras medidas. Isto normalmente inclui isolamento de ambiente, direitos IAM mínimos, verificação das ações de saída do agente, registro, limites de ferramentas e políticas adicionais no nível de aplicação. Em outras palavras, o Network Firewall responde "para onde o agente pode ir" mas não substitui o controle sobre "o que o agente faz" e "o que ele traz de volta".

O que isso significa

A AWS essencialmente formaliza um princípio simples mas importante para sistemas de agentes: o acesso à Internet não deve ser aberto por padrão, mas sim o mínimo necessário. Para empresas que testam agentes de IA em produção, esta é uma boa diretriz: primeiro restringir a rede externa a uma lista de domínios aprovados, depois construir camadas mais profundas de proteção.